LAS COMPETENCIAS SANCIONADORAS DE LA AGENCIA

03-ACanales.qxd
26/8/08
19:03
Página 169
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
LAS COMPETENCIAS SANCIONADORAS
DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN
DE DATOS Y EL PROCEDIMIENTO
SANCIONADOR:
DE NUEVO SOBRE LOS PRINCIPIOS
DE INFORMACIÓN Y CONSENTIMIENTO
Álvaro Canales Gil
Doctor en Derecho
Ex Subdirector General de Inspección de la Agencia Española de Protección de Datos
En el presente trabajo se abordan dos temas especialmente relevantes para los
responsables de ficheros o tratamientos, por un lado, el análisis de las competencias que tiene atribuidas la Agencia Española de Protección de Datos en materia sancionadora y que ya no permiten identificar su actividad únicamente con
la defensa y tutela del derecho fundamental a la protección de datos, y, por otro,
el examen de las principales novedades introducidas en el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal respecto a la instrucción de los diversos procedimientos sancionadores.
En relación al primer tema, se aborda una cuestión que resulta ciertamente
paradójica y que puede causar, en determinadas condiciones, la comisión de
ciertas infracciones por parte de los responsables de la remisión de comunicaciones comerciales con fines de venta directa. Se trata de advertir que, aunque
la entidad con competencia sancionadora es la misma, es decir, la Agencia
Española de Protección de Datos por expreso encargo de la Ley Orgánica de
Protección de Datos de Carácter Personal, de la Ley General de Telecomunicaciones y de la Ley de los Servicios de la Sociedad de la Información y del Co-
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
169
03-ACanales.qxd
26/8/08
19:03
Página 170
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
mercio Electrónico, y que en sus respectivas regulaciones se refieren a la necesidad de contar con el consentimiento del interesado, sin embargo ni la Ley General de Telecomunicaciones ni la Ley de los Servicios de la Sociedad de la
Información y del Comercio Electrónico comparten íntegramente el sistema que,
para la recogida del consentimiento, se prevé en la Ley Orgánica de Protección
de Datos de Carácter Personal. En dichas leyes sectoriales solamente se admite el envío de una comunicación con fines publicitarios o promocionales por correo electrónico u otro modo de comunicación electrónica equivalente, o de un
fax con fines de venta directa, cuando el emisor cuente con el consentimiento
del receptor. Ello quiere decir que resulta sancionable el envío basado en la obtención de los datos del receptor procedentes de una fuente accesible al público, algo que no ocurre con el tratamiento de datos producido al amparo de la Ley
Orgánica de Protección de Datos de Carácter Personal.
Respecto al examen de las principales novedades introducidas en el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter
Personal, se analizan dos asuntos relacionados, respectivamente, con la tramitación uniforme de los procedimientos sancionadores y con la creación de
un nuevo plazo de caducidad de las actuaciones previas de investigación, realizando, asimismo por su transcendencia, una serie de consideraciones sobre
la posible incidencia que, en relación a este asunto, puede llegar a tener la
Sentencia de la Audiencia Nacional de 17 de octubre de 2007.
En relación al primer asunto, se aborda cómo, a pesar de que los diferentes
procedimientos sancionadores se tramitan al amparo de las tres leyes ya citadas, el nuevo Reglamento acaba con la situación de dualidad que se producía
hasta ahora, en la que se distinguía entre los tramitados por presunta infracción de la Ley Orgánica de Protección de Datos de Carácter Personal, que se
regían por lo previsto en el Real Decreto 1332/1994, de 20 de junio, y los tramitados al amparo de la Ley General de Telecomunicaciones y de la Ley de los
Servicios de la Sociedad de la Información y del Comercio Electrónico, que se
regían por lo establecido en el Real Decreto 1398/1993, de 4 de agosto, por el
que se aprueba el Reglamento del Procedimiento para el ejercicio de la Potestad Sancionadora.
Para finalizar, se analiza un tema especialmente delicado. Tiene que ver, por
un lado, con que el Reglamento haya creado un nuevo plazo de caducidad pa-
170
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 171
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
ra las actuaciones previas de investigación, y, por otro lado, con la posible incidencia que pudiera llegar a tener la doctrina mantenida por la Audiencia Nacional, en su ya citada Sentencia de 17 de octubre de 2007, en virtud de la
cual entiende que es posible declarar la nulidad de pleno derecho de un procedimiento sancionador, por caducidad de las mencionadas actuaciones previas, si media un período de tiempo no justificado entre la última actuación de
investigación practicada y la resolución administrativa que declare la iniciación del correspondiente procedimiento sancionador.
SUMARIO
INTRODUCCIÓN.
1.
COMPETENCIAS SANCIONADORAS DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
1.1.
Competencia en relación al derecho a la protección de datos.
1.1.1. Su consideración como derecho fundamental.
1.1.2. Principio de consentimiento.
1.2.
1.1.2.1.
Antecedentes.
1.1.2.2.
Deber de Información.
1.1.2.3.
Prestación del consentimiento.
1.1.2.4.
Tratamiento de datos procedentes de fuentes accesibles
al público.
Competencias en relación a los derechos de los destinatarios de servicios
de la sociedad de la información y a los derechos de los abonados a los servicios de comunicaciones electrónicas.
1.2.1. Introducción.
1.2.2. Competencias en relación a los derechos de los destinatarios de
servicios de la Sociedad de la Información.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
171
03-ACanales.qxd
26/8/08
19:03
Página 172
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
1.2.3. Competencias en relación al derecho de los abonados a los servicios de comunicaciones electrónicas a no recibir mensajes vía fax
con fines de venta directa.
2.
PROCEDIMIENTO SANCIONADOR.
2.1.
Régimen jurídico.
2.1.1. Antes del Reglamento de desarrollo de la LOPD.
2.1.2. Después de la entrada en vigor del Reglamento de desarrollo de la
LOPD.
2.2.
Caducidad de las Actuaciones Previas.
2.2.1. Su regulación en el Reglamento de desarrollo de la LOPD.
2.2.2. Sentencia de la Audiencia Nacional de 17 de octubre de 2007.
BIBLIOGRAFÍA.
172
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 173
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
INTRODUCCIÓN
Hace ya tiempo que deberíamos haber dejado de identificar a la Agencia Española de Protección de Datos (en lo sucesivo AEPD) como una entidad pública independiente que tiene como único cometido, caso único en nuestro
país, velar por el respeto y la garantía de un derecho fundamental, el derecho
fundamental a la protección de datos de carácter personal, regulado en la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (en lo sucesivo LOPD).
Deberíamos abandonar dicho planteamiento porque el Legislador ha querido
diversificar las competencias sancionadoras de la AEPD, de modo que el ámbito de la protección de datos de carácter personal, en el que tradicionalmente se había movido desde su creación en el año 1993, ya no constituye su
única actividad. Efectivamente, por expresa atribución del Legislador, en la
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y
de Comercio Electrónico (en lo sucesivo LSSI), y en la Ley 32/2003, de 3 de
noviembre, General de Telecomunicaciones (en lo sucesivo LGT), se han atribuido a la AEPD nuevas competencias sancionadoras que, por un lado, sólo
comparten parcialmente los principios que se regulan en la LOPD y, por otro,
se dedican a la defensa del derecho, tanto de personas físicas como jurídicas, a no recibir comunicaciones electrónicas con fines publicitarios o promocionales a través de correo electrónico u otro modo de comunicación
electrónica equivalente, por medio de fax o mediante llamadas telefónicas automáticas realizadas sin intervención humana.
Por lo tanto, ya desde un primer momento, es preciso distinguir que el ámbito
de actuación de la AEPD no se circunscribe al de la tutela del derecho fundamental a la protección de datos de carácter personal, cuya titularidad corresponde en exclusiva a las personas físicas (a diferencia de otros países como,
por ejemplo, Italia, que hace extensivo este derecho a personas jurídicas), si-
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
173
03-ACanales.qxd
26/8/08
19:03
Página 174
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
no al de la defensa de los derechos de los usuarios y abonados de los servicios de comunicaciones electrónicas, a cuyos efectos sus titulares pueden ser
tanto personas físicas como jurídicas.
Estas consideraciones previas que, como se puede observar, son sustanciales, sin embargo no trascienden al ámbito procedimental ya que, a diferencia
de lo que ocurría hasta la fecha de entrada en vigor del Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en lo sucesivo RLOPD), en éste se realiza, como más
adelante se analizará, una regulación uniforme del procedimiento sancionador
sea cual sea la competencia sancionadora que ejercita la AEPD.
Señalado lo anterior, en el presente trabajo se persigue, por un lado, explicar
cuáles son esas competencias que actualmente tiene atribuidas la AEPD y
advertir cómo, aunque las regulaciones que realizan la LOPD, la LSSI y la LGT
comparten determinados aspectos de los principios de información y de consentimiento, sin embargo no llegan a compartirlos en su totalidad, motivo por
el cual es desaconsejable aplicarlos, en todo caso, con el contenido y extensión previstos en la LOPD, y, por otro, analizar las modificaciones que respecto a los procedimientos sancionadores instruidos por la AEPD se
incorporan a través del RLOPD y de una inquietante Sentencia de la Sección
Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional
de 17 de octubre de 2007.
1.
COMPETENCIAS SANCIONADORAS DE LA AGENCIA
ESPAÑOLA DE PROTECCIÓN DE DATOS
Con el fin de concretar el objeto del presente trabajo, resulta de obligada referencia señalar el diferente contenido y régimen jurídico de cada una de las
competencias sancionadoras atribuidas a la AEPD.
Como ya se ha señalado, las citadas competencias hacen referencia a la LOPD,
que regula el derecho fundamental a la protección de datos de carácter personal, a la LSSI y a la LGT, que defienden el derecho a no recibir comunicaciones electrónicas con fines publicitarios o promocionales, bien a través de correo
electrónico u otro modo de comunicación electrónica equivalente, en el caso de
174
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 175
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
la LSSI, bien por medio de fax o mediante llamadas telefónicas automáticas
realizadas sin intervención humana, cuando se trata de la LGT.1.
1.1. COMPETENCIA EN RELACIÓN
AL DERECHO A LA PROTECCIÓN DE DATOS
1.1.1.
Su consideración como derecho fundamental
Por lo que se refiere al derecho fundamental a la protección de datos de carácter personal es bien conocido que el Legislador, para articular el artículo
18.4 de la Constitución, aprobó, en un primer momento, la Ley Orgánica
5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los
datos de carácter personal (en lo sucesivo LORTAD), actualmente derogada
por la LOPD, que, como señalaba su título, se ocupaba solamente de los tratamientos de datos automatizados, dejando los ficheros manuales al margen
de su regulación. Dicha norma compartió vigencia, lo mismo que lo hace hoy
la LOPD, con la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del
derecho al honor, a la intimidad personal y familiar y a la propia imagen, que
reconduce al ámbito jurisdiccional ordinario la tutela frente a las intromisiones
ilegítimas de terceros en dicho derecho.
Sin embargo, a pesar de ambas regulaciones, por un lado la LORTAD, y por otro
la Ley Orgánica 1/1982, el derecho a la protección de datos venía siendo considerado como parte del derecho a la intimidad y privacidad, a través del concepto de «derecho a la autodeterminación informativa». El Tribunal Constitucional, en
varias sentencias (1), relacionaba el derecho a la protección de datos de carácter
personal con el derecho a la intimidad y, para ello, proclamaba el reconocimiento global de este derecho «que abarque su defensa frente a las intromisiones
que por cualquier medio puedan realizarse en ese ámbito reservado de vida» (2).
El verdadero giro, que propició que el derecho fundamental a la protección de
datos de carácter personal fuese considerado como un derecho autónomo e
1.
Sentencias 110/1984, 143/1994, 94/1998 y 202/1999, entre otras.
2.
Sentencias 254/1993 y 110/1984.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
175
03-ACanales.qxd
26/8/08
19:03
Página 176
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
independiente del derecho a la intimidad superando el concepto de «derecho
a la autodeterminación informativa», se produjo como consecuencia de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre. Resulta, por
su capital importancia, imprescindible acceder al contenido íntegro de la citada Sentencia. En el presente trabajo, sin embargo, se destacarán solamente
aquellos aspectos que han contribuido a que, a partir de ella, se haya acuñado la actual configuración del derecho fundamental a la protección de datos de
carácter personal, que se basa en el consentimiento del interesado salvo que
exista habilitación legal para efectuar el tratamiento de los datos sin necesidad
de contar con dicho consentimiento. A tal fin, resultan capitales las siguientes
conclusiones extraídas de la citada Sentencia 292/2000:
— El derecho a la protección de datos tiene un ámbito más amplio que el del
derecho a la intimidad, que persigue resguardar la vida privada de las personas frente a una publicidad no querida. En este sentido, el Tribunal Constitucional, en el Fundamento Jurídico Sexto de la citada Sentencia,
señalaba lo siguiente:
176
•
«… el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo
para la dignidad y derecho del afectado».
•
«De ahí la singularidad del derecho a la protección de datos, pues, por
un lado, su objeto es más amplio que el del derecho a la intimidad, ya
que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el artículo 18.1 de la CE, sino a lo que en ocasiones este
Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada,
inextricablemente unidos al respeto de la dignidad personal (STC
170/1987, de 30 de octubre, FJ 4)… El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos
datos que sean relevantes para o tengan incidencia en el ejercicio de
cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal
y familiar o cualquier otro bien constitucionalmente amparado».
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 177
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
•
«… el derecho a la protección de datos atribuye a su titular un haz de
facultades consistentes en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos… y que sirven a la capital función
que desempeña este derecho fundamental: garantizar a la persona un
poder de control sobre sus datos personales, lo que sólo es posible y
efectivo imponiendo a terceros los mencionados deberes de hacer. A
saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder,
rectificar y cancelar dichos datos. En definitiva, el poder de disposición
sobre los datos personales (STC 254/1993, FJ 7)».
Por ello, los responsables de ficheros o tratamientos que traten datos de
carácter personal deben cumplir, antes de proceder a su recogida, una serie de obligaciones que establece la normativa de protección de datos, es
decir, tienen una serie de «obligaciones de hacer» de carácter previo, además de unas «obligaciones de no hacer», que se plasman en la necesidad
de cumplir las prescripciones establecidas en la LOPD para no incurrir en
ninguna vulneración de la normativa de protección de datos. Dentro de las
primeras destacan, por ejemplo, la obligatoriedad de notificar e inscribir
los ficheros en el registro de protección de datos que corresponda, y el
deber de información con el fin de tratar los datos con el consentimiento
de sus titulares. Dentro de las «obligaciones de no hacer» se encontrarían todas las relativas a la abstención de adoptar medidas que pretendiesen tratar o ceder los datos con conculcación de los principios de finalidad,
calidad o seguridad.
— El derecho a la protección de datos, que conlleva un poder de control y disposición sobre los datos, supone que el responsable del fichero o tratamiento deba informar a su titular sobre la existencia de un fichero, sobre
la finalidad para la que aquellos son tratados y sobre los posibles destinatarios, ya que el interesado tiene derecho a saber, en todo momento,
quién tiene sus datos y con qué finalidad. En este sentido, la citada Sentencia en el Fundamento Jurídico Séptimo señalaba lo siguiente:
•
«… resulta que el contenido del derecho fundamental a la protección
de datos consiste en un poder de disposición y de control sobre los da-
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
177
03-ACanales.qxd
26/8/08
19:03
Página 178
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
tos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles
puede este tercero recabar, y que también permite al individuo saber
quién posee esos datos personales y para qué, pudiendo oponerse a
esa posesión o uso.
•
Estos poderes de disposición y control sobre los datos personales, que
constituyen parte del contenido del derecho fundamental a la protección
de datos, se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un
tercero, sea el Estado o un particular.
•
Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién
dispone de esos datos personales y a qué uso los está sometiendo, y,
por otro lado, el poder oponerse a esa posesión y usos…».
— La recogida y tratamiento de los datos de carácter personal se ha de fundamentar en el consentimiento de su titular, salvo que exista habilitación
legal para ello. A este respecto, el Fundamento Jurídico Undécimo de la
misma Sentencia 292/2000 señalaba lo siguiente:
178
•
«… este Tribunal ha declarado que el derecho a la protección de datos
no es ilimitado, y aunque la Constitución no le imponga expresamente
límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda
de que han de encontrarlos en los restantes derechos fundamentales y
bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (SSTC 11/1981, de 8 de abril, FJ 7;
196/1987, de 11 de diciembre, FJ 6; y respecto del artículo 18, la STC
110/1984, FJ 5).
•
… los límites que se fijan lo son a la forma concreta en la que cabe
ejercer el haz de facultades que compone el contenido del derecho fundamental en cuestión, constituyendo una manera de regular su ejercicio, lo que puede hacer el Legislador ordinario a tenor de lo dispuesto
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 179
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
en el artículo 53.1 de la CE. La primera constatación que debe hacerse, que no por evidente es menos capital, es que la Constitución ha
querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental…
•
… esos límites no pueden ser distintos a los constitucionalmente previstos, que para el caso no son otros que los derivados de la coexistencia de este derecho fundamental con otros derechos y bienes jurídicos
de rango constitucional, el apoderamiento legal que permita a un Poder
Público recoger, almacenar, tratar, usar y, en su caso, ceder datos personales, sólo está justificado si responde a la protección de otros derechos fundamentales o bienes constitucionalmente protegidos.
•
Por tanto, si aquellas operaciones con los datos personales de una persona no se realizan con estricta observancia de las normas que lo regulan, se vulnera el derecho a la protección de datos, pues se le
imponen límites constitucionalmente ilegítimos, ya sea a su contenido
o al ejercicio del haz de facultades que lo componen…».
De lo señalado se deduce que el derecho a la protección de datos es un derecho fundamental, recogido en el artículo 18.4 de la Constitución, cuya regulación
está reservada a una norma con rango de ley, la LOPD, de modo que la misma
solamente será constitucional si responde a la salvaguarda de otros derechos
fundamentales. De acuerdo con lo señalado, la LOPD establece el principio general de que el tratamiento de los datos personales solamente será posible con
el consentimiento de sus titulares y, a la vez, que caben algunas excepciones a
dicho principio, por ejemplo, en el ámbito tributario. Del mismo modo, si se quiere establecer alguna otra excepción no recogida en la LOPD deberá recogerse
inexcusablemente en una norma con rango de ley, ya que nuestro sistema constitucional impone el principio de reserva de ley en esta materia.
De acuerdo con lo señalado, está ya bastante extendido referirse a los principios de información, de consentimiento, de calidad, de finalidad y de seguridad como inspiradores del sistema de garantías recogido en la normativa
española de protección de datos. De ellos, si no hay habilitación legal que posibilite el tratamiento de los datos sin contar con el consentimiento de su titular, el más relevante es el principio de consentimiento, ya que sobre él
descansa la base del sistema y representa la premisa necesaria e ineludible
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
179
03-ACanales.qxd
26/8/08
19:03
Página 180
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
para que un responsable de fichero o tratamiento pueda entrar a tratar datos
personales sin conculcar la LOPD. A dicho principio, y al principio de información, por la íntima conexión que guarda con aquél, se va a dedicar el siguiente epígrafe del presente trabajo.
1.1.2.
1.1.2.1.
Principio de consentimiento
Antecedentes
Se concreta en el año 1981 la fecha a partir de la cual se inicia la tercera generación en la formulación del modelo europeo de protección de datos, en la
que nos encontramos en la actualidad. En el citado año se produjo la aprobación de un convenio internacional que, al paso de los años, se ha convertido
en el auténtico referente del derecho a la protección de datos personales tal
y como hoy lo conocemos. Efectivamente, el 28 de enero de 1981, el Consejo de Europa, después de haber adoptado en su Asamblea General la Resolución 509 en 1968, sobre «Los Derechos Humanos y los nuevos logros
científicos y técnicos», aprobó el Convenio 108 «para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal» (3). La diferencia cualitativa que convierte a este Convenio en referente
obligado en materia de protección de datos radica en que, por primera vez, recoge un conjunto de principios y garantías (4) que cualquier legislación nacional ha de observar a la hora de regular la protección de la persona respecto
al tratamiento automatizado de sus datos (5).
3.
Instrumento de ratificación por España de 27 de enero de 1984.
4.
En su Capítulo II sobre «Principios Básicos para la Protección de Datos» se recogen los principios de
«calidad» (artículo 5), «seguridad» (artículo 7) e «información» (artículo 8), y los derechos de «confirmación»
[artículo 8.b)], de «comunicación» [artículo 8.a)] y de «rectificación y borrado» [artículo 8.c)].
5.
La importancia del citado Convenio fue tal que la propia Comisión Europea dictó la Recomendación
81/679/CEE, de 29 de julio, relativa al Convenio del Consejo de Europa sobre «la protección de las personas
con respecto al tratamiento automatizado de datos de carácter personal», en la que, en síntesis, animaba a todos los Estados miembros a hacer un esfuerzo de acercamiento de sus legislaciones nacionales a los términos previstos en el Convenio 108, con el fin de lograr una libre circulación de datos e informaciones que
contribuyera a consolidar el mercado común. Para ello aconsejaba, como premisa, firmar y ratificar el mencionado Convenio.
180
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 181
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
Para incorporar los citados principios del Convenio 108 y, a la vez, hacerlos
compatibles con la necesidad de consolidar el mercado interior, el Parlamento Europeo y el Consejo aprobaron la Directiva 95/46/CEE, de 24 de octubre (6), «relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos» (7).
Conviene insistir en la idea del Legislador Comunitario: la construcción europea pasa inevitablemente por crear el mercado interior; ahora bien éste, que
requiere la libre circulación de los datos personales, debe respetar el derecho
a la intimidad de las personas.
El Convenio 108 del Consejo de Europa formuló, por vez primera, los principios de calidad, de seguridad y de información que deben ser respetados por
parte de los responsables de ficheros que tratan datos de carácter personal,
y que pasaron a ser incorporados y sistematizados en la Directiva 95/46/CEE,
y de ésta a la LOPD que la transpone al ordenamiento jurídico interno. A resultas de dicha sistematización los principios generalmente reconocidos son
el de información, el de consentimiento, el de calidad, el de finalidad y el de seguridad. De ellos, como ya se ha apuntado, presentan especial importancia
sobre el resto los principios de información y de consentimiento, ya que constituyen la base para que el responsable del fichero pueda ajustar el tratamiento
a la normativa sobre protección de datos. Sin embargo, conviene también adelantar que, paradójicamente, los responsables no prestan la debida atención
al deber de información que les incumbe en el momento de la recogida de los
datos, y ello constituye una falta de diligencia debida que el responsable no se
debe permitir porque, precisamente, sobre la correcta implementación de dicho deber descansa la obtención del consentimiento que les legitima para el
tratamiento de los datos.
6.
Se trata de una Directiva que, en su Considerando 11, reconoce abiertamente que supone un desarrollo del conjunto de principios y garantías que se contemplaban en el, ya citado, Convenio 108 del Consejo de
Europa.
7.
Después de esta Directiva, «transversal», se aprobaron las siguientes que vienen a regular la protección
de datos en algunos ámbitos concretos: Directiva 97/66/CE, de 15 de diciembre, «relativa al tratamiento de los
datos personales y protección a la intimidad en el sector de las telecomunicaciones»; Directiva 99/93/CE, de
13 de diciembre, «sobre firma electrónica»; Directiva 00/31/CE, de 8 de junio, «relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior»; Directiva 02/58/CE, de 12 de julio, «relativa al tratamiento de datos personales y a la protección
de la intimidad en el sector de las comunicaciones electrónicas».
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
181
03-ACanales.qxd
26/8/08
19:03
Página 182
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
1.1.2.2.
Deber de Información
Como ya se ha señalado, el sistema de garantías que la LOPD establece para la protección de datos de carácter personal descansa sobre la voluntad del
titular de los datos, de modo que únicamente se podrán recoger y tratar éstos
cuando aquél lo consienta, salvo que una ley autorice el tratamiento sin necesidad de contar con tal consentimiento. Por tanto, el principio de información
que modula el derecho fundamental tiene su directo correlativo en el deber de
información que incumbe al responsable de un fichero o tratamiento con carácter previo a la recogida de los datos.
La citada Sentencia 292/2000 del Tribunal Constitucional señala que el deber
de información es indispensable para hacer efectiva la definición constitucional del derecho fundamental a la protección de datos personales, disponiendo, en su Fundamento Jurídico Séptimo, lo siguiente:
«En fin, son elementos característicos de la definición constitucional del
derecho fundamental a la protección de datos personales los derechos del
afectado a consentir sobre la recogida y uso de sus datos personales y a
saber de los mismos.
Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales
y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los
datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo alcanza también a posibles cesionarios;
y, en su caso, requerirle para que los rectifique o los cancele».
Por lo que se refiere a la LOPD, la misma regula el deber de información en
su artículo 5.º (8) distinguiendo los siguientes supuestos:
A) Que los datos se recojan del propio interesado.
8.
182
Artículo 18 del RLOPD.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 183
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
En este caso el artículo 5.1, 2 y 3 establecen lo siguiente:
«1. Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios
situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin
perjuicio de las acciones que pudieran emprenderse contra el propio
responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias
a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d)
del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban».
Respecto a las finalidades a incluir en la cláusula informativa, el artículo
12.1 párrafo segundo del RLOPD establece que «la solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
183
03-ACanales.qxd
26/8/08
19:03
Página 184
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
de las restantes condiciones que concurran en el tratamiento o serie de tratamientos», cuestión que tiene como consecuencia que los usos y finalidades de los que se le informe al interesado deben ser lo suficientemente
concretos para que éste pueda realmente prestar su consentimiento. En
consecuencia no resultan adecuadas las siguientes finalidades:
•
Aquellas que se refieren a aspectos instrumentales, sin referirse a ninguna actividad material y concreta como, por ejemplo, señalar en la
cláusula informativa que se informa de que los datos serán tratados
para «venta a distancia», «finalidades promocionales» o «marketing
directo». En este sentido, la Sentencia de la Audiencia Nacional de 13
de abril de 2005 señala:
«Hemos de tomar en consideración, además de la doctrina anteriormente expuesta que “inequívoco”, conforme al Diccionario de
la Real Academia de la Lengua, es lo que no admite duda o equivocación, y, por contraposición a equívoco, lo que no puede entenderse o interpretarse en varios sentidos, o que no puede dar
ocasión a juicios diversos.
(…)
Recordemos que la leyenda del cupón de pedido en cuestión contenía al final “en letra pequeña” (folio 78 del expediente) la siguiente
información: “Los datos personales facilitados se han incorporado
al fichero automatizado Arcadia Internacional SA autorizándose su
tratamiento para el mantenimiento de la relación comercial, así como para finalidades promocionales y de información de productos
y servicios, tanto propios como de empresas del sector de marketing directo”, y que “si no desea el tratamiento de sus datos para las
finalidades indicadas o la cesión de los mismos a las empresas de
marketing directo para finalidades promocionales o análogas, y de
información de sus productos, indíquenoslo por escrito (Ley Orgánica 15/1999)”.
Pues bien, de poner en relación la referida información con la regulación legal que se acaba de exponer, y la doctrina dictada en desarrollo de la misma, consideramos que dados los inconcretos
184
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 185
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
términos de dicha leyenda, no es posible entender que en ella se
contenga la información que, sobre las finalidades determinadas y
explícitas, exige el referido artículo 11.3 de la LOPD. Tal párrafo de
letra pequeña que obra al final del cupón de pedido informa, genéricamente, de que al firmar el repetido cupón se está autorizando
a Arcadia Internacional para el tratamiento de los datos para finalidades promocionales y de información de productos y servicios,
tanto propios como de empresas del sector de marketing directo. Es
decir, se prevé la posibilidad de que los datos puedan ser tratados
para fines muy genéricos e indeterminados, cuales son la promoción e información de productos y servicios, y además por todas
las sociedades pertenecientes al sector de marketing directo.
La amplitud de categorías de bienes y servicios para los que se
presta el consentimiento además, tampoco permite al particular
identificar de forma determinada y explícita las finalidades para las
que serán tratados sus datos personales, en términos que le permitan prestar un consentimiento inequívoco como es el exigido por
la LOPD.
En definitiva, la leyenda examinada no cumple con las exigencias
que la legislación sobre protección de datos requiere en la prestación del consentimiento, (artículos 6 y 11 de la LOPD) que ha de ser
inequívoco, y ello por no haberse facilitado previamente, por ARCADIA INTERNACIONAL, para obtener dicho consentimiento, una información expresa, precisa e inequívoca sobre las finalidades
determinadas y explícitas para las que iban a tratarse los datos (artículo 5 de la LOPD en relación con el artículo 4.1 de la misma).
La información facilitada al denunciante para ceder sus datos personales, a través de la repetida información de la nota de pedido no
se considera suficiente, dada su amplitud y generalidad, para permitir al mismo conocer la finalidad a que iban a destinarse dichos datos o el tipo de actividad de aquel a quien se pretendían comunicar
los mismos, contrariamente a lo argumentado en la demanda».
•
Aquellas que se refieren a finalidades genéricas e indeterminadas, respecto de las cuales el interesado no puede conocer realmente cuál es
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
185
03-ACanales.qxd
26/8/08
19:03
Página 186
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
la extensión del consentimiento que se le está requiriendo. En este sentido la Sentencia de la Audiencia Nacional de 30 de noviembre de 2005
establece lo siguiente:
«Uno de los pilares básicos de la normativa reguladora del tratamiento automatizado de datos es precisamente el principio del consentimiento o autodeterminación, cuya garantía radica en que el
afectado preste su consentimiento consciente e informado, principio que se plasmaba ya en el artículo 6.1 de la LORTAD de 1992,
según el cual, el “tratamiento automatizado de datos de carácter
personal requerirá el consentimiento del afectado, salvo que la Ley
disponga otra cosa”, precepto reproducido en el artículo 6.1 de la
Ley Orgánica 5/1999, que para resaltar la importancia del consentimiento del afectado, añade la expresión “inequívoco”.
Se trata de una garantía fundamental, dada la notable incidencia
que el tratamiento automatizado de datos tiene sobre el derecho a
la privacidad.
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24
de octubre de 1995, en el apartado h) de su artículo 2 define como
“consentimiento del interesado” toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.
Definición que ha sido incorporada a la LOPD en el apartado h) del
artículo 3, que conceptúa el consentimiento del interesado, como
“toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de
datos personales que le conciernen” añadiendo para darle más énfasis el adjetivo “inequívoca”.
Es decir, para que el consentimiento se haya prestado de modo
inequívoco y específico es necesario que haya sido debidamente
informado.
En el artículo 5 de la LOPD se regulan los extremos sobre los que
deberán ser informados de modo expreso, preciso e inequívoco,
los interesados a los que se soliciten datos personales, esto es con
186
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 187
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
conocimiento exacto de la existencia del fichero o tratamiento de
carácter personal, de la finalidad de la recogida de los datos, del
destinatario de la información o de las consecuencias de la obtención de los mismos, de la identidad y dirección del responsable del
tratamiento o, en su caso, de su representante etc.
Por su parte el artículo 4.1 de dicho texto legal concreta las finalidades para las que pueden recabarse y tratarse los datos personales, exigiendo —como señala acertadamente la resolución
recurrida— a diferencia de la derogada LO 5/1992, que solo se refería a finalidades legítimas, que las mismas sean “determinadas,
explícitas y legítimas”.
Como reconoce la propia actora, la LOPD es más exigente que la
LORTAD, acentuando las garantías precisas en el tratamiento de
datos personales respecto a los requisitos del consentimiento, la
información previa a éste y las finalidades para las que los datos
pueden ser recabados y tratados.
(…)
La cuestión que se suscita es si la demandante contaba con el consentimiento de las afectadas para la conservación y tratamiento de
sus datos personales, en virtud de la leyenda que contenía al final
y en letra pequeña, el cupón de pedido:
“La información que usted nos facilita permitirá adecuar nuestras
ofertas a sus intereses. Usted tiene derecho a acceder a la información que le concierne de nuestro fichero automatizado (registrado en la APD) y rectificarla de ser errónea o cancelarla. A través
nuestro usted podrá recibir información comercial (de empresas de
nuestro grupo) y de otras empresas miembros de la FECEMD. Si
usted no desea recibirla, por favor, comuníquenoslo indicando claramente su nombre, apellidos y dirección”.
Pues bien, como acertadamente señala la resolución recurrida, al
conectar dicha leyenda con la regulación legal que se acaba de exponer, consideramos que dados los inconcretos términos de dicha
leyenda, no es posible entender que en ella se contenga la información precisa que se exige para que pueda hablarse de la exis-
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
187
03-ACanales.qxd
26/8/08
19:03
Página 188
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
tencia de un consentimiento inequívoco que habilite a la hoy demandante para conservar y tratar los datos, ni para cederlos a otras
empresas con fines publicitarios.
La citada leyenda, estampada en letra pequeña, prevé la posibilidad
de que los datos puedan ser tratados y cedidos para fines muy genéricos e indeterminados, cual es la información comercial de productos y servicios en general, sin determinar, y además no solo por
las empresas del Grupo y las de otras miembros de la FECEMD,
que no se identifican y se desconoce cuáles son, y no permite tampoco identificar de forma determinada y explícita las finalidades para las que serán tratados los datos personales.
En definitiva, la leyenda examinada no cumple con las exigencias
que la legislación sobre protección de datos requiere para la prestación del consentimiento, por no haberse facilitado una información
expresa, precisa e inequívoca sobre las finalidades determinadas y
explícitas para las que iban a tratarse dichos datos.
Se ha constatado, por lo expuesto, la inexistencia de consentimiento inequívoco que habilitara a la entidad demandante para la
conservación y tratamiento de los datos de las interesadas, con fines publicitarios».
La exigencia de la LOPD, en orden a que el interesado pueda conocer a
través de la cláusula informativa a qué y con qué extensión presta su consentimiento, es de tal naturaleza que en el artículo 11.3 dispone que «será nulo el consentimiento para la comunicación de los datos de carácter
personal a un tercero (9), cuando la información que se facilita al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden
comunicar» (10).
Volviendo al análisis del artículo 5.1 de la LOPD, todos los extremos recogidos en él deben ser incluidos en la cláusula que tiene obligación de im-
9.
Artículo 5.1.r) del RLOPD.
10.
Artículo 12.2 del RLOPD.
188
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 189
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
plementar el responsable del fichero o del tratamiento para que el interesado quede informado de quién posee sus datos personales y con qué fin.
La consecuencia de la incorporación del deber de información al momento previo a la recogida de los datos es extraordinariamente importante porque de sus términos se deriva el consentimiento que se ha obtenido del
interesado para tratar los datos en relación a unas finalidades y a unos
destinatarios concretos. Por lo tanto, los usos o finalidades que el responsable realice con los datos de un interesado deben moverse obligatoriamente dentro del marco establecido en la correspondiente cláusula
informativa. Si, por ejemplo, un responsable trata los datos de un interesado para finalidades incompatibles con aquellas para las que los datos
hubieran sido recogidos, salvo que se trate de tratamientos posteriores
con fines históricos, estadísticos o científicos, se produciría una vulneración del principio de calidad de datos (11).
La cuestión que se deriva de lo señalado sería la siguiente: Qué ocurre entonces si el responsable, después de haber informado de las finalidades
para las cuales tratará los datos, tiene la intención de dedicarlos a una finalidad distinta respecto de la cual no tiene el consentimiento del interesado. La respuesta es clara: Deberá obtener el consentimiento para esa nueva
finalidad. Sin él no podrá tratar los datos en ese sentido, y, si lo hace, cometerá una vulneración del principio de consentimiento al haber tratado los
datos sin contar con el consentimiento de su titular (12).
Otra cuestión que se puede plantear es la siguiente: Quiere decir lo señalado que no hay más solución que recabar el consentimiento para esa
finalidad nueva, o existe sin embargo alguna otra posibilidad. La respuesta ha de contestarse de modo negativo. No hay más remedio que obtener
el consentimiento del interesado. Sin embargo, en alguno de los países
miembros de la Unión Europea (13) no resulta necesario recabar el con-
11.
Artículo 4.2 en relación con el 44.3.d) de la LOPD.
12.
Artículo 6.1 en relación con el 44.3.d) de la LOPD.
13. Como por ejemplo Portugal, donde la Comisión Nacional Portuguesa de Protección de Datos tiene la facultad de autorizar, excepcionalmente, la utilización de los datos personales para finalidades distintas a las informadas en el momento de su recogida [artículo 6.e) en relación con el artículo 23.1.c) de la Ley 67/1998, de
26 de octubre].
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
189
03-ACanales.qxd
26/8/08
19:03
Página 190
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
sentimiento para una nueva finalidad no incluida en la cláusula informativa implementada en el momento de la recogida de los datos, ya que
transpusieron el artículo 7.f) de la Directiva 95/46/CEE, que reconoce el
tratamiento de los datos en interés legítimo del responsable. El citado precepto establece lo siguiente:
«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
(...)
f)
Es necesario para la satisfacción del interés legítimo perseguido
por el responsable del tratamiento o por el tercero o terceros a los
que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que
requieran protección con arreglo al apartado 1 del artículo 1 de la
presente Directiva».
El problema es que, en el caso español, la LOPD no transpuso el citado artículo 7.f) de la Directiva 95/46/CEE, desencadenando el efecto de tener
obligatoriamente que buscar la obtención del consentimiento del titular de los
datos para que éstos sean tratados para una nueva finalidad. Por tal motivo, cuando el RLOPD habla del tratamiento o la cesión, sin necesidad de
contar con el consentimiento del interesado, motivados por la satisfacción de
un interés legítimo del responsable del tratamiento o del cesionario, lo circunscribe a la necesidad de que exista la necesaria habilitación de una norma con rango de ley o de una norma de derecho comunitario. Por tanto, se
está refiriendo al principio general de reserva de ley, ya mencionado, aplicado al supuesto de que «el tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del
cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados» (14).
La conclusión, por tanto, es que la habilitación para tratar los datos por
parte del responsable, salvo que le venga atribuida por una ley o que, co-
14.
190
Artículo 10.2.a) párrafo segundo del RLOPD.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 191
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
mo a continuación se analizará, los datos se encuentren recogidos en
fuentes accesibles al público, se basa siempre en los términos incluidos en
la cláusula informativa que se le haya planteado al afectado en el momento
de consentir la recogida de sus datos.
Por último, es preciso que el responsable pondere suficientemente la importancia que merece el deber de información con base en los siguientes
motivos:
•
Es una «obligación de hacer» que la LOPD exige para que un responsable pueda tratar datos de carácter personal.
•
Representa los términos del consentimiento prestado por el interesado en relación a las finalidades con respecto a las cuales pueden ser
tratados sus datos.
•
Ha de sintetizar la estrategia de la política de protección de datos del
responsable, de modo que el tratamiento de éstos descanse sobre
unas finalidades que concuerden en el corto y medio plazo con su actividad industrial o comercial. Piénsese que poner en marcha un proceso de obtención de consentimiento, por mucho que se hayan
simplificado algo las cosas a través del procedimiento de solicitud del
consentimiento presunto que se regula en el RLOPD (15), es complicado en la gestión y genera costes para el responsable. Por ello, resulta
importante contar con una cláusula informativa que recoja unas finalidades para el tratamiento de los datos de los clientes que satisfagan,
al menos a medio plazo, las líneas generales de la estrategia del desarrollo de la actividad empresarial del responsable.
B) Que los datos se recojan procedentes de fuentes accesibles al público, en
cuyo caso la LOPD distingue dos casos:
•
15.
Que se traten para cualquiera finalidad que no sea la de publicidad y
prospección comercial.
Artículo 14 del RLOPD.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
191
03-ACanales.qxd
26/8/08
19:03
Página 192
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
En este supuesto, el artículo 5.4 de la LOPD establece lo siguiente:
«4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o
su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la
procedencia de los datos, así como de lo previsto en las letras
a), d) y e) del apartado 1 del presente artículo».
El caso típico es el de los ficheros de solvencia patrimonial y crédito creados para realizar informes sobre información de tal naturaleza, a los
que se refiere el artículo 29.1 de la LOPD en los siguientes términos:
«1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito (16) sólo podrán
tratar datos de carácter personal obtenidos de los registros y
las fuentes accesibles al público (17) establecidos al efecto o
procedentes de informaciones facilitadas por el interesado o
con su consentimiento (18)».
De acuerdo con lo señalado, si los datos de carácter personal han sido obtenidos de fuentes accesibles al público, como es lo normal de
diarios y boletines oficiales, el responsable del fichero común (19) debe
informar al interesado, en el plazo de tres meses siguientes al momento
de registro de los datos, salvo que ya lo hubiera hecho con anterioridad,
a tenor de lo previsto en el artículo 5.4 de la LOPD. Si no consigue informar al afectado, debe cancelar sus datos en los citados ficheros.
16.
Artículo 5.4 de la LOPD.
17.
Artículo 7 del RLOPD.
18.
Artículos 36 y 37 del RLOPD.
19. Son los ficheros normalmente denominados de «Incidencias Judiciales y Reclamaciones de Organismos
Públicos».
192
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 193
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
•
Que se traten en un fichero de publicidad o prospección comercial.
En este supuesto, el párrafo final del apartado 5 del artículo 5 de la LOPD,
después de señalar que no le será de aplicación el apartado 4, referente a la obligación de informar al interesado en el plazo de tres meses siguientes al momento de registro de los datos, establece que «tampoco
regirá lo dispuesto (...) cuando los datos procedan de fuentes accesibles
al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado
se le informará del origen de los datos y de la identidad del responsable
del tratamiento así como de los derechos que le asisten».
En el mismo sentido, el artículo 30.2 de la LOPD reitera dicha obligación de informar al interesado al disponer lo siguiente:
«2. Cuando los datos procedan de fuentes accesibles al público (20), de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que
se dirija al interesado se informará del origen de los datos y de
la identidad del responsable del tratamiento, así como de los
derechos que le asisten» (21).
En este caso, el interesado podrá ejercitar el derecho de oposición con
el fin de que el responsable del fichero cese en el tratamiento de sus
datos de acuerdo con lo señalado en el artículo 30.4 de la LOPD (22).
En tal supuesto, sus datos podrán integrarse en un fichero común de
exclusión, creado en el artículo 49 del RLOPD.
Por su parte, el artículo 18 del RLOPD remarca la importancia que para el
responsable tiene el deber de información, con el fin de legitimar los tratamientos de datos que realice, de modo que dispone que «deberá llevarse
a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afec-
20.
Artículo 7 del RLOPD.
21.
Artículo 45.2 del RLOPD.
22.
Artículos 34.b) y 51 del RLOPD.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
193
03-ACanales.qxd
26/8/08
19:03
Página 194
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
tado». «El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar». La finalidad
es clara a tenor del artículo 12.3 del citado Reglamento: «Corresponderá
al responsable del tratamiento la prueba de la existencia del consentimiento
del afectado (23) por cualquier medio de prueba admisible en derecho».
1.1.2.3.
Prestación del consentimiento
De acuerdo con lo señalado hasta ahora, el tratamiento de datos personales
se basa en el consentimiento del afectado, salvo que exista habilitación legal
para tratarlos o cederlos sin necesidad de contar con él. Sin embargo, cuando los datos tratados procedan de fuentes accesibles al público, el responsable, para tratar los datos, no ha de contar con el previo consentimiento de su
titular sino que, en un principio, puede hacerlo, pero con la obligación de poner a disposición del afectado los derechos que le reconoce la LOPD, bien al
comunicarle el tratamiento en el plazo de tres meses a partir de la fecha del
registro del alta de los datos en el fichero (24), bien, si se trata de un fichero de
publicidad o prospección comercial, en cada una de las comunicaciones que
se le dirijan. Sobre este tema del tratamiento de datos que procedan de fuentes de acceso público se volverá más adelante, ya que constituye el supuesto en virtud del cual aunque los responsables no vulneran la LOPD sin
embargo sí pueden infringir la LSSI y la LGT.
Respecto a la prestación del consentimiento por parte del interesado, la LOPD
establece lo siguiente:
— En el artículo 3.h) entiende por consentimiento «toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen».
— Por su parte en el artículo 6.1 de la LOPD dispone que «El tratamiento de
los datos de carácter personal requerirá el consentimiento inequívoco del
afectado, salvo que una ley disponga otra cosa».
23.
Artículos 6.1 y 11.1 de la LOPD.
24.
Por ejemplo, artículo 29.1 en ficheros de solvencia patrimonial y crédito.
194
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 195
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
— Respecto del principio de información el artículo 5.1 establece que «los
interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco». En este sentido, el artículo 12.1 párrafo segundo del RLOPD señala que «la solicitud
del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento
o serie de tratamientos», y el apartado 3 añade, respecto de la cesión de
datos, «cuando se solicite el consentimiento del afectado para la cesión de
sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada
por el cesionario. En caso contrario, el consentimiento será nulo».
— El artículo 4.1 relativo al principio de calidad de datos señala que «los datos de carácter personal sólo se podrán recoger para su tratamiento, así
como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos (25) en relación con el ámbito y las finalidades determinadas, explícitas y legítimas (26) para las que se hayan obtenido» (27).
— Para finalizar en su artículo 7.2 y 3, respecto al grupo de datos especialmente protegidos, dispone lo siguiente:
•
«2.
Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que
revelen la ideología, afiliación sindical, religión y creencias».
25. Artículo 8.4 del RLOPD. Artículo 13.2 del RLOPD sobre consentimiento en los datos recabados de los menores de edad. Instrucción 1/1996, de 1 de marzo, de la Agencia Española de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios, e Instrucción 2/1996,
de 1 de marzo, de la Agencia Española de Protección de Datos, sobre ficheros automatizados establecidos
con la finalidad de controlar el acceso a los casinos y salas de bingo, que señalan que los datos recogidos habrán de ser los estrictamente necesarios para cumplir la finalidad de controlar el acceso.
26.
Artículo 8.1 y 2 del RLOPD.
27. Instrucción 2/1995, de 4 de mayo, de la Agencia Española de Protección de Datos, sobre medidas que garantizan la intimidad de los datos personales recabados como consecuencia de un seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o personal. Instrucción 1/2006, de 8 de noviembre, de la
Agencia Española de Protección de Datos, sobre tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, artículo 4.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
195
03-ACanales.qxd
26/8/08
19:03
Página 196
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
•
«3.
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo
disponga una ley o el afectado consienta expresamente».
De lo señalado cabe deducir que el consentimiento ha de consistir en una declaración de voluntad expresa, inequívoca, específica o precisa e informada,
por medio de la cual el interesado consienta que sus datos sean tratados y, en
su caso, cedidos para las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido, de modo que pueda conocer quién trata sus datos y con qué finalidad. En palabras del Tribunal Constitucional, en la citada
sentencia 292/2000 (28), «… ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento
quién dispone de esos datos personales y a qué uso los está sometiendo, y,
por otro lado, el poder oponerse a esa posesión y usos…». De entre las cualidades atribuibles a la prestación del consentimiento, la que se refiere a que
la declaración de voluntad sea informada es el que reviste capital importancia,
ya que sin esta característica difícilmente la declaración de voluntad podrá llegar a ser inequívoca y específica.
Por lo tanto, cabe distinguir en la prestación del consentimiento, cuando los datos hayan sido recogidos del interesado, dos supuestos:
— El de carácter general, basado en una cláusula informativa que recoja los
extremos a que se refiere el artículo 5.1 (29) de la LOPD, en virtud de la
cual se obtenga un consentimiento expreso, inequívoco, específico e informado del interesado.
— Por otro, el que se refiere a datos referidos a ideología, afiliación sindical,
religión y creencias, en cuyo caso se exige que, además del citado principio de información que reúna todos los aspectos previstos en el artículo
5.1, conste la prestación del consentimiento por escrito.
28.
Fundamento Jurídico Séptimo.
29.
Artículo 18 del RLOPD.
196
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 197
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
Como es fácil deducir, la principal dificultad consistirá en identificar cuándo se puede deducir el consentimiento expreso, inequívoco, específico e
informado del interesado aunque éste no conste por escrito. Para abordar
esta cuestión es evidente que será necesario analizar caso a caso, toda
vez que ese consentimiento expreso habrá de sustentarse sobre el ya analizado principio de información (30), y sobre actitudes del titular de los datos de las que se pueda deducir razonablemente que su verdadera
voluntad era la de acceder al tratamiento y, en su caso, a la cesión de sus
datos. Para ello es básica la concurrencia de las siguientes condiciones:
•
Debe haberse facilitado una adecuada información sobre la finalidad
determinada y explícita del tratamiento al que se van a someter los datos personales del afectado.
•
Debe deducirse una voluntad del interesado libre, informada y, por lo
tanto, inequívoca y específica, que se presta previo el conocimiento de
una concreta información entre la que necesariamente ha de constar la
finalidad. En algunas ocasiones, la deducción del consentimiento inequívoco del afectado se deriva de una valoración fáctica individualizada de las pruebas aportadas, y la consideración de que lo que sucedió,
el tratamiento de los datos del afectado, se produjo a consecuencia de
la prestación del consentimiento de éste (31).
La conclusión, que cabe resaltar de lo señalado, es que siempre recaerá sobre el responsable del fichero o del tratamiento la carga de la prueba de demostrar que contaba con el consentimiento expreso del interesado para tratar
sus datos (32), salvo en los supuestos en que el mismo no sea exigible con
arreglo a lo dispuesto en la LOPD o en otras leyes.
1.1.2.4.
Tratamiento de datos procedentes de fuentes accesibles al público
La LOPD prevé que los datos puedan ser tratados por el responsable del fichero o del tratamiento si se encuentran recogidos en alguna fuente accesi-
30.
Artículo 5.1 del RLOPD.
31.
En este sentido, es muy importante la Sentencia de la Audiencia Nacional de 1 de febrero de 2006.
32.
Artículo 12.3 del RLOPD.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
197
03-ACanales.qxd
26/8/08
19:03
Página 198
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
ble al público, aunque éstos ni hayan sido recabados directamente del interesado ni procedan de una habilitación legal, lo que posibilita su tratamiento sin
necesidad de contar con el consentimiento del interesado.
Sobre la consideración de fuentes accesibles al público (33), el artículo 3.j) de la
LOPD establece que únicamente tendrán tal consideración «aquellos ficheros
cuya consulta puede ser realizada, por cualquier persona, no impedida por una
norma limitativa o sin más exigencias que, en su caso, el abono de una contraprestación (34). Tienen consideración de fuentes de acceso público, exclusivamente, el censo promocional (35), los repertorios telefónicos en los términos
previstos por su normativa específica (36) y las listas de personas pertenecientes a grupos de profesionales (37) que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su
pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales (38) y los medios de comunicación» (39).
Por su parte, el artículo 7 del RLOPD, dedicado precisamente a las fuentes accesibles al público, establece en su apartado c), relativo a las listas de personas pertenecientes a grupos de profesionales, que «la dirección profesional
podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica».
33. Artículos 5.4 y 5 (datos no recabados del interesado y principio de información), 6.2 (innecesidad de requerimiento de consentimiento previo para el tratamiento de los datos, sin perjuicio de las obligaciones establecidas en los artículos 5.4 y 5, y 30.2 en el caso del tratamiento de los datos con fines de publicidad y
prospección comercial), 11.2.b) (a efectos de comunicación de datos, sin que sea posible su comunicación a
ficheros de titularidad privada de acuerdo con lo que establece el artículo 21.3), 28, 29.1 (ficheros comunes de
información sobre la solvencia patrimonial y el crédito), y 30.1 y 2 (tratamiento de los datos con fines de publicidad y prospección comercial). Artículo 7 del RLOPD.
34.
Artículo 7.2 del RLOPD.
35.
Artículo 31 de la LOPD, y artículo 7.1.a) del RLOPD.
36. Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, artículos 22.1.b) y 38.6. Orden
CTE/711/2002, de 26 de marzo, por la que se establecen las condiciones de prestación del servicio de consulta telefónica sobre números de abonados, declarada vigente por la disposición transitoria tercera del Real Decreto 424/2005, de 15 de abril, por la que se aprueba el Reglamento sobre las condiciones para la prestación
de servicios de comunicaciones electrónicas, servicio universal y protección de los usuarios. Artículo 7.1.b) del
RLOPD.
37.
Artículo 28.2 y 3 de la LOPD, y artículo 7.1.c) del RLOPD.
38.
Artículo 7.1.d) del RLOPD.
39.
Artículos 28 y 30 en relación con el artículo 5.5 párrafo segundo de la LOPD. Artículo 7.1.e) del RLOPD.
198
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 199
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
De acuerdo con lo señalado, en general, los datos incluidos en fuentes accesibles al público podrán ser recogidos en un fichero y tratados por el responsable, salvo en el caso de datos contenidos en listados de los colegios
profesionales si el destino de aquéllos fuera su inclusión en un fichero de publicidad y prospección comercial y el interesado hubiera hecho constar su expreso deseo de que los mismos no fueran utilizados para dicha finalidad. En
dicho sentido, el artículo 28.2 párrafo primero de la LOPD establece que «los
interesados tendrán derecho a que la entidad responsable del mantenimiento de los listados de los Colegios profesionales indique gratuitamente que sus
datos personales no pueden utilizarse para fines de publicidad o prospección
comercial». En este caso, si el responsable procede a recoger y tratar los datos haciendo caso omiso a la indicación reflejada en los citados listados, incurriría en una vulneración de la normativa de protección de datos por haber
procedido a tratarlos sin contar con el consentimiento de su titular.
No obstante, el interesado, en el momento en que conozca la inclusión de sus
datos en un fichero a través de la notificación que tiene la obligación de practicarle el responsable a tenor de lo previsto en los artículos 5.4 y 30.2 de la
LOPD, podrá oponerse al tratamiento de acuerdo con lo señalado en el artículo 6.4 de la LOPD, que establece lo siguiente:
«4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre
que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento (40) cuando existan motivos fundados y legítimos relativos a
una concreta situación personal (41). En tal supuesto, el responsable
del fichero excluirá del tratamiento los datos relativos al afectado» (42).
En el mismo sentido, el artículo 34.a) y b) del RLOPD dispone lo siguiente:
«El derecho de oposición es el derecho del afectado a que no se lleve a
cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:
40. Artículo 17 y 30.4 de la LOPD. Artículos 34 a 36 y 51 del RLOPD sobre ficheros de publicidad y prospección comercial.
41. Artículos 34.a) y 35.1 del RLOPD.
42. Artículo 16.3 de la LOPD.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
199
03-ACanales.qxd
26/8/08
19:03
Página 200
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado,
referido a su concreta situación personal, que lo justifique, siempre
que una Ley no disponga lo contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realización de
actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 de este Reglamento, cualquiera que sea la empresa responsable de su creación» (43).
1.2. COMPETENCIAS EN RELACIÓN A LOS DERECHOS
DE LOS DESTINATARIOS DE SERVICIOS DE LA SOCIEDAD
DE LA INFORMACIÓN Y A LOS DERECHOS DE LOS ABONADOS
A LOS SERVICIOS DE COMUNICACIONES ELECTRÓNICAS
1.2.1.
Introducción
Como ya ha quedado señalado, corresponden a la AEPD determinadas competencias sancionadoras en materia de derechos de los destinatarios de servicios de la sociedad de la información y de los derechos de los usuarios y
abonados de servicios de comunicaciones electrónicas. Como también se ha
adelantado, el Legislador quiso que fuera así al incluir a la AEPD entre las entidades que poseen tal potestad tanto en la LSSI como en la LGT.
La cuestión que subyace en el fondo de estas competencias sancionadoras de
la AEPD, al margen de la LOPD, es que el sistema que prevén las citadas leyes está basado en la necesidad de que el que remite una comunicación
publicitaria o promocional por correo electrónico o por otro medio de comunicación electrónica equivalente, o el que envía un mensaje vía fax con fines de
venta directa, ha de haberse preocupado de conseguir y de poder probar que
cuenta con el consentimiento del receptor de dichas comunicaciones. Pasemos a analizar dicha cuestión.
43.
200
Artículo 30.4 de la LOPD.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 201
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
1.2.2.
Competencias en relación a los derechos de los destinatarios
de servicios de la Sociedad de la Información
La LSSI establece la competencia sancionadora de la AEPD en su artículo
43.2 párrafo segundo al señalar lo siguiente:
«No obstante lo anterior, la imposición de sanciones por incumplimiento
de las resoluciones dictadas por los órganos competentes en función de
la materia o entidad de que se trate a que se refieren los párrafos a) y b)
del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. Igualmente, corresponderá a la Agencia Española de
Protección de Datos la imposición de sanciones por la comisión de las
infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de
esta Ley».
Los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la LSSI disponen, respecto a
las infracciones graves y leves, lo siguiente:
«3. Son infracciones graves:
(…)
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el
envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en
el artículo 21.
d) El incumplimiento significativo de la obligación del prestador de
servicios establecida en el apartado 1 del artículo 22, en relación
con los procedimientos para revocar el consentimiento prestado
por los destinatarios.
(…)
i)
El incumplimiento significativo de las obligaciones de información
o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
201
03-ACanales.qxd
26/8/08
19:03
Página 202
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
(…)
4. Son infracciones leves:
(…)
d) El envío de comunicaciones comerciales por correo electrónico u
otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.
(…)
g) El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no
constituya una infracción grave.
h) El incumplimiento de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los
destinatarios cuando no constituya infracción grave».
De lo anterior se deduce que las competencias sancionadoras a la AEPD giran en torno a dos preceptos, los artículos 21 y 22 de la LSSI, que establecen
lo siguiente:
«Artículo 21. Prohibición de comunicaciones comerciales no solicitadas
realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o
expresamente autorizadas por los destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera
obtenido de forma lícita los datos de contacto del destinatario y los
empleara para el envío de comunicaciones comerciales referentes a
productos o servicios de su propia empresa que sean similares a los
que inicialmente fueron objeto de contratación con el cliente.
202
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 203
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad
de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de
recogida de los datos como en cada una de las comunicaciones comerciales que le dirija».
«Artículo 22.
Derechos de los destinatarios de servicios.
1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios
puedan revocar el consentimiento que hubieran prestado.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.
2. Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización
y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de
los datos mediante un procedimiento sencillo y gratuito.
Lo anterior no impedirá el posible almacenamiento o acceso a datos con
el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que
resulte estrictamente necesario, para la prestación de un servicio de la
sociedad de la información expresamente solicitado por el destinatario».
A la vista de la regulación de la mencionada potestad sancionadora, los principios que deben ser respetados por el remitente de una comunicación publicitaria o promocional por correo electrónico o por otro medio de comunicación
electrónica equivalente son los siguientes:
— Para que una persona física o jurídica pueda remitir legalmente una comunicación publicitaria o promocional (44), por correo electrónico u otro me-
44. El apartado f) del Anexo de la LSSI define por «Comunicación comercial»: «toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
203
03-ACanales.qxd
26/8/08
19:03
Página 204
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
dio de comunicación electrónica equivalente, ha de haber recibido una previa solicitud del receptor, contar con su expresa autorización o tener una
relación contractual previa con éste en cuyo caso, además, la comunicación comercial ha de referirse a productos o servicios de la propia empresa que sean similares a los que fueron el objeto del contrato originario.
— Los prestadores de servicios habrán de habilitar procedimientos, sencillos
y gratuitos, bien para que el destinatario pueda oponerse, en el momento
de la recogida o en cualquier otro en el que se remitan comunicaciones comerciales, al tratamiento de sus datos con fines promocionales, bien para
que pueda revocar el consentimiento previamente prestado para recibir
las citadas comunicaciones.
— Si los prestadores de servicios utilizan dispositivos de almacenamiento y
recuperación de datos en equipos terminales habrán de informar a los destinatarios de la posibilidad de rechazar el tratamiento.
Los señalados principios nos colocan, una vez más, frente a la necesidad de
tener que contar con el consentimiento del destinatario para que se le puedan
remitir legalmente comunicaciones comerciales por vía electrónica. A tal fin, la
propia LSSI, en su artículo 19.2, establece lo siguiente:
«2. En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención
de datos personales, la información a los interesados y la creación y
mantenimiento de ficheros de datos personales».
De acuerdo con lo anterior, el prestador de servicios ha de poder probar que
cuenta siempre con el consentimiento previo, inequívoco, específico e informado del destinatario de la comunicación comercial enviada por vía electrónica. Esto quiere decir que de las tres posibles vías para poder tratar los datos
o persona que realice una actividad comercial, industrial, artesanal o profesional. A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad
de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica».
204
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 205
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
de los interesados previstas en la LOPD, es decir, la recogida de datos con
consentimiento del propio titular, la recogida de fuentes accesibles al público
a los efectos exclusivamente de dicha ley y la posibilidad de tratar los datos sin
necesidad de contar con el consentimiento del interesado porque una norma
con rango de ley así lo señale, a los exclusivos efectos de la LSSI solamente
resulta aplicable la primera de ellas.
Ello se debe a que el Legislador busca frenar el alarmante incremento sobre
todo del «spamming» (45), por lo que exige que el destinatario de la comunicación comercial, remitida por correo electrónico u otro medio de comunicación electrónica equivalente, o la haya solicitado, con lo cual el emisor puede
demostrar su consentimiento para el envío, o la haya autorizado, encontrando
en dicha autorización la prueba de consentimiento que se requiere. La Exposición de Motivos de la LSSI es clara al respecto al señalar que «En lo que se
refiere a las comunicaciones comerciales, la Ley establece que éstas deban
identificarse como tales, y prohíbe su envío por correo electrónico u otras
vías de comunicación electrónica equivalente, salvo que el destinatario haya
prestado su consentimiento».
La cuestión que se plantea no es intranscendente. Resulta relativamente habitual que los particulares o las empresas que pueden obtener, por ejemplo,
direcciones de correo electrónico en Internet, entiendan que pueden proceder a tratar dichas direcciones para enviar correos electrónicos no deseados
porque se encuentran en una fuente que está accesible al público. No advierten, sin embargo, dos cuestiones fundamentales: La primera, en términos generales, que Internet no tiene la consideración de fuente accesible al público
ni siquiera a los efectos de la LOPD, y, la segunda, que aunque la entidad que
vela por la posible infracción del artículo 21 de la LSSI sea la AEPD, es decir,
la misma que tutela el cumplimiento de la normativa de protección de datos,
sin embargo lo hace en un entorno normativo absolutamente diferente en el
que no comparte todos y cada uno de los principios aplicables a la protección
de datos. Entre ellos, como ya se ha señalado, es absolutamente esencial
comprender que se incurre en una infracción leve o grave de la LSSI, según
45. Remisión de correos electrónicos no deseados o correos basura, que bloquean la capacidad de los ordenadores y hacen perder a las empresas muchas horas de trabajo al año, ya que obligan a sus empleados a
dedicar en exclusiva el comienzo de su jornada laboral a borrar dichos correos.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
205
03-ACanales.qxd
26/8/08
19:03
Página 206
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
los casos, si se envía una o varias comunicaciones comerciales por vía electrónica sin haber contado con el previo consentimiento del destinatario.
Este planteamiento no es legal ni aunque, a diferencia del supuesto señalado
relativo a la obtención de unas direcciones de correo electrónico en Internet,
el origen de su recogida sí procediera de una fuente accesible al público por
encajar en el contenido previsto en el artículo 3.j) de la LOPD. En este último
caso si, por ejemplo, una empresa identificara que en una lista de colegiados (46) se recogen, como permite el artículo 7.c) del RLOPD, sus direcciones
electrónicas debe tener siempre presente que desde el punto de vista de la LSSI ello en ningún caso le habilita para remitir por correo electrónico u otro medio de comunicación electrónico equivalente una comunicación publicitaria o
promocional.
1.2.3.
Competencias en relación al derecho de los abonados
a los servicios de comunicaciones electrónicas
a no recibir mensajes vía fax con fines de venta directa
El planteamiento realizado en el epígrafe anterior respecto a la LSSI, como
ya se ha señalado, es perfectamente aplicable a las competencias sancionadoras atribuidas a la AEPD por la LGT, en relación al envío de mensajes de fax
con fines de venta directa (47). El sistema que prevén las citadas leyes está basado en la necesidad de que el que remite una comunicación publicitaria o
promocional por correo electrónico o por otro medio de comunicación electrónica equivalente, o el que envía un mensaje vía fax con fines de venta directa, ha de haber obtenido previamente el consentimiento del receptor de dichas
comunicaciones.
En el citado sentido, es imprescindible que el emisor de un mensaje de fax de
esa naturaleza cuente con el consentimiento previo del destinatario. Resulta,
por tanto, sancionable de acuerdo con la LGT, como infracción grave o muy grave, el envío de uno o varios mensajes vía fax con fines de venta directa sobre la
46. «Lista de personas pertenecientes a grupos de profesionales», tal y como lo establece el artículo 3.j) de
la LOPD.
47.
206
Artículo 38.3.h).
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 207
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
creencia, absolutamente carente de fundamento al amparo de la mencionada
ley, de que el número del teléfono preparado para la recepción de ese fax se
hubiera obtenido de una fuente accesible al público a los efectos de la LOPD.
Esto se debe a que, como sucede con la LSSI, también en la LGT el Legislador quiso seguir el mismo esquema en virtud del cual, de las tres posibles vías
para poder tratar los datos de los interesados previstas en la LOPD (48), solamente resulta aplicable aquella que se basa en la recogida de los datos con el
consentimiento del propio interesado. Hasta tal punto esto es así que la LGT señala expresamente que la emisión de un mensaje por fax con fines de venta directa, sin contar con el previo consentimiento del receptor, será sancionada de
acuerdo con lo previsto en la LSSI. La razón de fondo se fundamenta también,
como ocurría en el ámbito de la LSSI, en la voluntad de frenar en este caso la
actividad promocional de un tercero por medio de envíos de fax que, además
de suponer un tratamiento inconsentido de dicho dato, producen para el receptor unos gastos que éste no tiene obligación de soportar, salvo que haya
prestado su previo consentimiento para que le fueran enviados.
El señalado planteamiento se deduce de los siguientes artículos de la LGT:
«Artículo 58.
Competencias sancionadoras.
La competencia sancionadora corresponderá:
(…)
b) A la Agencia Española de Protección de Datos, cuando se trate de las
infracciones muy graves comprendidas en el párrafo z) del artículo 53
y de las infracciones graves previstas por el párrafo r) del artículo 54».
«Artículo 53.
Infracciones muy graves.
Se consideran infracciones muy graves:
(…)
48. Es decir, la recogida de datos con consentimiento del propio titular, la recogida de fuentes accesibles al
público a los efectos exclusivamente de dicha ley, y la posibilidad de tratar los datos sin necesidad de contar con
el consentimiento del interesado porque una norma con rango de ley así lo señale.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
207
03-ACanales.qxd
26/8/08
19:03
Página 208
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
z) La vulneración grave o reiterada de los derechos previstos en el artículo
38.3, salvo el previsto por el párrafo h), cuya infracción se regirá por el
régimen sancionador previsto en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, y el
incumplimiento grave o reiterado de las obligaciones de protección y
seguridad de los datos almacenados establecidas en el artículo 8 de la
Ley de Conservación de Datos Relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones».
«Artículo 54.
Infracciones graves.
Se consideran infracciones graves:
(…)
r) La vulneración de los derechos previstos en el artículo 38.3, salvo el
previsto por el párrafo h), cuya infracción se regirá por el régimen sancionador previsto en la Ley 34/2002, de 11 de julio, y el incumplimiento
de las obligaciones de protección y seguridad de los datos establecidas en el artículo 8 de la Ley de Conservación de Datos Relativos a
las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones, salvo que deban considerarse como infracción muy grave».
«Artículo 38.
Derechos de los consumidores y usuarios finales.
(…)
3. En particular, los abonados a los servicios de comunicaciones electrónicas tendrán los siguientes derechos:
(…)
h) A no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello».
Por la referencia que realizan los artículos 53.z) y 54.r) a la LSSI, efectivamente resulta de aplicación todo lo ya señalado en el epígrafe anterior de este trabajo.
En definitiva, otra vez aparece la figura del consentimiento en relación a los envíos de mensajes vía fax con fines de venta directa. Sin embargo, lo esencial
208
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 209
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
es comprender la dimensión que tiene este requisito en la LGT que, al igual
que en la LSSI, solamente comparte con la LOPD una de las vías para la obtención del consentimiento en el tratamiento de los datos, la que consiste en
su recogida directamente del interesado.
2.
PROCEDIMIENTO SANCIONADOR
2.1.
2.1.1.
RÉGIMEN JURÍDICO
Antes del Reglamento de desarrollo de la LOPD
Como ya ha quedado apuntado en el presente trabajo, a la competencia sancionadora clásica en materia de protección de datos de carácter personal, atribuida a la AEPD en la LOPD, se unieron las previstas en la LGT y en la LSSI
relativas, respectivamente, al derecho de los abonados a los servicios de comunicaciones electrónicas a no recibir mensajes vía fax con fines de venta directa, y a los derechos de los destinatarios de servicios de la Sociedad de la
Información.
Respecto del régimen jurídico aplicable a los procedimientos sancionadores
instruidos al amparo de la LOPD existía, hasta la entrada en vigor del RLOPD,
una disposición reglamentaria especial y, por tanto, distinta al régimen general establecido en el Real Decreto 1398/1993, de 4 de agosto, por el que se
aprueba el Reglamento del Procedimiento para el ejercicio de la Potestad
Sancionadora (en lo sucesivo REPEPOS). Dicha disposición especial, que
se aplicaba a los procedimientos sancionadores instruidos por la AEPD al
amparo de la normativa de protección de datos, era el Real Decreto
1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos
de la derogada LORTAD (en lo sucesivo Real Decreto 1332/1994), y que permanecía vigente en cuanto que su contenido no se oponía a lo previsto en la
LOPD (49). De este modo, en su Capítulo V, el artículo 18 contemplaba un trá-
49. La disposición transitoria tercera, sobre «Subsistencia de normas preexistentes», señala lo siguiente: «Hasta tanto se lleven a efecto las previsiones de la Disposición Final primera de esta Ley, continuarán en vigor, con
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
209
03-ACanales.qxd
26/8/08
19:03
Página 210
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
mite más que el previsto en el REPEPOS para que el presunto responsable
pudiera formular alegaciones en defensa de su inocencia en relación a los
hechos que se le imputaban. A diferencia del citado régimen general, en el
que el imputado tiene derecho a formular alegaciones al acuerdo de inicio y
a la propuesta de resolución, en el Real Decreto 1332/1994 se recogía que,
una vez finalizado el período de práctica de pruebas, el instructor pondría de
manifiesto el expediente al presunto responsable a fin de que, en su caso, formulase las alegaciones y aportase cuantos documentos estimara que eran de
su interés.
Lo señalado en el párrafo anterior hace referencia a los procedimientos sancionadores instruidos por presunta infracción de la LOPD. Sin embargo, como ya se ha señalado, a partir de la entrada en vigor de la LGT y de la LSSI,
que se produjo, respectivamente, el 5 de noviembre de 2003 y el 20 de marzo de 2004, los procedimientos sancionadores que se comenzaron a instruir
por parte de la AEPD en estas materias se regulaban procedimentalmente
por el REPEPOS.
En consecuencia, antes de la entrada en vigor del RLOPD, la AEPD aplicaba
el Real Decreto 1332/1994 para los procedimientos sancionadores instruidos
por presuntas infracciones de la LOPD, y el REPEPOS para los tramitados
por posibles incumplimientos de la LGT y de la LSSI.
2.1.2.
Después de la entrada en vigor
del Reglamento de desarrollo de la LOPD
En el primer anteproyecto de RLOPD se incluía para la totalidad de procedimientos instruidos por la AEPD el señalado trámite adicional, recogido en el
Real Decreto 1332/1994, consistente en que el presunto responsable pudiese formular alegaciones y aportar cuantos documentos estimara que eran de
su interés en el momento posterior al período de práctica de pruebas De es-
su propio rango, las normas reglamentarias existentes y, en especial, los Reales Decretos 428/1993, de 26 de
marzo; 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, en cuanto no se opongan a la presente Ley». La
disposición final primera, por su parte, se refería a la aprobación por parte del Gobierno del Reglamento de desarrollo de la LOPD.
210
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 211
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
ta manera, si el texto del anteproyecto hubiese sido aprobado por el Gobierno, dicha especialidad se hubiese incorporado a las normas procedimentales
aplicables a todos los procedimientos sancionadores instruidos por la AEPD.
Sin embargo, no fue ésta la postura mantenida en el RLOPD que, finalmente,
optó por aplicar a todos los procedimientos sancionadores el régimen general
previsto en el REPEPOS. Efectivamente la disposición final única establece lo
siguiente:
«En lo no establecido en el capítulo III del título IX serán de aplicación a
los procedimientos sancionadores tramitados por la Agencia Española de
Protección de Datos las disposiciones contenidas en el Reglamento del
Procedimiento para el Ejercicio de la Potestad Sancionadora, aprobado
por Real Decreto 1398/1993, de 4 de agosto».
Asimismo el RLOPD establece el régimen transitorio aplicable a los procedimientos sancionadores señalando que «A los procedimientos ya iniciados antes de la entrada en vigor del presente Real Decreto no les será de aplicación
el mismo, rigiéndose por la normativa anterior». Ello quiere decir que, hasta el
17 de octubre de 2008, los procedimientos sancionadores que se instruyan al
amparo de la LOPD compatibilizarán dos tipos de regímenes jurídicos, por un
lado el de aquellos en los que se haya dictado el acuerdo de inicio antes del
19 de abril de 2008, en cuyo caso el presunto infractor podrá formular alegaciones al acuerdo de inicio, al período de práctica de pruebas y a la propuesta de resolución, y, por otro, el de los que el acuerdo de inicio sea posterior a
la entrada en vigor (50) del RLOPD, que ya no dispondrán de la facultad de realizar alegaciones en el momento posterior al período de práctica de pruebas.
Como corolario de cuanto se regula en el RLOPD en relación a los procedimientos sancionadores, era obligada la derogación expresa del Real Decreto
1332/1994. Así, en la disposición derogatoria única dispone que «Quedan derogados el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan
determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, el
50. Salvo en lo que se refiere a lo relativo a medidas de seguridad a tenor de lo previsto en la disposición transitoria segunda del RLOPD.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
211
03-ACanales.qxd
26/8/08
19:03
Página 212
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento
de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal y todas las normas de igual o inferior rango que contradigan o se opongan a lo dispuesto en el presente Real Decreto».
2.2.
2.2.1.
CADUCIDAD DE LAS ACTUACIONES PREVIAS
Su regulación en el Reglamento de desarrollo de la LOPD
La principal novedad contemplada en el RLOPD en relación al procedimiento
sancionador, y que no se encontraba incluida en su primer anteproyecto, hace referencia al establecimiento de un plazo de caducidad para las actuaciones previas de investigación. En este sentido, el artículo 122.4 dispone lo
siguiente:
«4. Estas actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia o petición razonada a las que se refiere el apartado 2 hubieran tenido entrada en la
Agencia Española de Protección de Datos o, en caso de no existir
aquéllas, desde que el Director de la Agencia acordase la realización
de dichas actuaciones.
El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador producirá la caducidad de
las actuaciones previas».
De acuerdo con lo señalado, el Director de la AEPD deberá dictar y notificar
el acuerdo de iniciación de oficio de un procedimiento sancionador en el plazo máximo de doce meses a contar desde que una denuncia o una petición
razonada de otro órgano hubiese tenido entrada en la misma, o desde que el
propio Director a la vista del conocimiento de una determinada información, por
ejemplo aparecida en los medios de comunicación social, así lo hubiera acordado. Si no lo hace dentro de dicho plazo, se producirá la caducidad de las actuaciones previas y, en consecuencia, no se deberá iniciar el correspondiente
procedimiento sancionador ya que el mismo sería nulo de pleno derecho por
212
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 213
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
haberse dictado prescindiendo totalmente del procedimiento legalmente establecido.
De esta manera, el RLOPD se suma a la corriente regulatoria producida en algunas esferas sectoriales del Derecho público. Como ejemplo de ello, cabe
señalar las siguientes disposiciones en las que ya existía la posibilidad de declarar la caducidad de las actuaciones previas de investigación:
— Ley del Parlamento de Andalucía 22/2007, de 18 diciembre, de Farmacia:
«Artículo 81.
Prescripción y caducidad.
(…)
2. Caducará la acción para perseguir las infracciones cuando, conocida por la Administración la existencia de una infracción y finalizadas, en su caso, las diligencias dirigidas al esclarecimiento de
los hechos, hubiera transcurrido un año sin que la Autoridad competente hubiera ordenado incoar el oportuno procedimiento».
— Ley del Parlamento del Principado de Asturias 3/2004, de 23 noviembre,
sobre Montes y Ordenación Forestal:
«Artículo 97.
Prescripción de las infracciones y sanciones.
(…)
4. Caducará la acción para perseguir la infracción cuando, conocida
por la Consejería competente en materia forestal su existencia y finalizadas las diligencias dirigidas al esclarecimiento de los hechos,
hubieran transcurrido seis meses sin que el órgano competente
ordene la iniciación del procedimiento sancionador o, iniciado éste, transcurran seis meses sin actividad de la Administración».
— Real Decreto 1891/1991, de 30 diciembre, por el que se regula la instalación y utilización de aparatos de rayos X con fines de diagnóstico médico:
«Artículo 16.
(…)
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
213
03-ACanales.qxd
26/8/08
19:03
Página 214
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
5. Las infracciones a que se refiere el presente Reglamento prescribirán a los dos años. El término de la prescripción comenzará a correr desde el día en que se hubiera cometido la infracción. La
prescripción se interrumpirá desde el momento en que el procedimiento se dirija contra el presunto infractor.
Las sanciones prescribirán a los dos años. El tiempo de prescripción comenzará a correr desde la fecha en que la resolución administrativa sancionadora sea firme.
Caducará la acción para perseguir las infracciones, cuando conocida por el Ministerio de Industria, Comercio y Turismo (51) la
existencia de una infracción y finalizadas las diligencias dirigidas
al esclarecimiento, hubieran transcurrido seis meses sin que la
autoridad competente hubiera ordenado incoar el oportuno procedimiento.
Las solicitudes de análisis contradictorios que fueran necesarios,
interrumpirán los plazos de caducidad hasta que se practiquen».
Desde el punto de vista de la técnica jurídica utilizada para la introducción de
esta nueva figura de la caducidad nada hay que objetar, ya que el Gobierno
puede, efectivamente, adoptar la medida sin conculcar el ordenamiento jurídico.
Ahora bien, desde la perspectiva de la legitimidad de la medida, y muy especialmente desde la de la garantía del derecho fundamental a la protección de
datos, varias son las cuestiones sobre las que se debería haber recapacitado:
— Dejando al margen las competencias atribuidas a la AEPD en la LGT y en
la LSSI, en la LOPD se le encomienda la función de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación,
en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos (52), es decir, la competencia para
garantizar el respeto del derecho fundamental a la protección de datos de
51. Real Decreto 438/2008, de 14 de abril. Aprueba la estructura orgánica básica de los departamentos ministeriales, y regula en el artículo 9 el Ministerio de Industria, Turismo y Comercio.
52.
214
Artículo 37.1.a) de la LOPD.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 215
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
carácter personal. Por lo tanto, no parece legítimo supeditar la defensa del
citado derecho fundamental a la observancia de un plazo procedimental de
caducidad de las actuaciones previas de investigación cuando, sin embargo, el plazo de prescripción de la posible infracción aún puede no haber transcurrido.
— El citado artículo 122.4 del RLOPD establece, como «dies ad quem» para el inicio del cómputo del plazo de caducidad, en relación a situaciones
distintas. Por un lado, lo referencia en relación al mismo momento en el que
la denuncia o petición razonada de otro órgano hubieran tenido entrada en
la AEPD, mientras que, por otro lado, de no existir aquéllas, lo fija desde
que el Director de la Agencia acordase la realización de dichas actuaciones. En todo caso, el plazo de caducidad debería acordarse desde que el
Director de la AEPD hubiera ordenado el inicio de las actuaciones previas
y no desde el momento en el que la denuncia o la petición razonada hubiesen tenido entrada en ella. Este es, sin embargo, el «dies ad quem»
que se fija en el RLOPD para el supuesto en el que el Director, ante la ausencia de denuncia o de petición razonada, acordase la realización de las
actuaciones previas de investigación.
— No hay que olvidar que la AEPD, en el ejercicio de las potestades sancionadoras que tiene encomendadas (LOPD, LGT, y LSSI), ha de programar
su plan de trabajo en base a la observancia de los siguientes plazos de
prescripción que se computarán a partir del día en el que la infracción se
hubiese cometido:
•
Respecto de la garantía del derecho fundamental a la protección de
datos instruye los procedimientos sancionadores, debiendo tener siempre presente los plazos de prescripción de las posibles actuaciones
que pudieran haber vulnerado la LOPD. Dichos plazos son de tres, dos
y un años, respectivamente, para las infracciones muy graves, graves
o leves.
•
En relación a la defensa del derecho de los abonados a los servicios de
comunicaciones electrónicas a no recibir mensajes vía fax con fines de
venta directa regulada en la LGT, también ha de tener presentes los plazos de prescripción de las posibles infracciones muy graves y graves del
artículo 38.3.h) que se fijan en tres y dos años, respectivamente.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
215
03-ACanales.qxd
26/8/08
19:03
Página 216
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
•
Por último, respecto a la LSSI y a los derechos de los destinatarios de
servicios de la Sociedad de la Información, ha de combinar las posibles
sanciones de la normativa prevista en la LOPD y en la LGT con los plazos de prescripción de las infracciones graves o leves que se fijan en
dos años y seis meses, respectivamente.
A la vista de los plazos señalados, es habitual que la denuncia de una posible
infracción leve de la LSSI que prescribe a los seis meses, por el envío de una
sola comunicación publicitaria o promocional por correo electrónico u otro medio de comunicación electrónica equivalente, obligue a iniciar de inmediato las
actuaciones previas de investigación en relación a esta posible infracción y,
de resultar indicios racionales suficientes de ellas, a tener que reorganizar el
plan de trabajo previsto de la unidad de instrucción con el fin de evitar que ninguna posible infracción de la LOPD, de la LGT o de la LSSI prescriban. Este
problema se solventaba, no sin gran dificultad, con la adecuada prelación en
la emisión de los acuerdos de inicio, de modo que ninguna posible infracción
quedara prescrita. Ello quiere decir que se tenía siempre presente lo esencial,
es decir, el correspondiente plazo de prescripción de la posible infracción, sin
que el momento de la denuncia, de la petición razonada o del acuerdo del Director en orden al inicio de actuaciones previas de investigación se antepusiera
al mencionado plazo o lo condicionara. Ahora, sin embargo, el plazo de caducidad de las actuaciones previas de investigación introducido en el RLOPD
condicionará totalmente la persecución de las posibles infracciones, incluidas
las que se produzcan por vulneración del derecho fundamental a la protección de datos de carácter personal.
Para finalizar, la disposición transitoria quinta, relativa al régimen transitorio
de las actuaciones previas, señala lo siguiente:
«A las actuaciones previas iniciadas con anterioridad a la entrada en vigor
del presente Real Decreto, no les será de aplicación el mismo, rigiéndose
por la normativa anterior.
El presente Real Decreto se aplicará a las actuaciones previas que se inicien después de su entrada en vigor».
Ello quiere decir que, sin perjuicio de lo que se señalará en el epígrafe siguiente, el plazo de caducidad de las actuaciones previas de investigación se
216
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 217
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
aplicará únicamente a las denuncias o peticiones razonadas que hayan tenido entrada en la AEPD a partir del 19 de abril de 2008, y a las que hayan sido ordenadas por su Director desde la citada fecha.
La señalada innovación que condiciona los plazos de prescripción de las diferentes infracciones, especialmente de la LOPD por la especial naturaleza
del derecho fundamental que reconoce, resta sin duda fuerza a las competencias atribuidas a la AEPD. Por tal motivo, se puede decir que nuestro modelo de tutela del derecho fundamental a la protección de datos es hoy menos
garantista que el que existía hasta la entrada en vigor del RLOPD.
2.2.2.
Sentencia de la Audiencia Nacional de 17 de octubre de 2007
En el epígrafe anterior se ha tratado de la reforma operada por el RLOPD respecto a la caducidad de las actuaciones previas de investigación, figura desconocida hasta ahora en los procedimientos sancionadores instruidos por la AEPD.
Sin embargo, a finales de 2007, cuando se tenía noticia de que el Consejo de
Ministros iba a aprobar inmediatamente el RLOPD, se conocía una sorprendente (53) Sentencia de la Audiencia Nacional, de 17 de octubre de 2007, en cuyo fallo se sostiene una doctrina que, de mantenerse en futuros fallos, haría
que lo más aconsejable para la AEPD sería que archivase los procedimientos
sancionadores iniciados antes de la entrada en vigor del RLOPD por caducidad de las actuaciones previas de investigación.
En la citada sentencia, ante la alegación de la demanda de que «se ha producido una utilización artificiosa de las diligencias de investigación con el fin
de evitar la caducidad del procedimiento», se afirma en los Fundamentos Jurídicos Quinto, Sexto y Séptimo lo siguiente:
«QUINTO. Las llamadas diligencias previas, diligencias de investigación
o información previa, se regulan con carácter general, para el procedimiento
53. Es de señalar que, hasta ahora, aunque hubiese demora entre el inicio de las actuaciones previas y la emisión y notificación del acuerdo de inicio, la Sección Primera de la Sala de lo Contencioso-Administrativo en ningún caso entendió que se hubiera producido la caducidad del procediendo sancionador. Lo importante era que
la infracción no hubiese prescrito y que el procedimiento no hubiera caducado.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
217
03-ACanales.qxd
26/8/08
19:03
Página 218
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
administrativo sancionador, en el artículo 12 del Real Decreto 1398/1993,
de 4 de agosto, que aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad sancionadora, cuyo tenor literal es el siguiente:
“1.
Con anterioridad a la iniciación del procedimiento se podrán realizar
actuaciones previas con objeto de determinar con carácter preliminar
si concurren circunstancias que justifiquen tal iniciación. En especial,
estas actuaciones se orientarán a determinar, con la mayor precisión
posible, los hechos susceptibles de motivar la incoación del procedimiento, la identificación de la persona o personas que pudieran resultar responsables y las circunstancias relevantes que concurran en
unos y otros”.
También el artículo 69.2 de la LRJ-PAC establece en el mismo sentido que
con anterioridad al acuerdo de iniciación, podrá el órgano competente abrir
un periodo de información previa con el fin de conocer las circunstancias
del caso concreto y la conveniencia o no de iniciar el procedimiento.
Preceptos que guardan total congruencia con el artículo 35 de dicha Ley
30/1992, que contempla como derecho del presunto responsable, dentro
del procedimiento sancionador, el de ser notificado de los hechos que se
le impute, de las infracciones que tales hechos puedan constituir y de las
sanciones que en su caso, se les pudieran imponer.
Se trata de que por la gravedad y trascendencia que entraña el ejercicio
de la potestad sancionadora, pues el status jurídico de quien se halla sometido a un expediente sancionador, por esta sola circunstancia, puede
encontrarse negativamente afectado, resulta necesario que la decisión de
incoar el procedimiento sancionador sea fundada y esté asentada en sólidas razones que exijan dicha incoación.
Es decir, con la finalidad de permitir a la Administración conocer los hechos
previsiblemente infractores, las circunstancias concurrentes y las personas intervinientes, se permite a la misma practicar dichas actuaciones de
investigación o indagación previas, en cuanto sean necesarias y oportunas
para verificar, hasta qué punto, existe base racional para entender producido el hecho infractor, e imputárselo a persona determinada.
Es por ello que la doctrina mas autorizada ha dicho que tales diligencias previas constituyen una garantía encaminada a asegurar el co-
218
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 219
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
rrecto ejercicio de la potestad sancionadora, evitando en lo posible
fallidas acusaciones sin base legal o fáctica, o la precipitada apertura de expedientes sancionadores. Y también que nos encontramos ante una institución materialmente garantizadora del correcto ejercicio de la
potestad sancionadora, en beneficio del administrado, en tanto evita que
el mismo pueda ser objeto de un expediente sancionador de manera infundada.
En igual sentido la STS de 13 de septiembre de 2002 (Sala Militar) declara que las diligencias de investigación son el medio ordinario, habitual y ortodoxo de que dispone la Administración, desde el punto de vista legal,
para esclarecer hechos que pudieran tener trascendencia sancionadora,
constituyendo una garantía contra la precipitación en los casos en que se
considere preciso conocer datos y extremos de los hechos susceptibles de
sanción.
SEXTO. La utilización fraudulenta o no, en el presente caso, de la
institución de las “diligencias previas” por parte de la AEPD exige
no perder de vista la esencia y finalidad de tal fase preliminar de investigación, según ha ido elaborándose por la Doctrina y la Jurisprudencia, y que a grandes rasgos se ha resumido en el fundamento
jurídico anterior.
De acuerdo con ello, resulta que en el presente supuesto se desprenden
de las actuaciones practicadas los siguientes datos fácticos de trascendencia: planteada la denuncia frente a Effico por la Sra. Nuria, con fecha
de 26 de octubre de 2004, y solicitada por el servicio de Inspección de la
AEPD determinada documentación a Equifax Ibérica, el siguiente día 28
de octubre de 2004 (que fue remitida por tal entidad el 16 de noviembre),
y a Effico Iberia SA el siguiente 3 de diciembre de 2004, plazo de remisión
de información que el 17 de diciembre de 2004 se amplió por cinco días
más, sin embargo desde entonces, y hasta el siguiente día 11 de noviembre de 2005, en que se dictó el Acuerdo de inicio del expediente sancionador, no fue llevada a cabo ninguna otra actuación.
Constituye doctrina reiterada de la Sala que las “actuaciones previas” son
una fase preliminar anterior a la iniciación en sentido estricto, que en muchas
ocasiones resulta indicada e incluso inevitable por la complejidad técnica de
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
219
03-ACanales.qxd
26/8/08
19:03
Página 220
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
los hechos investigados y dado que el artículo 18 del Reglamento de desarrollo de la LOPD (RD 1332/1994, de 20 de junio) requiere que el Acuerdo
de Incoación contenga la indicación de persona presuntamente responsable, la concreción de los hechos imputados y la expresión de la infracción
presuntamente cometida y de la sanción o sanciones que pudieran imponerse (por todas SSAN de 15 de octubre de 2004, Rec. 855/2002, 24 de
mayo de 2002, Rec. 602/2000, y 11 de mayo de 2001, Rec. 1101/1999).
En igual sentido también hemos declarado (SAN de 31 de enero de 2003,
Rec. 534/2001) que el cumplimiento de dicho articulo 18 del RD 1332/1994,
en muchos casos, solamente puede ser posible a través de una actuación
previa, y sobre todo en los supuestos de gran complejidad, donde es preciso determinar previamente quiénes son las posibles personas imputadas,
y sobre qué concretos hechos se incoa el procedimiento.
Además existe también una consolidada Jurisprudencia que viene señalando que los defectos en la realización de las actuaciones previas no vician al procedimiento sancionador posterior desde la perspectiva de las
garantías formales, si bien sí lo harán en tanto afecten a la prueba tal y como señala la STSJ Madrid de 21 de junio de 2002, RJCA 2003/471, criterio que no debería obstar para posibilitar su control judicial ante eventuales
vicios legales de entidad, como la vulneración de un derecho fundamental, lo cual podría producirse cuando se retrasa injustificadamente, o por
motivos torticeros o antijurídicos, la decisión de incoar una vez ultimadas
las actuaciones previas.
A pesar de dicha doctrina judicial y circunscribiéndonos al específico supuesto que ahora se enjuicia resulta que en él concurrió un periodo de inactividad de la Administración, en el que permanecieron
totalmente paralizadas las actuaciones, prolongado en el tiempo durante casi once meses ininterrumpidos, y en el que, nominalmente, el
expediente iniciado se encontraba en fase de “diligencias previas”.
Además de que los hechos investigados no revestían especial complejidad, resulta que la información previa requerida tanto a Equifax
como a Eficco, que fue toda la actividad llevada a cabo por la AEPD
en dicha fase de investigación preliminar, no justifica, a juicio de la
Sala, la demora de casi un año para la incoación del procedimiento
sancionador.
220
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 221
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
SÉPTIMO. Es cierto que no existe previsión legal alguna referente
al periodo de tiempo durante el que la Administración puede prolongar tal actividad investigadora previa permitida en el artículo 12 del
RD 1398/1993, y también ha de llamarse la atención sobre los, en muchas
ocasiones, breves y restrictivos plazos de caducidad previstos en las leyes:
plazo de caducidad que para los procedimientos seguidos ante la AEPD,
según lo dispuesto en el artículo 18.3 de la LOPD y en relación con el artículo 42.2 de la Ley 30/92, es de seis meses.
Ahora bien, cuando la demora en incoar el procedimiento sancionador se produce, como en el caso de autos, durante un largo periodo
de tiempo, en el que no se está investigando la pertinencia o no de dicha iniciación, sino que no se lleva a cabo ninguna actuación por parte de la Administración y, en definitiva, no existe justificación alguna
para tal demora, se incurre en una utilización espuria y fraudulenta de
lo previsto tanto en el artículo 12 del RD 1398/1993 como en el artículo
69.2 de la LRJ-PAC.
Así, y constituyendo la razón de ser de dicha actividad administrativa preliminar, como se ha mencionado, la investigación o averiguación de circunstancias de las que se extraiga la necesidad de incoar el procedimiento
sancionador, en cuanto garantía encaminada a asegurar el correcto ejercicio de la potestad sancionadora, en el presente caso la AEPD sobrepasó el tiempo en el que, razonablemente, y para no contrariar el sentido y
alcance de dicha fase preliminar, debía de haber incoado tal procedimiento
sancionador.
Y ello porque, como también se ha indicado, y una vez que la AEPD poseía información y datos suficientes, proporcionados en los dos primeros
meses de la tramitación de las repetidas actuaciones previas, y podía ya
dirigir la acusación en forma contra Effico, cumpliendo las exigencias legales, dejó sin embargo transcurrir casi once meses más sin llevar a cabo ninguna actuación, manteniendo tal solicitud de información abierta,
pero completamente inactiva.
Pronunciamiento anterior que resulta además avalada por lo previsto en
determinada normativa sectorial, concretamente en la Ley 25/1990, del
Medicamento, que en su artículo 111.2 considera caducada la acción para perseguir las infracciones cuando transcurra un año sin que la autoridad
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
221
03-ACanales.qxd
26/8/08
19:03
Página 222
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
competente haya ordenado incoar el oportuno procedimiento, e igualmente
en el RD de 22 de junio de 1983 en materia de consumo y producción
agroalimentaria (véase, en este sentido, la STS de 27 de febrero de 2003
(RJ 2518).
Consideramos por todo ello, y conforme a lo hasta aquí razonado,
que lleva razón la parte actora en cuanto que ha habido una utilización fraudulenta de la institución de las diligencias previas. Nos hallamos en consecuencia ante un supuesto de fraude de Ley
contemplado en el artículo 6.4 del Código Civil, por cuanto se pretende burlar la aplicación del artículo 42.2 de la Ley 30/1992 usando
la solicitud de información para, con ella, evitar la caducidad del expediente sancionador.
Utilización fraudulenta que conlleva la nulidad del procedimiento sancionador y la consiguiente estimación de la pretensión de la demanda, con revocación de la sanción impuesta a Effico Ibérica SA en la
resolución impugnada» (la negrita es del autor del presente trabajo).
Como se podrá comprender el asunto es grave para la AEPD ya que, por un
lado, a partir de la entrada en vigor del RLOPD se introduce un plazo de caducidad para las actuaciones previas de investigación referenciado (en los casos más habituales de inicio del procedimiento sancionador, en la fecha de
entrada de las denuncias o peticiones rogadas en dicho organismo), y, por
otro, en relación a los procedimientos iniciados con anterioridad la Sección
Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional
ha señalado una doctrina en virtud de la cual, a pesar de que como ella misma reconoce no existía ninguna norma referente al período máximo de tiempo durante el que la Administración puede prolongar tal actividad investigadora
previa permitida en el artículo 12 del REPEPOS, sin embargo entiende que,
en casos en los que se produce una demora injustificada en la iniciación del
procedimiento sancionador, se produce un supuesto de fraude de Ley contemplado en el artículo 6.4 del Código Civil, por cuanto se pretende burlar la
aplicación del artículo 42.2 de la Ley 30/1992 usando la solicitud de información para, con ella, evitar la caducidad del expediente sancionador.
El asunto es tanto más grave por cuanto que, en ningún caso y en contra de
lo que afirma la mencionada sentencia, se produce a través de la demora en
222
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 223
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
la iniciación del acuerdo de inicio una intención de evitar que se produzca la
caducidad de un procedimiento sancionador por los siguientes motivos:
— Porque, ante la ausencia de regulación que disciplinara un plazo máximo
de caducidad para dictar y notificar el acuerdo de inicio de un procedimiento sancionador, la AEPD siempre, desde que comenzó el ejercicio de
sus competencias, tuvo como referencia obligada la fecha de realización
de la conducta sancionable y el plazo de prescripción de la correspondiente infracción.
— Porque la caducidad del procedimiento, antes de la innovación recogida en
el RLOPD, se producía únicamente en relación al período de tiempo transcurrido entre la fecha del acuerdo de inicio («dies ad quem») y la de la
emisión y notificación de la resolución sancionadora («dies a quo») (54).
Por tanto, en nada afectaba el hecho de que llevadas a cabo las actuaciones
previas de investigación se demorase la emisión del acuerdo de inicio, siempre que éste se notificase antes del plazo de prescripción de la respectiva infracción y que el procedimiento se finalizara con la resolución sancionadora y
su notificación antes del plazo previsto en la normativa vigente (55).
BIBLIOGRAFÍA
APARICIO SALOM, J.: Estudio sobre la Ley Orgánica de Protección de Datos
de Carácter Personal, Aranzadi, Cizur Menor, 2002.
ARROYO YANES, L.M.: «El derecho de autodeterminación informativa frente
a las Administraciones Públicas (Comentario a la STC 254/93, de 20 de julio)», Revista Andaluza de Administración Pública, 1993.
54.
Sentencias de la Audiencia Nacional de 27 de noviembre de 2004 y de 2 de marzo de 2006.
55. Seis meses para los procedimientos sancionadores instruidos al amparo de la LOPD (artículo 48.3) y de
la LSSI (artículo 43.3), y un año para los instruidos a tenor de la LGT [artículo 58.c)].
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
223
03-ACanales.qxd
26/8/08
19:03
Página 224
NÚMERO MONOGRÁFICO
Álvaro Canales Gil
CANALES GIL, A.: «La potestad sancionadora de la Agencia Española de
Protección de Datos», Revista Jurídica General del Ilustre Colegio de Abogados de Madrid, núm. 36, abril de 2007.
CERVERA NAVAS, L.: «El Modelo Europeo de Protección de Datos de Carácter Personal», Cuadernos de Derecho Público núms. 19-20, 2003,
pp. 131-143.
CÓDIGO DE PROTECCIÓN DE DATOS, Las Rozas (Madrid), 2005.
DOMÍNGUEZ LUELMO, A.: Derecho Sanitario y responsabilidad médica (Comentarios a la ley 41/2002, de 14 de noviembre, sobre derechos del paciente, información y documentación clínica), Lex Nova, Valladolid, 2003.
DRUMMOND, V.: Internet, Privacidad y Datos Personales, Reus, Madrid, 2004.
GARCÍA AMEZ, J.: «Una mirada a la Protección de Datos de Carácter Personal», Actualidad Administrativa, núm. 18, 2006, pp. 2188-2201.
GONZÁLEZ MURÚA, A.R.: El derecho a la intimidad, el derecho a la autodeterminación informativa y la LO 5/1992, del tratamiento automatizado de
datos personales, ICPS, Barcelona, 1994.
GUÍA DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL, Agencia Española de Protección de Datos, Madrid, 2005.
GUICHOT, E.: Datos Personales y Administración Pública, Civitas, Madrid,
2005.
JIMÉNEZ RIUS, P.: «Antecedentes Legislativos de la nueva Ley Orgánica de
Protección de Datos de Carácter Personal», Actualidad Administrativa
núm. 26, 2001, pp. 965-1003.
LINDE PANIAGUA, E.: Presupuestos Constitucionales de la Protección de Datos Personales, Valencia, 2000.
LUCAS MURILLO DE LA CUEVA, P.: «La construcción del derecho a la autodeterminación informativa», Revista de Estudios Políticos, núm. 104, 1999.
— El derecho a la autodeterminación informativa: la protección de los datos
personales frente al uso de la informática, Tecnos, Madrid, 1991.
PIÑAR MAÑAS, J.L.: «Reflexiones sobre el derecho a la protección de datos
personales», Actualidad Jurídica, Uria Menéndez, núm. 12, 2005.
224
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
03-ACanales.qxd
26/8/08
19:03
Página 225
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Las competencias sancionadoras de la Agencia Española de Protección de Datos...
PIÑAR MAÑAS, J.L. y CANALES GIL, A.: Legislación de Protección de Datos,
Madrid, 2008.
REBOLLO DELGADO, L.: Derechos Fundamentales y Protección de Datos,
Madrid, 2004.
RODRÍGUEZ-VILLANUEVA, J.: «Estudios farmacogenéticos: guía de evaluación para Comités Éticos de Investigación Clínica. Fundamentos científicos y marco legal», Medicina Clínica, 2003.
ROIG, A.: «La protección de las bases de datos personales. Análisis de la jurisprudencia del Tribunal Constitucional», Revista Jurídica de Cataluña,
2002.
RUIZ CARRILLO, A.: La protección de datos de carácter personal, Bosch, Barcelona, 2001.
RUIZ MIGUEL, C.: «El derecho a la protección de los datos personales en la
Carta de Derechos Fundamentales de la Unión Europea: Análisis crítico»,
Revista de Derecho Comunitario Europeo, 2003.
SÁNCHEZ BRAVO, A.A.: «La Ley Orgánica 15/1999, de Protección de Datos
de Carácter Personal: Diez consideraciones en torno a su contenido», Revista de Estudios Políticos, 2001.
VALERO TORRIJOS, J.: «Algunas consideraciones sobre el derecho a la protección de datos personales en la actividad administrativa», Revista Vasca de Administración Pública, octubre, 2001.
VELEIRO FIGUEIREDO, B.: Protección de datos de carácter personal y Sociedad de la Información, Boletín Oficial del Estado, Madrid, 2008.
VV.AA.: Protección de datos, monográfico, Cuadernos de Derecho Público
núms. 19-20.
VV.AA.: Protección de datos de carácter personal en Iberoamérica, Tirant lo
Blanch, Valencia, 2005.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008
225
03-ACanales.qxd
26/8/08
19:03
Página 226