Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

COMPENDIO SOBRE PROTECCIÓN DE DATOS DE CARÁCTER

Anuncio 
COMPENDIO SOBRE
PROTECCIÓN DE DATOS
DE CARÁCTER
PERSONAL
PARA:
ABOGADOS
DESPACHOS JURÍDICOS.
ÍNDICE.
INTRODUCCIÓN.
I. INFORMES JURÍDICOS
- Solicitudes de datos efectuadas por la Policía Judicial sin mandamiento judicial o
requerimiento previo del Ministerio Fiscal (Informe 1999/0000)
- Difusión de datos de sentencias condenatorias por negligencia médica (Informe
2000/0000)
- Tratamiento por abogados y procuradores de los datos de las partes en un proceso
(Informe 2000/0000)
- Distinción entre ficheros de titularidad pública y privada (Informe 2001/0000)
- Naturaleza de los ficheros colegiales (Informe 2002/0000)
- Competencias de la Agencia en relación con el Registro Civil (Informe 2004/0002)
- Tratamiento de datos en el Registro Civil y su consideración de especialmente protegidos
(Informe 2006/0431)
- Publicación de datos de carácter personal en repertorios de jurisprudencia (Informe
2006/0434)
- Publicación de datos de carácter personal en Sentencias del Tribunal Constitucional
(Informe 2006/0451)
- Fuentes accesibles al público. Requisitos para incluir entre los mismos a los listados de
profesionales (Informe 2008/0164)
- Acceso a los documentos necesarios por parte de los colegios de abogados para poder
pagar a los abogados de oficio (Informe 2008/0170)
- Deber de informar en cesión al CGPJ por colegios profesionales (Informe 2008/0221)
- Lista de colegiados como fuentes accesibles al público (Informe 2008/0258)
- Consideración de la lista de colegiados como fuente accesible al público (Informe
2008/0321)
- Comunicación a un asociado la identidad del resto de asociados (Informe 2008/0333)
- La creación de una base de datos en la que sólo aparezca el DNI o el NIF queda
sometida a toda la normativa de Protección de datos (Informe 2008/0334).
- Titularidad pública de los ficheros de sociedades profesionales de los colegios
profesionales (Informe 2008/0356)
- Acceso por la Policía local a datos de matrícula en parking (Informe 2008/0433).
- Consentimiento al tratamiento de datos especialmente protegidos incorporados a fichero
(Informe 2008/0453).
- Grabación de conversaciones telefónicas por la Policía local (Informes 2008/0549 y
2009/0078).
- Comunicación listado abogados adscritos a servicios de asistencia jurídica gratuita a
colegiado del mismo colegio profesional (Informe 2009/0062).
- Requisitos de creación, notificación e inscripción de ficheros de Colegio Profesional
(Informe 2009/0298)
- Cesión de datos de colegiados a compañía aseguradora. Seguro colectivo de
responsabilidad civil suscrito por Colegio (Informe 2009/0549)
- Cesión de datos de asociados a otros socios y cesión a terceros con fines publicitarios
(Informe 2010/0038)
- Naturaleza de ficheros colegiales. Forma de creación (Informe 2010/0068)
II.- RESOLUCIONES
II.1.- Procedimiento Sancionador
- Resolución de fecha 03-03-2005 (PS-00155-2004). Artículo 6 LOPD. Recurrida.
- Resolución de fecha 09-01-2006 (PS-00172-2005). Artículo 5.5 LOPD.
- Resolución de fecha 27-09-2006 (PS-00334-2005). Artículos 6.1 y 11.1 LOPD.
Página 1 de 353
- Resolución de fecha 17-11-2006 (PS-00071-2006). Artículos 4.2, 6 y 47 LOPD.
- Resolución de fecha 20-12-2006 (PS-00213-2006). Artículo 43.1 LOPD.
- Resolución de fecha 23-07-2007 (PS-00053-2007). Artículo 21 LSSI-CE.
- Resolución de fecha 28-02-2008 (PS-00311-2007). Artículo 9 LOPD.
- Resolución de fecha 14-04-2008 (PS-00525-2007). Artículo 10 LOPD.
- Resolución de fecha 22-07-2008 (PS-00039-2008). Artículos 9 y 26.1 LOPD.
- Resolución de fecha 07-10-2009 (PS-00371-2009). Artículo 38.3 LGT.
- Resolución de fecha 30-12-2010 (PS-00375-2010). Artículo 26 LOPD.
II.2. Tutela de derechos
- Resolución de fecha 07-05-2005 (TD-00362-2005). Artículo 15 LOPD.
- Resolución de fecha 02-03-2006 (TD-00474-2005). Artículo 15 LOPD.
- Resolución de fecha 10-07-2006 (TD-00112-2006). Artículo 16 LOPD.
- Resolución de fecha 07-09-2006 (TD 00103-2005). Artículo 5.5 LOPD.
- Resolución de fecha 03-03-2008 (TD-00754-2007). Artículo 16 LOPD.
- Resolución de fecha 24-03-2008 (TD-00785-2007). Artículos 15 y 16 LOPD.
- Resolución de fecha 10-07-2008 (TD-00224-2008). Artículo 15 LOPD.
- Resolución de fecha 13-08-2008 (TD-00589-2008). Artículo 16 LOPD.
- Resolución de fecha 17-11-2008 (TD-00816-2008). Artículo 15 LOPD.
- Resolución de fecha 09-02-2009 (TD-01663-2008). Artículo 16 LOPD.
- Resolución de fecha 03-09-2010 (TD-00941-2010). Artículo 16 LOPD.
- Resolución de fecha 30-11-2010 (TD-00961-2010). Artículo 15 LOPD.
- Resolución de fecha 28-01-2011 (TD-01183-2010). Artículo 16 LOPD.
- Resolución de fecha 15-02-2011 (TD-01187-2010). Artículo 16 LOPD.
II. 3. Archivo de Actuaciones.
- Resolución de fecha 16-04-2004 (E-00007-2004). Artículo 12 LOPD.
- Resolución de fecha 04-09-2007 (E-00168-2007). Artículo 47 LOPD.
- Resolución de fecha 06-11-2007 (E-00416-2007). Artículo 10 y 11 LOPD.
- Resolución de fecha-09-01-2008 (E-01143-2006). Artículo 9 y 10 LOPD.
- Resolución de fecha 12-02-2008 (E-00094-2007). Artículo 10 LOPD.
- Resolución de fecha 12-06-2008 (E-01403-2007). Artículo10 LOPD.
- Resolución de fecha 10-07-2008 (E-01119-2006). Artículo 16 LOPD.
- Resolución de fecha 30-09-2008 (E-01630-2007). Artículo 10 25 y 26 LOPD .
- Resolución de fecha 22-10-2008 (E-01019-2008). Artículo 2 y 10 LOPD.
- Resolución de fecha 08-01-2009 (E-00893-2008). Artículo 10 LOPD.
- Resolución de fecha 27-04-2009 (E-01315-2008). Artículo 10 LOPD.
- Resolución de fecha 09-06-2009 (E-01408-2008). Artículo 6 LOPD.
- Resolución de fecha 17-12-2009 (E-02649-2009). Artículo 6 10 y 11 LOPD.
- Resolución de fecha 16-11-2010 (E-00259-2010). Artículo 9 LOPD.
- Resolución de fecha 24-01-2011 (E-02319-2010). Artículo 6.1 LOPD.
- Resolución de fecha 07-03-2011 (E-01134-2010). Artículo 6.1 LOPD.
III. RECURSOS
- Recurso de Reposición E-00501–2006. Resolución de fecha 06-03-2007. Artículo 20 CE
- Recurso de Reposición E-01630-2007. Resolución de fecha 17-11-2008. Artículos 10, 25
y 26 LOPD.
- Recurso de Reposición E-02649-2009. Resolución de fecha 25-02-2010. Artículo 11.1
LOPD.
Página 2 de 353
INTRODUCCIÓN.
El derecho fundamental a la protección de datos de carácter personal ha
estado regulado, por primera vez en nuestro ordenamiento jurídico, a través de
la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal (LORTAD).
Esta norma vigente hasta el 14 de enero de 2000, previó la creación de la
Agencia Española de Protección de Datos (en adelante, AEPD), quedando
conformada mediante el Real Decreto 428/1993, de 26 de marzo.
De este modo, la AEPD se ha constituido como un ente de derecho público,
con personalidad jurídica propia y plena capacidad pública y privada, que actúa
con plena independencia de las Administraciones Públicas en el ejercicio de
sus funciones, relacionándose con el Gobierno a través del Ministerio de
Justicia.
Una de sus principales funciones, con carácter general, es velar por el
cumplimiento de la legislación sobre protección de datos, esto es, las vigente
Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter
Personal (en adelante, LOPD) y sus normas de desarrollo y controlar su
aplicación a fin de garantizar el derecho fundamental a la protección de datos
personales.
Entre otras labores, se encuentra la elaboración de informes jurídicos respecto
a las consultas planteadas por los responsables de ficheros (entidades públicas
y privadas) en cuanto a la interpretación y aplicación de la LOPD, sus normas
de desarrollo, así como otras normas que se interrelacionaran con la materia
de protección de datos de carácter personal.
No obstante, debe significarse que dichos informes no tienen carácter
vinculante y no prejuzgan el criterio del Director de la Agencia en el ejercicio de
sus funciones, entre las que la Ley no prevé la evacuación de consultas
vinculantes.
Además de la AEPD, se han creado autoridades de control autonómicas, en
este caso, sólo las Agencias de Protección de Datos de la Comunidad de
Madrid, Cataluña y País Vasco. Éstas únicamente tienen competencia respecto
a los ficheros o tratamientos de datos personales de las entidades públicas de
su circunscripción geográfica.
Aunque con menor profusión, estos organismos autonómicos también emiten
informes jurídicos. Más cabe decir, que en los informes jurídicos de las
agencias autonómicas se interpreta y aplica la normativa de protección de
datos, en consonancia con legislación autonómica, que no resulta de
aplicación.
En el Real Decreto 1720/2007, de 21 de diciembre (RLOPD), por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal (LOPD), en vigor desde
Página 3 de 353
el 19 de abril de 2008, aparecen a partir del artículo 120 los procedimientos
relativos al ejercicio de la potestad sancionadora.
Debido a que en la actualidad la Agencia Española de Protección de Datos
(APD) posee potestad sancionadora atribuida tanto por la LOPD, la Ley
34/2002, de 11 de julio, de Servicios de la Sociedad de la información y de
comercio electrónico, y Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones, nos centraremos en los informes, resoluciones, recursos
presentados, y archivo de actuaciones de la Agencia referidos a la potestad
sancionadora prevista en la LOPD tal como consta en el art. 120 del RDLOPD.
No hay que olvidar que al procedimiento administrativo sancionador en materia
de protección de datos se aplican también los principios generales de la
potestad sancionadora y del procedimiento sancionador que se encuentran en
los artículos 134 y s.s. de la Ley 30/92.
Los despachos de abogados han sufrido en los últimos años una
transformación en todos sus ámbitos de gestión y de organización y han
transitado desde el modelo personalista al de empresas de servicios legales.
Esa transformación (modernización) ha supuesto también la adopción por el
despacho de abogados de las tecnologías de la información y la comunicación.
A este panorama ha venido a sumarse la Ley 2/2007, de 15 de marzo, de
sociedades profesionales, que son aquellas que tienen por objeto social el
ejercicio común de una actividad profesional y a las cuales les son atribuidos
los derechos y obligaciones inherentes al ejercicio de la actividad profesional
como titulares de la relación jurídica establecida con el cliente.
Los abogados de un despacho comparten un espacio común, servicios o
incluso el nombre o firma comercial del despacho, sin embargo, cada uno de
ellos es como una unidad económica independiente en la que sólo comparten
los gastos comunes y facturan directamente de forma personal a sus clientes,
cada uno de ellos será responsable del tratamiento y, por tanto, existirán tantos
responsables del tratamiento como abogados integren el despacho colectivo.
Cada uno de los integrantes del despacho es titular de la relación jurídica
establecida con sus respectivos clientes.
Este modelo de despacho genera ciertas dificultades de organización y
fricciones con respecto a la seguridad de los datos, pues la posible existencia
de un flujo de información dentro del propio despacho podrá ser considerada
una cesión o comunicación de datos.
El RD 1720/2007 recoge en su artículo 57 un supuesto de «ficheros en los que
exista más de un responsable», que es aquel del que resultan responsables
varias personas o entidades de forma simultánea; de una primera lectura cabe
extraer la conclusión de que es el mecanismo adecuado para regular las
situaciones que se dan en un despacho colectivo de abogados.
Sin embargo, no estamos ante el supuesto que contempla el Reglamento. El
fichero de asuntos de un despacho colectivo de abogados no podrá entenderse
Página 4 de 353
como un fichero con varios responsables. Cada abogado será responsable de
sus propios expedientes o asuntos y deberá establecer de forma correcta el
control de accesos para impedir el uso de datos para quienes no sean de su
competencia. Al menos éste es el criterio que ha manifestado recientemente la
Agencia Española de Protección de Datos (AEPD).
¿Cuál es la situación que podemos encontrar en muchos despachos colectivos/
individuales? Desde el punto de vista de la protección de datos, el fichero de
asuntos (clientes, expedientes, etc.) se compone de una parte en formato papel
compuesta por las actuaciones, documentos, etc., mientras que parte de los
datos de ese expediente están informatizados, es decir, que disponen de un
fichero «mixto». Para la gestión informatizada del fichero, nos encontraremos
incluso con una aplicación de software compartida entre los profesionales para
la gestión de los respectivos expedientes. Los abogados integrantes del
despacho colectivo deberán, por tanto, asumir el respectivo rol de responsables
del fichero o del tratamiento y cumplir con las obligaciones que prescriben la
Ley y el Reglamento.
A estas alturas, podemos presumir que la mayoría de los abogados son
conscientes de que en su quehacer diario tratan datos de carácter personal, de
los clientes, de los proveedores del despacho y de los profesionales y
trabajadores del mismo.
Sin embargo, desde el punto de vista de la normativa de protección de datos de
carácter personal, todavía hay un camino por recorrer para la adaptación de los
despachos de abogados a la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal (LOPD), y a su Reglamento, recién
aprobado por el Real Decreto 1720/2007, de 21 de diciembre, en vigor desde el
pasado 19 de abril.
GESDATOS en el estudio y análisis periódico de la legislación, presta máxima
atención a los dictámenes emitidos por la autoridad de control estatal y las
autonómicas, y consciente de la situación mencionada ha realizado una labor
de selección de aquellos que pueden resultar de interés para los abogados.
A estos efectos, GESDATOS ha elaborado el presente compendio de informes
jurídicos y resoluciones de la AEPD, el cual obedece a un criterio de
ordenación y estructura por materias que pueden afectar a los abogados y a los
despachos profesionales de los que formen parte. No habiendo informes
relativos a todos los aspectos que puedan verse afectados en la actividad legal
diaria, se ha tratado de agrupar los más significativos por razón de la materia
que versan y/o corresponden a un área concreta.
Este compendio se completa con resoluciones relativas al archivo de
actuaciones dictadas por la AEPD en relación a procedimientos sancionadores
abiertos a abogados o a despachos profesionales, ante un incumplimiento o
supuesto incumplimiento de la normativa.
El compendio no recoge todos los informes jurídicos y procedimientos
sancionadores de la AEPD, sólo aquéllos que a criterio de GESDATOS
resultan de interés o relevancia para los abogados.
Página 5 de 353
GESDATOS sólo permite la reproducción, la transformación, distribución o
comunicación pública [por cualquier medio, ya sea electrónico, mecánico,
fotocopia, por registro u otros métodos, ni su préstamo, alquiler o cualquier otra
forma de cesión o transmisión, con carácter oneroso o gratuito] y, en general,
cualquier otra forma de uso, parcial o total, del presente compendio.
En definitiva, el único propósito de GESDATOS es aportar, de este modo, un
instrumento de ayuda y apoyo en nuestra labor de consultoría, para esclarecer
cuestiones emergentes entorno a la aplicación de la normativa de protección de
datos en el ámbito de la Abogacía.
GESDATOS
Página 6 de 353
INFORMES JURÍDICOS.
Solicitudes de datos efectuadas por la Policía Judicial sin mandamiento judicial
o requerimiento previo del Ministerio Fiscal - Año 1999
Se ha planteado por diversas empresas la posibilidad de acceder a solicitudes
efectuadas por miembros de las Fuerzas y Cuerpos de Seguridad, ejerciendo
funciones de Policía Judicial, cuando no existe un previo mandato del órgano
jurisdiccional o requerimiento del Ministerio Fiscal para que se obtengan los
datos, llevando a cabo la actuación por propia iniciativa o a instancia de su
superior jerárquico.
En este caso nos encontramos ante el ejercicio por los efectivos de la Policía
Judicial de funciones que, siéndoles expresamente reconocidas por sus
disposiciones reguladoras, se identifican con las atribuidas, con carácter
general, a todos los miembros de las Fuerzas y Cuerpos de Seguridad del
Estado, por lo que resultará aplicable a este segundo supuesto lo dispuesto en
el artículo 22.2 de la LOPD, según el cual "la recogida y tratamiento
automatizado para fines policiales de datos de carácter personal por las
Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas
afectadas, están limitados a aquellos supuestos y categorías de datos que
resulten necesarios para la prevención de un peligro real y grave para la
seguridad pública o para la represión de infracciones penales, debiendo ser
almacenados en ficheros específicos establecidos al efecto, que deberán
clasificarse por categorías, en función de su grado de fiabilidad".
El citado artículo habilita a los miembros de la Policía Judicial para la obtención
y tratamiento de los datos requeridos, lo que llevará aparejada la procedencia
de la cesión instada, siempre y cuando se cumplan las siguientes condiciones:
a) Que quede debidamente acreditado que la obtención de los datos resulta
necesaria para la prevención de un peligro real y grave para la seguridad
pública o para la represión de infracciones penales y que, tratándose de datos
especialmente protegidos, sean absolutamente necesarios para los fines de
una investigación concreta.
b) Que se trate de una petición concreta y específica, al no ser compatible con
lo señalado anteriormente el ejercicio de solicitudes masivas de datos.
c) Que la petición se efectúe con la debida motivación, que acredite su relación
con los supuestos que se han expuesto.
d) Que, en cumplimiento del artículo 22.4 de la LOPD, los datos sean
cancelados "cuando no sean necesarios para las averiguaciones que motivaron
su almacenamiento".
Con referencia a la última de las conclusiones señaladas, debe indicarse que,
tratándose de actuaciones llevadas a cabo en el ámbito de las competencias
consagradas en el apartado a) del artículo 445.1 de la Ley Orgánica del Poder
Judicial, la Policía Judicial se encuentra obligada a dar cuenta de los hechos a
la Autoridad Judicial y Fiscal de forma inmediata.
A mayor abundamiento, debe recordarse que, conforme dispone el artículo
11.2 d) de la LOPD, procederá la cesión si ésta "tiene por destinatario...al
Página 7 de 353
Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el
ejercicio de las funciones que tiene atribuidas", lo que, conforme se ha
señalado, ocurre en el presente supuesto, dada la obligación de los miembros
de la Policía Judicial de poner los datos que hayan sido obtenidos en
conocimiento de la Autoridad Judicial o Fiscal. Por ello, la cesión solicitada
tendrá amparo no sólo en el artículo 22.2 de la LOPD, sino también en el propio
artículo 11.2 d) de la misma, siendo en consecuencia conforme a la LOPD el
cumplimiento de la cesión solicitada.
Página 8 de 353
Difusión de datos de sentencias condenatorias por negligencia médica - Año
2000.
Se ha planteado si es posible la difusión a través de Internet de datos relativos
a sentencias firmes condenatorias por delitos relacionados con negligencia
médica. Se indicaba que los datos serían tratados y cedidos sin recabar con
carácter previo el consentimiento del interesado, toda vez que, según indicaba
la consulta "los datos se extraerían de fuentes accesibles al público, como lo
son las sentencias públicas".
En este caso, tras recordar que el artículo 6 de la LOPD parte de la exigencia
de consentimiento para el tratamiento de los datos, con las únicas excepciones
de su apartado segundo, se indicó que en cuanto a los ficheros en que se
contengan datos relacionados con la comisión de infracciones penales y
administrativas, el artículo 7.5 de la LOPD establece que tales datos "sólo
podrán ser incluidos en ficheros de las Administraciones Públicas competentes
en los supuestos previstos en las respectivas normas reguladoras".
En consecuencia, el artículo 7.5 de la Ley establece una regla específica para
este tipo de datos, que impide, en todo caso, su tratamiento por parte de
cualquier entidad de derecho privado, quedando limitado dicho tratamiento a
las Administraciones Públicas y, exclusivamente, cuando así lo establezca una
norma con rango suficiente. De ello se desprende que, incluso si los datos
contenidos en las resoluciones judiciales fueran considerados incorporados a
fuentes accesibles al público, su tratamiento inconsentido se encontraría
vedado por la Ley a la consultante, dada su naturaleza jurídico-privada.
Dicho lo anterior, y en relación con la alegación de que los datos se
encontraban incorporados a fuentes accesibles al público, se recordó que,
como se dice en otros lugares de esta memoria, la simple lectura del tenor
literal del artículo 3.j) de la LOPD indica que las resoluciones judiciales no
pueden ser consideradas como fuente accesible al público, sin perjuicio del
principio de publicidad contenido en la Ley Orgánica del Poder Judicial,
recordándose así mismo que la regla general establecida en el inciso primero
del artículo 3.j) en modo alguno impide que resulte de aplicación la
enumeración taxativa contenida en su inciso segundo, dado que el contenido
de este primer inciso no hace sino indicar un requisito indispensable para que
los ficheros enumerados por la propia norma puedan ser considerados como
fuentes de acceso público. En resumen tales ficheros sólo serán considerados
como fuentes de acceso público cuando su consulta pueda ser realizada por
cualquiera sin ninguna limitación salvo, en su caso, el abono de un precio, pero
sólo son fuentes de acceso público las enumeradas, entre las que no se
encuentran las resoluciones judiciales.
Por otra parte, la conclusión alcanzada tampoco contradice el principio de
publicidad de las actuaciones judiciales, consagrado en cuanto a las sentencias
por los artículos 205.6, 232 y 266 de la Ley Orgánica del Poder Judicial, al que
ya hicimos referencia.
Ello se funda en que la publicidad a la que se refieren dichos preceptos tiene
por objeto asegurar el pleno desenvolvimiento del derecho de las partes a
Página 9 de 353
obtener la tutela efectiva de los jueces y Tribunales en el ejercicio de sus
derechos, sin que en ningún modo pueda producírseles indefensión,
consagrado por el artículo 24.1 de la Constitución. Por ello, entendemos, no
puede ampararse en un precepto cuyo fundamento es la salvaguarda de los
derechos de los ciudadanos la realización de otras actividades que pueden
producir una merma de otros derechos fundamentales, como en este caso, el
derecho al honor, la intimidad y la propia imagen, protegido por el artículo 18 de
la propia Constitución.
La colisión entre la publicidad de las sentencias y el derecho a la intimidad de
las personas ya ha sido, por otra parte, analizado por el Consejo General del
Poder Judicial, disponiendo en el Acuerdo de 18 de junio de 1997, por el que
se modifica el Reglamento número 5/1995, de 7 de junio, regulador de los
aspectos accesorios de las actuaciones judiciales, como apartado 3 del nuevo
artículo 5 bis del Reglamento, que "en el tratamiento y difusión de las
resoluciones judiciales se procurará la supresión de los datos de identificación
para asegurar en todo momento la protección del honor e intimidad personal y
familiar".
En consecuencia, el tratamiento de los datos contenidos en las sentencias
condenatorias firmes resulta contrario a las previsiones contenidas en la LOPD,
al quedar éste limitado a las Administraciones Públicas, en el ejercicio de las
atribuciones que les son conferidas por la Ley, sin que quepa amparar su
tratamiento por partes ajenas al proceso en normas cuyo fundamento es
precisamente salvaguardar los derechos procesales de quienes son parte en el
propio proceso.
En cuanto a la difusión de los datos a través de Internet, se recordó que la
misma, dado que el contenido de la citada lista podría resultar conocido por
cualquier usuario en la citada red, supondría un cesión de datos de carácter
personal, respecto de la cual el artículo 11.1 de la Ley Orgánica prevé, con
absoluta rotundidad que "los datos de carácter personal objeto del tratamiento
sólo podrán ser comunicados a un tercero para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado".
Esta regla sólo se ve exceptuada en los supuestos contemplados en el
apartado segundo del propio artículo 11, ninguno de los cuales daría cobertura
a la publicación pretendida, dado que el único que podría resultar de dudosa
aplicación al caso es el contenido en la letra b) del artículo 11.2 ("cuando se
trate de datos recogidos de fuentes accesibles al público") y, como se ha dicho,
los datos no se encuentran, en este caso, recogidos en fuentes accesibles al
público.
Debe ponerse de manifiesto que el artículo 44 de la LOPD, que establece los
distintos tipos de las infracciones en materia de protección de datos tipifica,
incluye, como infracción grave, en la letra c) de su apartado tercero "proceder a
la recogida de datos de carácter personal sin recabar el consentimiento
expreso de las personas afectadas, en los casos en que éste sea exigible" y
como infracción muy grave, en la letra b) de su apartado cuarto "la
Página 10 de 353
comunicación o cesión de los datos de carácter personal, fuera de los casos en
que estén permitidas ".
Por ello, tanto el tratamiento como la publicación en Internet de los datos a que
se refiere la consulta podrían ser, a tenor de lo que se ha venido indicando,
constitutivas de sendas infracciones, sancionables, respectivamente con multas
de 10 a 50 y de 50 a 100 millones de pesetas, conforme a lo previsto en el
artículo 45 de la Ley.
Por último, se planteó si resultaba admisible establecer listas o repertorios de
las sentencias dictadas en que existan condenas por negligencia médica,
publicándose los datos con referencia exclusiva al nombre e iniciales de los
apellidos de los afectados.
Con carácter general, y en lo referente a los repertorios, su publicación será
posible, a juicio de esta Agencia Española de Protección de Datos, siempre y
cuando de la misma no pueda derivarse el conocimiento de la persona que
haya resultado condenada por la sentencia. En caso contrario, tal y como se ha
venido indicando hasta ahora, no será posible la difusión de las sentencias sin
antes recabar el consentimiento de los afectados.
En este sentido, las disposiciones de la LOPD no serán de aplicación siempre
que los datos hayan sido previamente sometidos a un procedimiento de
disociación, que el artículo 3 f) de la Ley define como "todo tratamiento de
datos personales de modo que la información que se obtenga no pueda
asociarse a persona identificada o identificable".
En consecuencia, para que un procedimiento de disociación pueda ser
considerado suficiente a los efectos de la Ley Orgánica 15/1999, será
necesario que de la aplicación de dicho procedimiento resulte imposible
identificar un determinado dato con su sujeto determinado.
A la vista de lo anterior, y teniendo en cuenta las especiales circunstancias
concurrentes en el presente caso, en que los facultativos pueden ser
identificados no sólo por su nombre y apellidos, sino también por el puesto que
desempeñan en un determinado centro sanitario o, incluso, en áreas reducidas,
por ser el único especialista en una determinada rama de la medicina, la mera
sustitución de los apellidos por sus iniciales puede no resultar suficiente para
que la disociación pueda considerarse conforme a lo prevenido en la LOPD,
dado que si dicha supresión no va acompañada de la referente al puesto
desempeñado y, en su caso, a la del área geográfica en la que el facultativo
desempeña su profesión, no será posible considerar que aquél no resulta
identificable, debiendo, en ese caso, someterse el fichero a las previsiones de
la Ley, que exigen el consentimiento del afectado.
Por otra parte, la conclusión anteriormente alcanzada no entorpece la finalidad
perseguida mediante la elaboración del repertorio jurisprudencial, que permite
al usuario tener conocimiento de la doctrina y jurisprudencia existente en una
determinada materia, partiendo del concepto de jurisprudencia como "doctrina
que, de modo reiterado, establezca el Tribunal Supremo al interpretar y aplicar
Página 11 de 353
la ley , la costumbre y los principios generales del derecho", en los términos
prescritos por el artículo 1.6 del Código Civil.
En consonancia con lo indicado, la finalidad que debe perseguir la creación de
la base de datos será la de permitir al usuario acceder al conocimiento del
modo en que el Tribunal Supremo o los restantes Juzgados y Tribunales han
interpretado lo establecido en el ordenamiento jurídico, sin que sea dable que
dicha finalidad pueda ser contemplada en un sentido más amplio, con la
consiguiente cercenación de los derechos fundamentales de las personas que
intervengan en el litigio, como sucedería si se conocieran los datos personales
referidos a dichas personas, que en modo alguno aportan información adicional
sobre el contenido jurídico de la sentencia. Así lo recuerda el Consejo general
del Poder Judicial, en la Exposición de Motivos del Acuerdo de 18 de junio de
1997, al que ya nos hemos referido, al indicar que con la publicidad de las
sentencias en el repertorio "se posibilitará un mejor y más directo conocimiento
de dichas resoluciones por parte de los Juzgados y Tribunales, contribuyendo
al propio tiempo a satisfacer las exigencias derivadas del derecho de igualdad
en la aplicación de las Leyes, conforme a la doctrina del Tribunal
Constitucional", sin que esta función informadora pueda entenderse en modo
alguno completada con el conocimiento de quienes fueron parte en el litigio.
Página 12 de 353
Tratamiento por Abogados y Procuradores de los datos de las partes en un
proceso.
Se ha consultado si los abogados y procuradores habrán de recabar el
consentimiento de sus clientes y de la contraparte de los mismos en procesos
en que aquéllos les confieran su representación o defensa.
Como regla general, la inclusión de los datos de los clientes y sus oponentes
en un fichero supondrá un tratamiento de datos de carácter personal, que
requeriría, en principio, el consentimiento del afectado, con el deber de informar
al mismo de los extremos contenidos en el artículo 5.1 o, en caso de no
recabarse los datos del propio afectado, la obligación de informar a éste de
dicha inclusión en el plazo de tres meses, tal y como dispone el artículo 5.4,
ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos
de Carácter Personal.
En lo referente al tratamiento de los datos de los clientes, podrá efectuarse el
mismo sin consentimiento del afectado, a tenor de lo establecido en el artículo
6.2 de la Ley Orgánica 15/199, que excluye del consentimiento los supuestos
en que los datos “se refieran a las partes de un contrato o precontrato de una
relación negocial, laboral o administrativa y sean necesarios para su
mantenimiento o cumplimiento”.
Sin embargo, el problema se plantea en el supuesto de que los datos se
refieran a los oponentes de los clientes del abogado o procurador, dado que en
ese caso el tratamiento resulta absolutamente imprescindible para la asistencia
letrada al cliente, si bien ese tratamiento pudiera chocar con el derecho a la
protección de datos de la persona cuyos datos son objeto de tratamiento.
A nuestro juicio, en este caso surgiría una colisión entre dos derechos
fundamentales: el derecho a la protección de datos de carácter personal,
derivado del artículo 18 de la Constitución y consagrado como derecho
autónomo e informador del texto constitucional por la Sentencia del Tribunal
Constitucional 292/2000, de 30 de noviembre, por un lado; y el derecho a la
asistencia letrada, como manifestación del derecho de los ciudadanos a
obtener la tutela judicial efectiva de los jueces y tribunales, contenido en el
artículo 24.2 de la Constitución.
Para resolver esta cuestión, debe indicarse que, en primer lugar, la propia Ley
Orgánica 15/1999 permite establecer los límites para la exigencia del
consentimiento, dado que su artículo 6.1 exige, como regla general, el
consentimiento para el tratamiento de los datos “salvo que la Ley disponga otra
cosa”.
A la vista de este precepto, el legislador ha creado un sistema en que el
derecho a la protección de datos de carácter personal cede en
aquellos supuestos en que el propio legislador (constitucional u ordinario) haya
considerado la existencia de motivos razonados y fundados que justifiquen la
necesidad del tratamiento de los datos, incorporando dichos supuestos a
normas de, al menos, el mismo rango que la que regula la materia protegida.
Página 13 de 353
En este caso, como se dijo, el tratamiento por los abogados y procuradores de
los datos referidos a la contraparte de sus clientes en los litigios en que
aquéllos ejerzan la postulación procesal trae su causa, directamente, del
derecho de todos los ciudadanos a la asistencia letrada, consagrado por el
artículo 24.2 del Texto Constitucional.
En efecto, la exigibilidad del consentimiento del oponente para el tratamiento
de sus datos por el abogado o procurador supondría dejar a disposición de
aquél el almacenamiento de la información necesaria para que el cliente pueda
ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos
datos puede implicar, lógicamente, una merma en la posibilidad de aportación
por el interesado de “los medios de prueba pertinentes para su defensa”,
vulnerándose otra de las garantías derivadas del citado derecho a la tutela
efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de
este derecho.
Por todo ello, si bien ninguna disposición con rango de Ley establece
expresamente la posibilidad del tratamiento por abogados y procuradores de
los datos referidos al oponente de su cliente en el seno de un determinado
proceso judicial, es evidente que dicha posibilidad trae causa directa de una
norma de rango constitucional, reguladora además de uno de los derechos
fundamentales y libertades públicas consagrados por la Constitución, y
desarrollado por las leyes reguladoras de cada uno de los Órdenes
Jurisdiccionales, en los preceptos referidos a la representación y defensa de
las partes, por lo que existirá, desde el punto de vista de la Agencia, una
habilitación legal para el tratamiento de los datos, que trae su cobertura del
propio artículo 24 de la Constitución y sus normas de desarrollo.
Dicho esto, deberá analizarse si el abogado o procurador se encuentra
obligado, por imperativo del artículo 5.4 de la Ley Orgánica, a informar a los
oponentes de su cliente de la existencia de un fichero o tratamiento, su
responsable, su finalidad, la posibilidad que los afectados ejerciten los
derechos que la Ley les atribuye y los destinatarios de los datos, dada la
concurrencia entre el derecho del cliente a obtener la adecuada asistencia de
letrado y, en definitiva, a ver satisfecha la tutela judicial efectiva, consagrada
por el artículo 24 de la Constitución, y del oponente a la protección de sus
datos de carácter personal, lo que supondrá el cumplimiento del citado deber
de información.
Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por
todas, STC 186/2000, de 10 de julio, con cita de otras muchas) “el derecho a la
intimidad no es absoluto, como no lo es ninguno de los derechos
fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes,
siempre que el recorte que aquél haya de experimentar se revele como
necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y,
en todo caso, sea respetuoso con el contenido esencial del derecho”.
Pues bien, aplicando la doctrina antedicha al supuesto concreto, y sin perjuicio
de lo que, en su caso, manifestare en el futuro el Tribunal Constitucional,
procederá ponderar en qué caso la limitación del ejercicio de uno de los
Página 14 de 353
derechos en conflicto puede producir una mayor merma de los derechos de la
otra parte o, en su caso, las medidas que permitirán mitigar ese potencial
perjuicio.
Siguiendo esta premisa, en nuestra opinión debería darse una prevalencia al
derecho consagrado por el artículo 24 de la Constitución, garantizando a su vez
las medidas que evitarán un mayor perjuicio a los afectados (en este caso, los
oponentes de los clientes cuyos datos son objeto de tratamiento).
Ello se funda en que la comunicación a los afectados de las informaciones de
que los abogados o procuradores puedan disponer, procedentes de sus
clientes, podrían perjudicar, como ya se indicó, el adecuado ejercicio por el
propio interesado de las facultades vinculadas con su derecho a obtener la
tutela efectiva de los Jueces y Tribunales (al quedar en conocimiento de la otra
parte los datos que pudieran ser aportados a juicio en defensa de su derecho).
Página 15 de 353
Distinción entre ficheros de titularidad pública y privada.
Se consultó por una Entidad Pública Empresarial dependiente de una
Comunidad Autónoma sobre el carácter público o privado de los ficheros de
datos de que era responsable, lo que dio pié a considerar con carácter general
la naturaleza pública o privada de los ficheros a la vista de lo establecido en la
LOPD.
Como punto de partida, debe indicarse que la Ley no delimita de forma expresa
los criterios delimitadores de la titularidad pública o privada de los distintos
ficheros, si bien en el articulado del Capítulo I del Título IV viene a identificar los
ficheros de titularidad pública como aquéllos cuya responsabilidad corresponde
a las Administraciones Públicas (artículos 20 y 21), estableciendo ciertas
especialidades en su régimen jurídico en las restantes disposiciones de este
capítulo y en el artículo 46, en lo que se refiere al régimen sancionador. A partir
de estos preceptos, deberá determinarse cuál es la interpretación que deba
darse al término "titularidad pública", contenido en las citadas disposiciones,
planteándose dos posibles criterios: por un lado el meramente subjetivo, que
atiende a la naturaleza pública o privada del responsable del fichero; por otro,
el criterio planteado por la consulta que atiende a la función desempeñada por
dicho responsable.
Pues bien, como punto de partida, entendemos que, tal y como se desprende
de las disposiciones de la LOPD, el criterio que ha de prevalecer en este punto
es el relativo a la naturaleza pública o privada del responsable, ya que la Ley
no se diferencia ambas categorías de ficheros con base en criterios
relacionados con la actividad llevada a cabo por el responsable, sino con el
criterio de la "titularidad" del fichero. Así se desprende, no sólo de las rúbricas
de los Capítulos I y II del Título IV de la Ley, sino de lo dispuesto en el artículo
46, que establece una especialidad en materia sancionadora para los
supuestos de ficheros de titularidad pública, refiriéndose a los mismos como
"ficheros de los que sean responsables las Administraciones Públicas",
añadiendo, en su apartado segundo la posible imposición de las sanciones
"establecidas en la legislación sobre régimen disciplinario de las
Administraciones Públicas".
En el caso examinado, como se ha indicado, el responsable del fichero era una
Empresa Pública, configurada por la norma legal que la creó como entidad de
derecho público sometida a lo dispuesto en esa la presente Ley y en sus
disposiciones complementarias de desarrollo. Por lo que respecta a las
relaciones jurídicas externas, a las adquisiciones patrimoniales y a la
contratación, se establecía por ley su sujeción, sin excepciones, al derecho
privado. También se indicaba en dicha norma legal que de los acuerdos que
dictasen los órganos de gobierno de dicha Empresa Pública conocería la
jurisdicción que en cada caso corresponda, sin necesidad de formular la
reclamación previa en vía gubernativa. De este último inciso se desprendía que
la entidad se encontraba incluso desprovista de las prerrogativas derivadas del
procedimiento de reclamación previa al ejercicio de acciones civiles o laborales,
reconocida por los artículos 120 y siguientes de la Ley 30/1992.
Página 16 de 353
Por ello, no ostentando la responsable del fichero la condición de
administración pública, sometida al derecho administrativo, resulta imposible
considerar el fichero al que se refiere la consulta como de titularidad pública,
siendo un fichero de titularidad privada, sometido a las disposiciones previstas
en la LOPD para este tipo de ficheros.
Por otra parte, y en cuanto al criterio para discernir la naturaleza de la actividad
desarrollada por la Entidad Pública que formuló la consulta, la cuestión
preponderante implicaba atender al ejercicio, en su caso, por la misma, de
auténticas potestades administrativas, en el término tradicional del término
(tributaria, sancionadora, expropiatoria y disciplinaria); esto es, si la
responsable del fichero se encontraba, en el ejercicio de las actividades
relacionadas con el fichero, investido de imperium, lo que no sucedía en ese
caso.
Todo ello aboca a la conclusión ya sostenida, consistente en considerar que el
fichero al que se refiere la presente consulta es un fichero de titularidad
privada, quedando sometido a las disposiciones contenidas en el Capítulo II del
Título IV de la Ley Orgánica 15/1999.
Página 17 de 353
Naturaleza de los ficheros colegiales - Año 2002
Diversos colegios profesionales han elevado consultas a la Agencia solicitando
su parecer acerca de la naturaleza de los ficheros colegiales, en el sentido de
considerarlos ficheros de titularidad pública o privada.
En relación con esta cuestión, debe señalarse que, si bien la LOPD delimita en
su articulado el régimen de los ficheros de titularidad pública y privada, no
establece un concepto de los mismos. Por esta razón, la delimitación deberá
fundarse en los criterios que determinan la naturaleza jurídico-pública o
jurídico-privada del responsable del fichero.
Esta conclusión se alcanza atendiendo a las peculiaridades establecidas para
el régimen de los ficheros de titularidad pública, toda vez que los mismos
únicamente podrían ser constituidos en caso de que se desarrollen como
consecuencia del ejercicio de una competencia administrativa, tal y como se
desprende del artículo 21.1 de la LOPD, que permite la cesión entre
Administraciones Públicas cuando la misma se funde en el ejercicio de unas
mismas competencias. En este mismo sentido, el artículo 20 de la Ley exige
que los ficheros se encuentren relacionados con la actuación de una
Administración con potestad para dictar la correspondiente Disposición de
carácter general de creación del fichero.
Por tanto, se considera que la delimitación del régimen aplicable a los ficheros
de titularidad pública y privada deberá fundarse en un doble criterio: por una
parte el responsable del fichero deberá ser una Administración Pública y por
otra, en los supuestos que pudieran plantear una mayor complejidad, sería
necesario que el fichero sea creado como consecuencia del ejercicio de
potestades públicas.
Dicho lo anterior, la delimitación de la naturaleza jurídica de las denominadas
corporaciones de derecho público ha sido una cuestión ampliamente debatida
por la doctrina administrativista, no habiéndose alcanzado en el momento
presente una tesis unívoca sobre este particular.
No obstante, la jurisprudencia de nuestro Tribunal Constitucional ha analizado
reiteradamente esta cuestión en numerosas sentencias, cuya cita conviene
recordar en este momento.
En particular, merece especial atención la Sentencia 20/1988, cuyo
Fundamento Jurídico cuarto analiza la naturaleza de los Colegios
Profesionales, indicando lo siguiente: "Como ha declarado este Tribunal en
anteriores ocasiones -SSTC 76/1983, de 5 de agosto; 23/1984, de 20 de
febrero y 123/1987, de 15 de julio-, los Colegios Profesionales son
corporaciones sectoriales que se constituyen para defender primordialmente
los intereses privados de sus miembros, pero que también atienden a
finalidades de interés público, en razón de las cuales se configuran legalmente
como personas jurídico-públicas o Corporaciones de Derecho
público cuyo origen, organización y funciones no dependen sólo de la voluntad
de los asociados, sino también, y en primer término, de las determinaciones
Página 18 de 353
obligatorias del propio legislador, el cual, por lo general, les atribuye asimismo
el ejercicio de funciones propias de las Administraciones territoriales o permite
a estas últimas recabar la colaboración de aquéllas mediante delegaciones
expresas de competencias administrativas, lo que sitúa a tales Corporaciones
bajo la dependencia o tutela de las citadas Administraciones territoriales
titulares de las funciones o competencias ejercidas por aquéllas".
Del mismo modo, la Sentencia 87/1989, recordando la doctrina sentada por la
sentencia anteriormente transcrita, aclara, en su Fundamento Jurídico tercero
que:
"Si bien es cierto que el carácter de Corporaciones Públicas que la Ley
reconoce a los Colegios Profesionales no oscurece la naturaleza privada de
sus fines y cometidos principales, también lo es que la dimensión pública de los
entes colegiales les equipara a las Administraciones Públicas de carácter
territorial, si bien tal equiparación quede limitada a los solos aspectos
organizativos y competenciales en los que se concreta y singulariza la
dimensión pública de los Colegios".
De lo indicado por el Tribunal en las dos sentencias transcritas cabe deducir
una serie de consecuencias sumamente relevantes en la materia que nos
ocupa.
Así, si bien es cierto que el Tribunal recuerda que los colegios profesionales
son corporaciones sectoriales que se constituyen para defender
primordialmente los intereses privados de sus miembros, pero que también
atienden a finalidades de interés público, posteriormente esta afirmación se ve
complementada por otras que, reiteradamente, atribuyen a los colegios una
naturaleza jurídica que, incluso se indica, les equipara a las Administraciones
Públicas de carácter territorial.
Así, se recuerda que dichas entidades ejercen en determinadas materias
competencias administrativas, del mismo modo en que lo hacen las
administraciones territoriales, lo que, precisamente sitúa a los Colegios bajo la
dependencia o tutela de dichas Administraciones.
Del mismo modo, se indica que estas auténticas potestades administrativas,
tales como la ordenación de la profesión colegiada o el ejercicio de la potestad
sancionadora, entre otras, se ejercen por expresa atribución del propio
legislador que, o bien atribuye expresamente la competencia a las entidades
colegiales o le permite recabar la colaboración de las Administraciones
territoriales mediante delegaciones expresas de competencias administrativas.
La misma conclusión se alcanzaría en caso de considerarse que la referencia a
la "delegación" de las competencias ha de entenderse no en sentido estricto,
sino que supusiera en la práctica una centralización o desconcentración de
competencias, tal y como indican las Sentencias del Tribunal Supremo de 25
de octubre de 1993 (Ar. 1993\8010) y 17 de noviembre de 2001 (Ar.
2001\10273).
En consecuencia, a la luz de dicha sentencia, los colegios profesionales
ejercen auténticas potestades de derecho público bien por expresa atribución
Página 19 de 353
del legislador bien por delegación o desconcentración a las mismas de dichas
potestades.
De ello no cabe sino concluir que la naturaleza de los colegios profesionales es
la de ente de derecho público equiparable, al menos en lo referente al ejercicio
de las potestades administrativas que expresamente le atribuye el legislador, a
las Administraciones Públicas Territoriales. Ello se funda en el hecho de que,
según se desprende de la jurisprudencia referenciada los colegios
profesionales ejercen dichas competencias bien por expresa atribución del
legislador, siendo así que la competencia originara para el ejercicio de
potestades administrativas sólo puede encomendarse a Administraciones
Públicas, bien por delegación o desconcentración de la Administración
tutelante, dado que las mismas no podrían tener lugar a favor de quien no
ostenta la naturaleza de Administración Pública.
Así se refleja en lo establecido en la propia normativa reguladora de los
colegios profesionales.
En particular, el artículo 1.3 de la Ley 2/74, de 13 de febrero, reguladora de los
Colegios Profesionales, si bien incluye entre los "fines esenciales de estas
Corporaciones" la defensa de los intereses profesionales de los colegiados,
debe recordarse que, con anterioridad a dicha finalidad incluye como esencial
"la ordenación del ejercicio de las profesiones".
Como consecuencia de esta "finalidad esencial", evidentemente pública el
artículo 5 atribuye a los Colegios las competencias para "ejercer cuantas
funciones les sean encomendadas por la Administración" (apartado b),
"ordenar en el ámbito de su competencia la actividad profesional de los
colegiados, velando por la ética y dignidad profesional y el respeto debido a los
derechos de los particulares y ejercer la facultad disciplinaria en el orden
profesional y colegial" (apartado i), "adoptar las medidas conducentes a evitar
el intrusismo profesional" (apartado l) o "cumplir y hacer cumplir a los
colegiados las Leyes generales y especiales y los Estatutos profesionales y
Reglamentos de Régimen interior, así como las normas y decisiones adoptadas
por los órganos colegiados en materia de su competencia" (apartado u).
Al propio tiempo, los Colegios se someten a sus estatutos, que habrán de ser
adoptados por la Administración Pública competente para ejercer la tutela
sobre los mismos, bien la del Estado, bien las de las Comunidades Autónomas
en cuanto a los colegios situados en su ámbito respectivo, en virtud de las
correspondientes normas de traspaso de competencias..
Del mismo modo, la Ley 2/1974 establece en su artículo 8 que "los actos
emanados de los órganos de los colegios profesionales y de los Consejos
Generales en cuanto estén sujetos al Derecho Administrativo, una vez
agotados los recursos corporativos serán directamente impugnables ante la
Jurisdicción Contencioso-Administrativa".
De todo ello se desprende que los Colegios y Consejos se encuentran, al
menos en parte de las funciones que desempeñan, sometidos al Derecho
Página 20 de 353
Administrativo, dictando auténticos actos administrativos revisables, como tales
actos, por la jurisdicción contencioso-administrativa.
Al propio tiempo, el artículo 8.3 de la Ley 2/1974 enumera en su párrafo
segundo las causas de nulidad de los actos administrativos dictados por los
órganos colegiales, coincidiendo plenamente con lo previsto en la entonces
vigente Ley de Procedimiento Administrativo, lo que no hace sino ahondar en la
naturaleza pública de las potestades en cuya virtud se dictan dichos actos.
Además, la tesis que se ha venido indicando resulta asimismo confirmada por
la jurisprudencia del Tribunal Supremo, bien por el hecho mismo de que su
Sala Tercera ha venido ininterrumpidamente conociendo de los recursos
planteados contra los actos dictados por los órganos de los Colegios, bien por
el análisis efectuado por la Sala Primera cuando ante la misma se han
planteado recursos de casación referentes a actos emanados de los órganos
colegiales.
En este punto, y sin ánimo de resultar en exceso exhaustivos, la Sentencia de
28 de septiembre de 1998 (Ar. 1998\7289) recuerda en su único Fundamento
de derecho que los Colegios Profesionales "tienen facultades de
autoadministración sobre sus miembros y sus decisiones están sujetas al
control jurisdiccional que es el contencioso-administrativo cuando se trata de
defensa de la corporación, constitución de sus órganos, régimen electoral,
decisiones sobre colegiación y disciplina, así como los actos de aprobación de
presupuestos".
En el mismo sentido, la Sentencia del Alto Tribunal de 26 de noviembre de
1998 (Ar. 1998\8758), tras recordar la naturaleza dual de los Colegios
Profesionales indica claramente que los mismos "desarrollan, a la par, una
serie de actividades propias de un ámbito de derecho público, de servicio
público e interés general, y otras de orden privado restringidas a su relación
interna con los integrantes de las corporaciones y que carecen de toda eficacia
externa o pública". Así reiterando la jurisprudencia citada, la sentencia concluye
que "en los temas que versen, entre otros, sobre defensa de la corporación,
constitución de sus órganos, régimen electoral, decisiones sobre colegiación y
disciplina, por su evidente matiz de derecho público, (los Colegios) están
sujetos al control jurisdiccional del orden contencioso-administrativo".
En resumen, los colegios profesionales, en cuanto dicten actos relacionados,
entre otros, con las materias reseñadas por la jurisprudencia, ejercen
auténticas potestades administrativas, siendo tales decisiones auténticos actos
administrativos.
La consecuencia de todo lo que se ha venido indicando, aplicando lo dispuesto
en
la LOPD, es que los ficheros creados o gestionados por los Colegios
Profesionales o sus Consejos para el ejercicio de las potestades a las que se
ha venido haciendo referencia se encontrarán sometidos al régimen de los
ficheros de titularidad pública, contenido en los artículos 20 y siguientes de la
Ley Orgánica.
Página 21 de 353
En este sentido, es necesario recalcar que, del tenor de la Ley, y en especial
de su artículo 21, la naturaleza pública de los ficheros viene expresamente
ligada a la titularidad y ejercicio de competencias de derecho público. Sólo de
este modo podría resultar comprensible y aplicable la referencia efectuada por
dicho precepto a la comunicación de los datos "para el ejercicio de
competencias" diferentes o que versen sobre materias distintas.
Del mismo modo, teniendo en cuenta que la Ley 2/1974 atribuye a los Colegios
Profesionales el ejercicio de la potestad disciplinaria, de derecho público sobre
sus colegiados, la consideración de los ficheros de dichas Corporaciones como
de titularidad privada haría imposible la creación de ficheros referentes al
ejercicio de esta potestad, toda vez que el artículo 7.5 de la Ley Orgánica
15/1999 limita claramente la creación de estos ficheros al disponer que "los
datos de carácter personal relativos a la comisión de infracciones penales o
administrativas sólo podrán ser incluidos en ficheros de las Administraciones
Públicas competentes en los supuestos previstos en las respectivas normas
reguladoras".
Todo ello no hace sino reincidir en nuestra tesis de que los ficheros de que
sean responsables los Colegios Profesionales y Consejos Generales, en
cuanto se relacionen con el ejercicio por los mismos de sus competencias de
derecho público y, en consecuencia, con la atribución a los mismos de
potestades administrativas, se encontrarán sometidos al régimen de los
ficheros de titularidad pública y no al de los ficheros de titularidad privada, que
será aplicable a los ficheros no vinculados con el ejercicio de tales potestades.
Página 22 de 353
Competencias de la Agencia en relación con el Registro Civil. Informe In2/2004.
Competencias de la AEPD en relación con los registros civiles
I
Se plantea en el presente caso si la Agencia Española de Protección de Datos
resulta competente para el ejercicio de las funciones de inspección en relación
con el tratamiento de datos de carácter personal efectuado por los registros
civiles, teniendo en cuenta que el artículo 2.3 d) de la Ley Orgánica 15/1999
dispone que los tratamientos efectuados por los mencionados registros “se
regirán por sus disposiciones específicas, y por lo especialmente previsto, en
su caso, por esta Ley Orgánica”.
Partiendo de esta premisa, los tratamientos efectuados por el Registro Civil se
rigen por lo dispuesto en la Ley reguladora de dicho Registro, de 8 de junio de
1957 y su Reglamento, aprobado por Decreto de 14 de noviembre de 1958.
Por otra parte, el artículo 40 de la Ley Orgánica 15/1999 dispone que “Las
autoridades de control podrán inspeccionar los ficheros a que hace referencia
la presente Ley, recabando cuantas informaciones precisen para el
cumplimiento de sus cometidos”.
De lo dispuesto en el mencionado precepto se desprende que, sin perjuicio de
la aplicación de las normas sustantivas que pueden contenerse en la
regulación legal o reglamentaria del Registro Civil, las competencias de la
Agencia Española de Protección de Datos, y en particular de la Inspección de
Datos podrán recaer sobre los tratamientos efectuados por el Registro.
Es decir, lo dispuesto en el artículo 2.3 d) de la Ley Orgánica 15/1999 implicará
que los principios inspiradores del derecho fundamental a la protección de
datos, consagrado como tal por la Sentencia del Tribunal Constitucional
292/2000, de 30 de noviembre, deberán aplicarse en el caso del Registro Civil
de acuerdo con lo establecido en su normativa específica y, en lo
expresamente señalado, por la Ley Orgánica 15/1999.
Sin embargo, en lo que se refiere a las competencias de esta Agencia
Española de Protección de Datos o a aquellas obligaciones que la Ley
Orgánica imponga con carácter general a la totalidad de los ficheros o
tratamiento, sin excluir de dichas normas a los previstos en el artículo 2.3, de
forma que únicamente quedarán fuera de su aplicación los ficheros previstos
en el artículo 2.2, deberá considerarse planamente a dichos ficheros lo
establecido en la Ley Orgánica.
Así, a título de ejemplo, deberá procederse a la inscripción de los ficheros en el
Registro General de Protección de Datos, toda vez que el artículo 39 de la Ley
Orgánica impone esta obligación en relación con la totalidad de los ficheros de
titularidad pública, de modo que no cabe efectuar exclusión alguna en relación
con la misma.
Pues bien, como se ha indicado, el artículo 40 de la Ley Orgánica 15/1999
otorga a la Agencia Española de Protección de Datos la potestad de ejercer la
Página 23 de 353
función inspector en relación con “los ficheros a que hace referencia la
presente Ley”, no limitando dicha función a los ficheros íntegramente sometidos
a la misma, sino a todos los no excluidos expresamente de su aplicación, como
sucedería en el supuesto planteado, independientemente de la aplicación, en el
ejercicio de las potestades inspectoras y, en su caso, sancionadoras, de las
normas sustantivas contenidas en la regulación específica de esos ficheros.
Podría argumentarse que el párrafo primero del artículo 41 del Reglamento del
Registro Civil, modificado por el artículo 1 del Real Decreto 1917/1986, de 29
agosto, dispone que “Dentro del Ministerio de Justicia, compete a la Dirección
General de los Registros y del Notariado la dirección e inspección de los
servicios del Registro Civil”.
Sin embargo, dicha previsión en lo que a protección de datos se refiere debería
considerarse derogada por el ya reiterado artículo 40 de la Ley Orgánica
15/1999, dado que la misma es posterior y superior en rango al Reglamento del
Registro Civil, en la redacción que se ha reproducido.
En consecuencia, ha de considerarse que, sin perjuicio de la aplicación de la
normativa sobre el Registro Civil en estos supuestos, la Agencia Española de
Protección de Datos es plenamente competente para el ejercicio de las
competencias relacionadas con los tratamientos que el mismo efectúa, tanto en
lo referente a la función inspectora como en relación con la tramitación, en su
caso, del correspondiente procedimiento de infracción de administraciones
públicas.
II
Por otra parte, la tesis suscrita en el presente informe puede considerarse
corroborada por la Sentencia de la Sala de lo Contencioso-Administrativo de la
Audiencia Nacional de 25 de enero de 2002.
Mediante la citada Sentencia se estimó el recurso interpuesto por la Asociación
Libre de Abogados de Madrid contra resolución del Director de la Agencia
Española de Protección de Datos, recaída en el Expediente E/00069/1999, por
la que se declaraba el archivo de actuaciones contra el Colegio de Abogados
de Madrid, por la de un fichero de datos para el cobro de los "derechos de
intervención profesional" (bastanteos).
La mencionada Resolución hacía referencia a la cesión, autorizada por las
Salas de Gobierno del Tribunal Supremo, Audiencia Nacional y Tribunales
Superiores de Justicia, al Colegio de Abogados de Madrid, de los datos
referidos a la representación procesal en los diferentes procesos tramitados
ante los Juzgados y Tribunales.
Según se indicaba en la mencionada resolución: En consecuencia, habiéndose
residenciado reglamentariamente y en virtud de mandato legal en el Consejo
General del Poder Judicial la competencia sobre la materia, atribuyéndose
aquélla a la autoridad judicial y a sus órganos de gobierno, es por lo que
tratándose de ficheros jurisdiccionales que contengan datos personales, toda
información requerida por tercero deberá contar con el consentimiento del
afectado o, en su caso, ser autorizado por el titular del órgano jurisdiccional,
Página 24 de 353
correspondiendo a éste velar por la defensa de los derechos reconocidos en el
art. 18.4 de la Constitución y en la Ley Orgánica 5/1992.
En el presente caso ha quedado acreditado, conforme a lo expuesto en los
Antecedentes de Hecho, que el Servicio de Comprobación del Colegio de
Abogados de Madrid ha recabado datos que se introducen y almacenan en el
fichero denominado ICAM, los cuales se obtienen del acceso a los LibrosRegistro de los órganos judiciales y a los Poderes otorgados en cada
procedimiento, tanto si constan en soporte papel como si lo están en soporte
automatizado.
El citado acceso ha sido autorizado por la Sala de Gobierno del Tribunal
Supremo, el Tribunal Superior de Justicia de Madrid y la Audiencia Provincial.
Por tanto, el pronunciamiento de la Agencia de Protección de Datos sobre la
adecuación o no a la LORTAD del fichero denominado ICAM exige,
inexcusablemente y con carácter previo, una decisión sobre la licitud del
acceso autorizado por los propios órganos jurisdiccionales, ya que, de ser éste
legítimo y conforme con la citada Ley Orgánica, el tratamiento posterior de los
datos en aquel fichero no infringiría la normativa de protección de datos.
Sin embargo, de conformidad con las disposiciones citadas en los
Fundamentos de Derecho anteriores, la decisión sobre la licitud y alcance de
los accesos autorizados corresponde a la autoridad judicial y a sus órganos de
gobierno, y, en su caso, a la jurisdicción contencioso-administrativa.”
La Sentencia de la Audiencia de 25 de enero de 2002 viene a estimar el
recurso formulado contra dicha resolución, lo que implícitamente implica el
reconocimiento de la competencia de la Agencia Española de Protección de
Datos para ejercer sus competencias de inspección y, en su caso, incoación
del correspondiente procedimiento de infracción en relación con los ficheros
judiciales, pese a existir normas específicas que atribuirían la competencia a
otro órgano, lo que no haría sino conformar la tesis mantenida hasta el
presente momento.
Página 25 de 353
Tratamiento de datos en el Registro Civil y su consideración de especialmente
protegidos. Informe 431/2007
La consulta plantea si en el supuesto de matrimonio entre personas de un
mismo sexo, debemos de considerar si se están tratando datos especialmente
protegidos como es la vida sexual del afectado, conforme a la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.
Como punto de partida, es preciso señalar que la Ley del Registro Civil de 8 de
junio de 1957 establece en su artículo 1 que en el “En el Registro Civil se
inscribirán los hechos concernientes al estado civil de las personas y aquellos
otros que determina la Ley. Constituyen, por tanto, su objeto:
1. El nacimiento.
2. La filiación.
3. El nombre y apellidos.
4. La emancipación y habilitación de edad.
5. Las modificaciones judiciales de la capacidad de las personas o que éstas
han sido declaradas en concurso, quiebra o suspensión de pagos.
6. Las declaraciones de ausencia o fallecimiento.
7. La nacionalidad y vecindad.
8. La patria potestad, tutela y demás representaciones que señala la Ley.
9. El matrimonio.
10. La defunción.”
Por tanto en el mismo tan sólo se harán constar hechos concretos, dado que
así lo determina el artículo 35 de la mencionada Ley señalando que “En las
inscripciones constarán exclusivamente:
1. Los hechos de que hacen fe según su clase, con indicación, si fueren
conocidas, de las circunstancias de la fecha, hora y lugar en que acaecen, y las
demás exigidas en cada caso por la Ley o el Reglamento.
2. La declaración o documento auténtico en virtud del cual se practican.
3. La fecha de las mismas y los nombres de los funcionarios que las autoricen.”
En el Registro de la Agencia Española de Protección de Datos, consta inscrito
desde el año 2004, el fichero relativo al Estado Civil de las personas, fichero
que no se ha visto modificado tras las modificaciones operadas en el Código
Civil en virtud de la Ley 13/2005, de 1 de julio, por la que se modifica el artículo
44 del mencionado texto legal señalando que “El hombre y la mujer tienen
derecho a contraer matrimonio conforme a las disposiciones de este Código.
El matrimonio tendrá los mismos requisitos y efectos cuando ambos
contrayentes sean del mismo o de diferente sexo.”
La mencionada modificación determina que a los efectos de su constancia en
el Registro Civil como hechos inscribibles relacionados con el matrimonio,
resulte admisible que los contrayentes sean del mismo sexo o de
diferente sexo, indicando expresamente que en cualquiera de dichos supuestos
“el matrimonio tendrá los mismos requisitos y efectos”.
Página 26 de 353
Esta identidad de efectos, unida al hecho de que el Registro Civil tiene por
objeto la constatación de hechos inscribibles supone, desde la perspectiva de
la normativa reguladora de protección de datos personales, que la indicada
modificación en el matrimonio que afecta a los hechos que deben constar en el
Registro Civil, no altera su naturaleza.
En consecuencia, si hasta la modificación del Código Civil, los hechos relativos
al matrimonio inscritos en el Registro Civil no se consideraban especialmente
protegidos respecto a la posible relación de la vida sexual del afectado, la
misma conclusión debe mantenerse con posterioridad a aquella.
Página 27 de 353
Publicación de datos de abogados y procuradores en repertorios de
jurisprudencia. Informe 434/2006
La consulta plantea determinadas cuestiones relacionadas con la publicación
en los repertorios de jurisprudencia elaborados por la consultante de datos
referidos a los abogados y procuradores que intervienen en el proceso sin tener
la condición de partes en el mismo.
La cuestión planteada ha sido analizada por esta Agencia Española de
Protección de Datos en resolución de 13 de enero de 2006, por la que se
acuerda el archivo del procedimiento iniciado como consecuencia de la
denuncia formulada por la letrado de un recurrente en vía de amparo ante el
Tribunal Constitucional, como consecuencia de la publicación en Internet de la
Sentencia recaída, incluyendo sus datos identificativos.
En el Fundamento de Derecho IX de la citada Resolución se señala lo
siguiente:
“Sin perjuicio de lo señalado con anterioridad, debe analizarse si en el caso
concreto que se examina, consistente en la publicación, a través de Internet,
del nombre y apellidos de la denunciante en su condición de letrada de la parte
recurrente, contenidos en el texto de la Sentencia n° 222/2002 de 25 de
noviembre, del Tribunal Constitucional, vulnera el derecho fundamental a la
protección de datos.
El Tribunal Constitucional ha declarado, en su Sentencia 292/2000, de 30 de
noviembre, en cuanto al derecho fundamental a la protección de datos, “que el
derecho a la protección de datos no es ilimitado, y aunque la Constitución no le
imponga expresamente límites específicos, ni remita a los Poderes Públicos
para su determinación como ha hecho con otros derechos fundamentales, no
cabe duda de que han de encontrarlos en los restantes derechos
fundamentales y bienes jurídicos constitucionales protegidos, pues así lo exige
el principio de unidad de la Constitución (STC 11/1981, de 8 de abril FJ 7;
196/1987, de 11 de diciembre, FJ 6; y respecto del art. 18, la STC 110/1984, FJ
5). Esos límites o bien pueden ser restricciones directas del derecho
fundamental mismo, a las que antes se ha aludido o bien pueden ser
restricciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En
el primer caso, regular esos límites es una forma de desarrollo del derecho
fundamental. En el segundo, los límites que se fijan lo son a la forma
concreta en la que cabe ejercer el haz de facultades que compone el contenido
del derecho fundamental en cuestión, constituyendo una manera de regular su
ejercicio, lo que puede hacer el legislador ordinario a tenor de lo dispuesto en el
art. 53.1 CE. La primera constatación que debe hacerse, que no por evidente
es menos capital, es que la Constitución ha querido que la Ley, y sólo la Ley,
pueda fijar los límites a un derecho fundamental .. .
Como se ha dicho anteriormente, la propia LOPD permite establecer los límites
para la exigencia del consentimiento. En consecuencia, habrá
que determinar si en los concretos hechos que se examinan concurre alguna
de las circunstancias previstas en los artículos 6.2 y 11.2 de la LOPD, que
excluirían el requisito del consentimiento para el tratamiento de los datos de la
denunciante.
Página 28 de 353
El artículo 24 de la Constitución Española señala que “todos tienen derecho a
obtener la tutela judicial efectiva de los jueces y tribunales en el ejercicio de sus
derechos e intereses legítimos, sin que en ningún caso se produzca
indefensión y a la defensa y asistencia de Letrado”:
La LOPJ indica en su Exposición de Motivos que “Los Libros y y VI establecen
el marco básico regulador de aquellos otros órganos, cuerpos de funcionarios y
profesionales que, sin integrar el Poder Judicial, colaboran de diversas formas
con él, haciendo posible la efectividad de su tutela en los términos establecidos
por la Constitución”.
El Libro V, bajo el epígrafe: “Del Ministerio Fiscal y demás personas e
instituciones que cooperan con la Administración de justicia y de los que la
auxilian”, consagra la función de los Abogados y Procuradores en su condición
de colaboradores con la Administración de Justicia.
El artículo 30 del Real Decreto 658/2001, de 22 de junio, por el que se aprueba
el Estatuto General de la Abogacía Española, establece que “El deber
fundamental del abogado, como partícipe en la función pública de la
Administración de Justicia, es cooperar a ella asesorando, conciliando y
defendiendo en derecho los intereses que le sean confiados. En ningún caso la
tutela de tales intereses puede justificar la desviación del fin supremo de
Justicia a que la abogacía se halla vinculada.”
La Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (en lo sucesivo LEC), que
se aplica de forma supletoria a la LOTC, entre otros asuntos, en materia de
publicidad y forma de los actos, comunicaciones y actos de auxilio jurisdiccional
(artículo 80 LOTC), recoge en el artículo 225.4 que constituye vicio de nulidad
absoluta de los actos procesales: “Cuando se realicen sin intervención de
abogado, en los casos en que la ley la establezca como obligatoria”: En
consonancia con lo anterior, el artículo 209 de la LEC señala que, en el
encabezamiento de las sentencias, “deberán expresarse los nombres de las
partes y, cuando sea necesario, la legitimación y representación en virtud de
las cuales actúen, así como los nombres de los abogados y procurados y el
objeto del juicio.”
De los citados artículos se desprende el derecho de todos los ciudadanos a la
asistencia letrada, y el deber de los profesionales del Derecho de colaborar en
la función de publicidad de la Justicia que incluyen las garantías procesales a
las que se acaba de hacer referencia y que vienen consagradas en las leyes
anteriormente citadas.
Por lo tanto, en este supuesto concreto, la publicación de la Sentencia n°
222/2002 del Tribunal Constitucional en el BOE n° 304, suplemento
de 20/02/2002, conteniendo la identificación de la denunciante en calidad de
letrada, y por tanto, colaboradora necesaria en la función procesal de
publicidad de la Justicia, y su posterior publicación, a través de Internet, se
encuentra amparada en la dispensa del requisito del consentimiento prevista en
el citado artículo 6 de la LOPD.
En suma, no se aprecia que la publicación por parte del Tribunal Constitucional,
a través de Internet, del nombre y apellidos de la denunciante como tal letrada
suponga infracción de la LOPD.”
En consecuencia, y para el supuesto planteado, referido a los datos de
abogados y procuradores, cabe considerar que su publicación no resulta
contraria a lo dispuesto en la Ley Orgánica 15/1999.
Página 29 de 353
Publicación de datos de carácter personal en Sentencias del Tribunal
Constitucional. Informe 451/2006
La consulta plantea si es conforme a la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de datos de Carácter Personal, la publicación de las
Sentencias del Tribunal Constitucional sin ocultar la identidad personal de los
afectados por ella.
Esta cuestión ya ha sido resuelta por el Tribunal Constitucional en Sentencia
114/2006, de 5 de abril de 2006, que en sus Fundamentos Jurídicos quinto,
sexto y séptimo viene a fundamentar la difusión pública del contenido íntegro
de sus resoluciones judiciales.
“...Para ello resulta necesario destacar previamente una serie de
consideraciones tanto sobre el alcance de la publicidad y publicación de las
resoluciones jurisdiccionales de este Tribunal como sobre las posibilidades de
hacer excepciones a la completa identificación de las partes procesales a
través de la inclusión de sus iniciales.
En primer lugar, ha de incidirse en que la Ley Orgánica de este Tribunal
establece, por un lado, y en su artículo 1.1, que «[e]l Tribunal Constitucional,
como intérprete supremo de la Constitución, es independiente de los demás
órganos constitucionales y está sometido sólo a la Constitución y a la presente
Ley Orgánica»; y, por otro, y en su artículo 80, que se aplicarán con carácter
supletorio las previsiones de la Ley Orgánica del Poder Judicial (LOPJ) y de la
Ley de Enjuiciamiento Civil (LECiv), entre otras materias, en lo relativo a la
«publicidad y forma de los actos». Ello determina que resulte inequívoco, desde
la perspectiva de la concreta naturaleza de la cuestión que se suscita y el
órgano al que corresponde resolver sobre la misma, que al aparecer referida al
alcance de la publicidad de una resolución de este Tribunal y fundamentarse en
la alegación del ejercicio de derechos fundamentales, sea una cuestión
jurisdiccional de exclusiva competencia de este Tribunal, en tanto que juez del
caso en el que se suscita y, a la vez, supremo intérprete de la Constitución y
órgano jurisdiccional superior en cuanto afecta a garantías constitucionales (art.
123.1 CE). Igualmente, también determina que, desde la perspectiva de la
normativa aplicable para resolver esta cuestión, las únicas previsiones a las
que en exclusiva ha de atender este Tribunal tanto en lo relativo a la publicidad
y publicación de sus resoluciones judiciales como, en su caso, a la posibilidad
de omitir la identificación de las partes, sean la propia Constitución y la Ley
Orgánica del Tribunal Constitucional y, en lo no regulado por éstas y cuando
resulten compatibles con la exigencia de la publicidad de las resoluciones del
Tribunal Constitucional, la Ley Orgánica del Poder Judicial y la Ley de
enjuiciamiento civil, toda vez que, como ya ha reiterado este Tribunal, la
aplicación supletoria prevista en el art. 80 LOTC sólo será posible en la medida
en que no contradiga lo dispuesto en la Ley Orgánica y sus principios
inspiradores.
6 En concreto, en cuanto a la publicidad y publicación de las resoluciones
jurisdiccionales del Tribunal Constitucional, las previsiones
establecidas en la Constitución son, por un lado, el art. 120 de la CEen cuyos
apartados primero y tercero se establece, respectivamente, el principio general
de que «[l]as actuaciones judiciales serán públicas, con las excepciones que
prevean las Leyes de procedimiento», y que «[l]as sentencias serán siempre
motivadas»; y, por otro, y muy especialmente, el art. 164.1 CE que establece
Página 30 de 353
que «[l]as sentencias del Tribunal Constitucional se publicarán en el boletín
oficial del Estado con los votos particulares, si los hubiere», incidiendo,
además, en que el valor de cosa juzgada la adquieren a partir del día siguiente
de su publicación. Por su parte, las previsiones establecidas en la Ley Orgánica
del Tribunal Constitucional sobre el particular son, por un lado, el art. 86.2,
concretando que la obligación de publicación en el Boletín Oficial aparece
referida tanto a las Sentencias como a las Declaraciones sobre la
constitucionalidad de los tratados internacionales y que la misma debe
producirse dentro de los treinta días siguientes a la fecha del fallo; y, por otro,
el art. 99.2, que establece, como obligación del Tribunal Constitucional «la
recopilación, clasificación y publicación de la doctrina constitucional del
Tribunal».
Una lectura conjunta de estas previsiones, puestas en relación con los arts. 9.1
CE y 5.1 LOPJ, determina que resulte también inequívoco que el art. 164.1 CE
establece, más allá incluso del principio general de publicidad de las
actuaciones judiciales y sus resoluciones del art. 120 CE, una exigencia
constitucional específica de máxima difusión y publicidad de las resoluciones
jurisdiccionales de este Tribunal, que se concreta, por un lado, en que, junto
con la más obvia y expresa obligación formal de publicación de determinadas
resoluciones en el Boletín Oficial, resulte también implícita una obligación
material de dar la mayor accesibilidad y difusión pública al contenido de todas
aquellas resoluciones jurisdiccionales del Tribunal que incorporen doctrina
constitucional, con independencia de su naturaleza y del proceso en que se
dicten; y, por otro, en que la publicidad lo ha de ser de la resolución íntegra.
En efecto, con carácter general, el art. 9.1 CE establece la sujeción de los
ciudadanos y los poderes públicos a la Constitución y, específicamente en lo
referido al Poder Judicial, el art. 5.1 LOPJ determina la vinculación directa de
los órganos judiciales a la Constitución, destacando que la misma se produce
conforme a la interpretación que de los preceptos y principios constitucionales
«resulte de las resoluciones dictadas por el Tribunal Constitucional en todo tipo
de procesos». En virtud de ello, y desde la perspectiva del alcance del deber de
publicidad y publicación de las resoluciones jurisdiccionales de este Tribunal,
es obligado concluir, en primer lugar, que, como presupuesto para el
cumplimiento de esta función específica de la jurisprudencia constitucional,
resulta necesario que se posibilite el más amplio acceso y conocimiento a la
interpretación que de los preceptos y principios constitucionales realiza este
Tribunal. En segundo lugar, que, en la medida en que esa función está
vinculada con el contenido de las resoluciones jurisdiccionales de este Tribunal,
con independencia de su carácter y del proceso en que se dicten, la necesidad
de máxima
accesibilidad debe ser extensible a todas las resoluciones jurisdiccionales del
Tribunal siempre que incorporen doctrina constitucional, incluyéndose, por
tanto, los Autos. En tercer lugar, que la exigencia de máxima accesibilidad, si
bien respecto de Sentencia y Declaraciones podría quedar garantizada
formalmente con su publicación en el Boletín Oficial, sin embargo,
materialmente, junto con la de los Autos, y conforme a lo previsto en el art. 99.2
LOTC, es función ineludible del Tribunal Constitucional garantizarla y dotarla de
eficacia, a través de dar publicidad a su contenido por los medios -impresos,
informáticos o de otra índole- que resulten precisos. Y, por último, que la
publicidad que así debe ser garantizada es la de la resolución judicial en su
Página 31 de 353
integridad, incluyendo, por lo común, la completa identificación de quienes
hayan sido parte en el proceso constitucional respectivo, en tanto que permite
asegurar intereses de indudable relevancia constitucional, como son, ante todo,
la constancia del imparcial ejercicio de la jurisdicción constitucional y el derecho
de todos a ser informados de las circunstancias, también las personales, de los
casos que por su trascendencia acceden, precisamente, a esta jurisdicción; y
ello sin olvidar que, en no pocos supuestos, el conocimiento de tales
circunstancias será necesario para la correcta intelección de la aplicación, en el
caso, de la propia doctrina constitucional.
Igualmente, debe destacarse que es también una consecuencia derivada de
todo lo anterior, que no resulta posible hacer una distinción entre una supuesta
publicidad formal, fundamentada en la obligación de publicación de las
Sentencias y Declaraciones en el «Boletín Oficial del Estado» -sea en soporte
papel, electrónico o cualquier otro que en cada momento se decida legalmentey una publicidad material, fundamentada en la obligación de dotar de máxima
difusión y accesibilidad pública a las resoluciones jurisdiccionales de este
Tribunal y que se concreta en la inserción que de las mismas realiza el propio
Tribunal Constitucional en sus recopilaciones jurisprudenciales -también con
independencia de que sea en soporte papel, informático, en internet o cualquier
otro que pudiera acordarse-, ya que si bien la primera tiene eventuales efectos
jurídicos que no son aplicables a la segunda, sin embargo, ambas suponen una
publicidad exigida legalmente. Ello refuerza la conclusión, ya señalada
anteriormente, de que cualquier cuestión relativa a la eventual omisión de la
identificación de las partes intervinientes en un proceso constitucional tanto en
la resolución jurisdiccional que se dicte como en la publicidad que de la misma
se haga por parte de este Tribunal, al amparo de la obligación formal de
publicación en el Boletín Oficial o de la obligación material de darle la máxima
difusión, es de naturaleza jurisdiccional y corresponde resolverla de manera
exclusiva y excluyente a este Tribunal con la sola sujeción a lo previsto en la
Constitución y en la Ley Orgánica del Tribunal Constitucional.”
Por todo lo expuesto, hemos de concluir que, según doctrina del Tribunal
Constitucional, la publicación íntegra de sus Sentencias con nombres y
apellidos de los afectados, no resulta contraria a la Ley Orgánica 15/1999.
Página 32 de 353
Informe Jurídico (0164/2008)
La consulta plantea distintas cuestiones relacionadas con la actividad de la
consultante que ha creado una base de datos de profesionales de la medicina
utilizando como fuentes los cuadros médicos de diversas compañías
aseguradoras de asistencia sanitaria, disponibles on-line e incluyendo en el
apartado “dirección” la de los centros médicos donde los profesionales prestan
sus servicios.
I
En primer lugar, debe analizarse la última de las cuestiones planteadas, en la
que se solicita el parecer de esta Agencia en relación a si el citado fichero se
encontraría sometido a lo dispuesto en la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de datos de Carácter Personal, teniendo en cuenta,
según parece desprenderse de la consulta, lo establecido en el artículo 2.2 de
su Reglamento de desarrollo, aprobado por Real decreto 1720/2007, de 21 de
diciembre.
Según señala el mencionado precepto “este Reglamento no será aplicable a
los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se
limiten a incorporar los datos de las personas físicas que presten sus servicios
en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o
puestos desempeñados, así como la dirección postal o electrónica, teléfono y
número de fax profesionales”.
Esta Agencia se ha pronunciado acerca de la interpretación que ha de darse a
lo dispuesto en el segundo inciso del precepto citado en numerosos informes a
partir del emitido con fecha 28 de febrero de 2008, en que se señalaba lo
siguiente:
“(...) la Agencia ha venido señalando que en los supuestos en que el
tratamiento del dato de la persona de contacto es meramente accidental en
relación con la finalidad del tratamiento, referida realmente a las personas
jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo
dispuesto en la Ley Orgánica 15/1999, viniendo el Reglamento a plasmar este
principio.
No obstante, nuevamente, es necesario que el tratamiento del dato de la
persona de contacto sea accesorio en relación con la finalidad perseguida. Ello
se materializará mediante el cumplimiento de dos requisitos:
El primero, que aparece expresamente recogido en el Reglamento será el de
que los datos tratados se limiten efectivamente a los meramente necesarios
para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por
este motivo, el Reglamento impone que el tratamiento se limite a los datos de
nombre y apellidos, funciones o puestos desempeñados, dirección postal o
electrónica, teléfono y número de fax profesionales”.
De este modo, cualquier tratamiento que contenga datos adicionales a los
citados se encontrará plenamente sometido a la Ley Orgánica 15/1999, por
exceder de lo meramente imprescindible para identificar al sujeto en cuanto
contacto de quien realiza el tratamiento con otra empresa o persona jurídica.
Por ello, no se encontrarían excluidos de la Ley los ficheros en los que, por
ejemplo, se incluyera el dato del documento nacional de identidad del sujeto, al
no ser el mismo necesario para e mantenimiento del contacto empresarial.
Igualmente, y por razones obvias, nunca podrá considerarse que se encuentran
Página 33 de 353
excluidos de la Ley Orgánica los ficheros del empresario respecto de su propio
personal, en que la finalidad no será el mero contacto, sino el ejercicio de las
potestades de organización y dirección que a aquél atribuyen las leyes.
El segundo de los límites se encuentra, como en el supuesto contemplado en el
artículo 2.3, en la finalidad que justifica el tratamiento. Como se ha venido
indicando reiteradamente, la inclusión de los datos de la persona de contacto
debe ser meramente accidental o incidental respecto de la verdadera finalidad
perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en
la entidad en la que el mismo desarrolla su actividad o a la que aquél
representa en sus relaciones con quienes tratan los datos.
De este modo, la finalidad del tratamiento debe perseguir una relación directa
entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una
determinada posición en la empresa. De este modo, el uso del dato debería
dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio
para lograr esa finalidad.
Así sucedería en caso de que el tratamiento responda a relaciones “business to
business”, de modo que las comunicaciones dirigidas a la empresa,
simplemente, incorporen el nombre de la persona como medio de representar
gráficamente el destinatario de la misma. Por el contrario, sin la relación fuera
“business to consumer”, siendo relevante el sujeto cuyo dato ha sido tratado no
sólo en cuanto a la posición ocupada sino como destinatario real de la
comunicación, el tratamiento se encontraría plenamente sometido a la Ley
Orgánica 15/1999, no siendo de aplicación lo dispuesto en el artículo 2.2 del
Reglamento.”
En el supuesto contemplado en el presente caso, debe tenerse en cuenta que
el objeto de la base de datos a la que se refiere la consulta no es la
identificación de las empresas que prestan servicios de asistencia sanitaria ni
de centros sanitarios, sino la identificación de los propios facultativos. Así se
desprende de la consulta, en que se hace referencia a la creación de “una base
de datos de profesionales de la medicina”.
De este modo, no puede considerarse que la inclusión de los datos del
facultativo sea meramente accidental en relación con la finalidad que justifica el
tratamiento, sino que es precisamente la identificación de cada uno de los
profesionales de la medicina el objeto de la base de datos creadas y la finalidad
que motiva su creación.
En consecuencia, el fichero se encontrará planamente sometido a lo dispuesto
en la Ley Orgánica 15/1999, debiendo darse cumplimiento a las obligaciones
previstas en la misma y en su Reglamento de desarrollo, entre las cuales se
encuentra la de notificar el mismo para su inscripción en el Registro General de
Protección de Datos de esta Agencia.
II
En segundo lugar, deberá analizarse si una vez sentado lo anterior, el
tratamiento llevado a cabo por la consultante mediante la creación de la base
de datos a la que se refiere la consulta resulta conforme a la Ley Orgánica
15/1999.
El artículo 6 de la citada Ley Orgánica, después de establecer como regla
general legitimadora del tratamiento en su apartado 1 el consentimiento del
afectado, establece en su apartado 2 que “no será preciso el consentimiento
Página 34 de 353
(...) cuando los datos figuren en fuentes accesibles al público y su tratamiento
sea necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos,
siempre que no se vulneren los derechos y libertades fundamentales del
interesado”.
El artículo 3 j) de la Ley Orgánica enumera taxativamente las fuentes
accesibles al público, señalando en su inciso segundo que “tienen la
consideración de fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de su pertenencia al grupo.
Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y
Boletines oficiales y los medios de comunicación”.
De este modo, para que el tratamiento de los datos a los que se refiere la
consulta resulte conforme a lo dispuesto en la Ley Orgánica 15/1999 deberá
ser posible considerar que los directorios de las compañías de asistencia
sanitaria disponibles en Internet tienen la consideración de fuentes accesibles
al público al ser “listas de personas pertenecientes a grupos de profesionales
que contengan únicamente los datos de nombre, título, profesión, actividad,
grado académico, dirección e indicación de su pertenencia al grupo”.
El artículo 7.1 del reglamento de desarrollo de la Ley Orgánica aclara el
concepto establecido en el artículo 3 j) de la Ley Orgánica, en particular en
referencia al supuesto al que se viene haciendo referencia en este informe en
su apartado c) que incluye entre las fuentes accesibles al público:
“Las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos de nombre, título, profesión, actividad, grado
académico, dirección profesional e indicación de su pertenencia al grupo. La
dirección profesional podrá incluir los datos del domicilio postal completo,
número telefónico, número de fax y dirección electrónica. En el caso de
Colegios profesionales, podrán indicarse como datos de pertenencia al grupo
los de número de colegiado, fecha de incorporación y situación de ejercicio
profesional”.
De lo dispuesto en el mencionado precepto se desprende, en primer lugar, que
las listas a las que se refiere el precepto no han de identificarse
necesariamente con los listados de profesionales editados o públicamente
accesibles por Internet, por los Colegios Profesionales, dado que se establecen
especiales aclaraciones en relación a los mismos que no será predicables de la
totalidad de las listas a las que se refiere el precepto.
En consecuencia, la legislación de protección de datos permite que existan,
con la condición de fuentes accesibles al público, listas de profesionales no
procedentes de colegios profesionales.
En segundo lugar, el precepto establece el contenido máximo que deberán
incorporar dichos listados de profesionales. De este modo, si la lista incluyera
otros datos distintos a los mencionados en el precepto, incluyendo el concepto
amplio del término “dirección” que la propia norma prevé, tampoco podría
considerarse incluida en la enumeración de las posibles fuentes accesibles al
público, respecto de las cuales se legitima el tratamiento de los datos por el
artículo 6.2 de la Ley Orgánica.
Página 35 de 353
Por último, el artículo 7.2 del Reglamento de desarrollo de la Ley Orgánica
15/1999 establece una exigencia adicional para que los ficheros puedan ser
considerados fuentes accesibles al público, al disponer que “en todo caso, para
que los supuestos enumerados en el apartado anterior puedan ser
considerados fuentes accesibles al público, será preciso que su consulta pueda
ser realizada por cualquier persona, no impedida por una norma limitativa, o sin
más exigencia que, en su caso, el abono de una contraprestación”.
Ello excluirá del alcance de este concepto los listados de profesionales que
pudieran encontrarse en Internet en sitios web en los que el acceso se
encontrase restringido a un determinado colectivo, aún cuando se cumplieran
los dos requisitos anteriormente citados. Por el contrario, si el único criterio
restrictivo del acceso fuera la exigencia de una determinada suscripción sí
sería posible considerar el listado como fuente accesible al público.
De lo señalado hasta ahora, cabe deducir que el tratamiento llevado a cabo por
la consultante sería conforme al artículo 6.2 de la Ley Orgánica 15/1999
siempre que concurrieran las siguientes condiciones en las listas de las que se
hubieran obtenido los datos:
- Dichas listas se refieren únicamente a profesionales de la medicina, pudiendo
proceder o no (como sucede en el supuesto planteado) de un colegio
profesional.
- Las listas contienen única y exclusivamente los datos a los que se refiere el
artículo 3 j) de la Ley Orgánica 15/1999, con la aclaración efectuada por el
artículo 7.1 c) del Reglamento que la desarrolla.
- Además, las listas son libremente accesibles por cualquier persona, mediando
o no el pago de una contraprestación, pero el acceso no se encuentra limitado
a un determinado colectivo (por ejemplo, los asegurados de la compañía de
asistencia sanitaria).
III
Por otra parte, si se dieran los requisitos anteriormente expuestos, ya se ha
señalado que el consultante queda plenamente sometido a las previsiones de
la Ley Orgánica 15/1999, entre las que se encuentra el deber de información al
afectado acerca del tratamiento de sus datos.
A tal efecto, dispone el artículo 5.1 de la Ley Orgánica 15/1999 que “Los
interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco: a) De la existencia de un
fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información. b) Del carácter
obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas. c) De las consecuencias de la obtención de los datos o de la
negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de
acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del
responsable del tratamiento o, en su caso, de su representante”.
Si los datos no hubieran sido recabados del afectado, el artículo 5.4 de la Ley
Orgánica añade que “éste deberá ser informado de forma expresa, precisa e
inequívoca, por el responsable del fichero o su representante, dentro de los tres
meses siguientes al momento del registro de los datos, salvo que ya hubiera
sido informado con anterioridad, del contenido del tratamiento, de la
procedencia de los datos, así como de lo previsto en las letras a), d) y e) del
apartado 1 del presente artículo”.
Página 36 de 353
El plazo previsto en el citado precepto se encuentra además limitado en los
supuestos en que se va a proceder a la cesión de los datos a terceros, lo que
aquí podría producirse se producirá mediante la difusión, en su caso, de la
base de datos, al disponer el artículo 27.1 de la Ley Orgánica 15/1999 que “el
responsable del fichero, en el momento en que se efectúe la primera cesión de
datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad
del fichero, la naturaleza de los datos que han sido cedidos y el nombre y
dirección del cesionario”.
Al propio tiempo, si los datos fueran utilizados en actividades de publicidad o
prospección comercial, el artículo 5.5 de la Ley Orgánica 15/1999 exceptúa la
aplicación de lo señalado en los preceptos que acaban de indicarse, si bien se
dispone que “en cada comunicación que se dirija al interesado se le informará
del origen de los datos y de la identidad del responsable del tratamiento así
como de los derechos que le asisten”.
Página 37 de 353
Comunicación de información al Colegio de abogados. Informe 0170/2008.
La consulta plantea si puede ampararse en la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de datos de Carácter Personal, la comunicación de la
documentación señalada al Colegio de Abogados a los efectos de que los
abogados de oficio perciban la remuneración correspondiente.
En primer lugar es preciso indicar que la comunicación de la documentación
señalada en la consulta, constituye una cesión de datos de carácter personal,
definida en el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación
de datos realizada a persona distinta del interesado”.
En relación con la cesión de datos, el artículo 11.1 de la Ley dispone que “los
datos de carácter personal objeto del tratamiento sólo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado”. El consentimiento deberá ser otorgado con carácter previo a la
cesión y suficientemente informado de la finalidad a la que se destinen los
datos cuya comunicación se autoriza o el tipo de actividad de aquél a quién se
pretende comunicar (artículo 11.3), y que debe recabar el cedente como
responsable del fichero que contiene los datos que se pretenden ceder.
La obligación de consentimiento sólo se verá exceptuada en los supuestos
enumerados en el artículo 11.2 se prevén las excepciones a la necesidad del
consentimiento para que la cesión de datos pueda ser efectiva y así se
establece que nos será necesario dicho consentimiento:
a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros. En
este caso la comunicación sólo será legítima en cuanto se limite a la finalidad
que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será
preciso el consentimiento cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por
objeto el tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o
para realizar los estudios epidemiológicos en los términos.
En consecuencia sólo será lícita la cesión sin el consentimiento previo del
afectado, cuando la misma pueda ampararse en alguna de las excepciones del
artículo 11.2, de lo contrario debería de recabarse el consentimiento del
afectado.
Página 38 de 353
La Ley 1/1996, de 10 de enero de asistencia jurídica gratuita, regula en los
artículos 37 y siguientes la subvención y supervisión de los servicios de
asistencia jurídica gratuita. Más concretamente el artículo 38 establece que
“Reglamentariamente se establecerá el sistema a través del cual se
subvencionará, con cargo a las dotaciones presupuestarias del Ministerio de
Justicia, el coste que genere a los Consejos Generales y Colegios
profesionales de Abogados y Procuradores el funcionamiento operativo de los
servicios de asistencia jurídica gratuita, de las unidades encargadas del
asesoramiento y la orientación previos al proceso a los ciudadanos y de la
calificación provisional de las pretensiones solicitadas.
Dicho sistema se ajustará en todo caso a las siguientes reglas:
a) La subvención se determinará para cada Colegio con un sistema de módulos
compensatorios por expediente tramitado.
b) Hasta tanto no se cumpla el mencionado requisito, los Colegios percibirán la
cuantía que resulte de aplicar el 8 por 100 al coste económico generado en
cada período de liquidación por las actuaciones profesionales mencionadas en
el artículo anterior.”
Por su parte el Principado de Asturias, ha procedido ha desarrollar la citada Ley
a través del Decreto 273/2007 de 28 de noviembre, por el que se aprueba el
Reglamento de Asistencia Jurídica Gratuita y es en su artículo 39 donde se
regula la verificación de los servicios prestados, estableciendo que:
1. Los colegios de abogados y los de procuradores deberán verificar la efectiva
prestación de los servicios por parte de los profesionales mediante la oportuna
justificación documental que conservarán a disposición de la Consejería
competente en materia de justicia por un período de cuatro años.
2. Los colegios de abogados y los de procuradores comunicarán a la
Consejería competente en materia de justicia los pronunciamientos en costas
que se hayan producido y las posibles indemnizaciones o beneficios obtenidos
por el cliente que tenga reconocido el derecho de asistencia jurídica gratuita.
3. En todos los casos, la documentación acreditativa de la actuación
profesional a la que se refiere el apartado primero del presente artículo se
deberá efectuar mediante la aportación del correspondiente justificante de la
intervención profesional, en el plazo de un mes natural a contar desde la
finalización de aquélla.
El justificante de la intervención profesional, debidamente sellado, será
facilitado a abogados y abogadas y procuradores y procuradoras por los
correspondientes colegios y se identificará en el mismo a la persona solicitante,
el número de expediente, el profesional designado y la fecha de la designación.
Los Letrados y Letradas y procuradores y procuradoras deberán cumplimentar
el justificante con los datos identificativos del órgano judicial, procedimiento y
fase procesal alcanzada, para que, una vez realizada la actuación profesional
de la que nace el devengo de la indemnización, sea sellado por el órgano
judicial o por el centro de detención.”
De ambas normas podemos concluir que para el abono de las retribuciones, lo
que deberá de presentarse es el justificante de intervención procesal
debidamente sellado al que hace referencia el artículo 39 anteriormente
trascrito, no siendo necesario para el Colegio de Abogados conocer todo el
fondo del asunto.
Página 39 de 353
Requerimiento de información del consejo General de la Abogacía al Colegio
profesional. Informe Jurídico 0221/2008
La consulta es continuación de la que fue objeto de informe de fecha 19 de
septiembre de 2007, relativa a la existencia de amparo en la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal,
para la comunicación al Consejo por parte de los Colegios Profesionales de
Abogados y Procuradores de los datos correspondientes a sus colegiados
ejercientes “a efectos de su incorporación a las aplicaciones informáticas de
utilización en los órganos judiciales”.
Según se indicaba en el mencionado informe, la cesión planteada podía
considerarse amparada en lo dispuesto en los apartados a) y c) del artículo
11.2 de la Ley Orgánica 15/1999, en conexión con lo dispuesto en la Ley de
Enjuiciamiento Civil en lo que a la representación y defensa de las partes en el
proceso se refiere. En el citado informe se indicaba lo siguiente:
“Así el artículo 23.1 de la Ley de Enjuiciamiento Civil dispone que “La
comparecencia en juicio será por medio de Procurador, que habrá de ser
licenciado en Derecho, legalmente habilitado para actuar en el Tribunal que
conozca del juicio”, con las excepciones previstas en su apartado 2.
Igualmente, el artículo 31.1 dispone, en lo que a la defensa de las partes se
refiere, y con las únicas excepciones previstas en el apartado 2, que “Los
litigantes serán dirigidos por abogados habilitados para ejercer su profesión en
el tribunal que conozca del asunto. No podrá proveerse a ninguna solicitud que
no lleve la firma de abogado”.
De este modo, la Ley atribuye a los abogados y procuradores la representación
y defensa de las partes ante los órganos jurisdiccionales, sólo pudiendo
ejercerse dichas funciones por quienes se encuentren expresamente
habilitados para dicho ejercicio, para lo que es requisito ineludible la
colegiación del profesional, tal y como se deriva de la normativa general y
especial referida a los correspondientes colegios.
De este modo, siendo necesario el cumplimiento de dichos requisitos, el
conocimiento por parte de los órgano jurisdiccionales de la condición de
colegiado del correspondiente abogado o procurador, mediante el acceso a los
correspondientes censos de colegiados ejercientes, parece necesario para el
adecuado ejercicio de la correspondiente profesión, evitándose el
incumplimiento de las leyes rituarias y garantizándose la adecuada
representación y defensa de las partes, en los términos exigidos por aquéllas.
De este modo, sería posible considerar que la cesión de los datos resulta
necesaria para el adecuado ejercicio de la profesión de abogado o procurador,
instada mediante la colegiación por parte del profesional, así como entender
que la cesión se encuentra habilitada por las normas procesales, en conexión
con lo dispuesto en la Ley de Colegios Profesionales y las normas específicas
reguladoras de ambas profesiones.”
En la presente consulta se plantea si debe darse cumplimiento en este caso al
deber de información a los colegiados y a quién corresponde dicha obligación.
Con carácter general, el artículo 5.1 de la Ley Orgánica 15/1999 impone el
deber de información a los afectados de los que se recaban datos de carácter
Página 40 de 353
personal, entre otras cosas, “de los destinatarios de la información”, es decir,
de los cesionarios de los datos, tal y como prevé su letra a) in fine.
El artículo 5.4 impone igualmente la obligación de informar acerca de lo
establecido en el artículo 5.1 a), entre otros, en caso de que los datos no sean
recabados de os afectados, debiendo verificarse en el plazo de tres meses
desde la recogida de los datos, a menos que se vaya a producir su
comunicación posterior, en cuyo caso el artículo 27.1 impone el deber de
información con anterioridad a dicha comunicación.
Por su parte, el artículo 5.5 dispone en su primer párrafo que “No será de
aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley
lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o
científicos, o cuando la información al interesado resulte imposible o exija
esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o
del organismo autonómico equivalente, en consideración al número de
interesados, a la antigüedad de los datos y a las posibles medidas
compensatorias”.
En todo caso, debe ponerse de manifiesto que la excepción a la que se hace
referencia en este artículo únicamente opera en los supuestos previstos en el
“apartado anterior”; es decir, en el artículo 5.4, referido a los supuestos en que
“los datos de carácter personal no hayan sido recabados del interesado”.
En el presente caso, los Colegios Profesionales cesionarios sí habrán recogido
los datos de los propios colegiados, por lo que no operaría la excepción
señalada, debiendo cumplirse en todo caso el deber de informar acerca de la
cesión al Consejo general del Poder Judicial.
Aún en caso de existir dudas acerca de la conclusión que acaba de alcanzarse,
lo que únicamente se hace constar a efectos de reforzar las conclusiones
derivadas del presente informe, la aplicación del artículo 5.5 de la Ley Orgánica
15/1999 ha sido analizada por la Agencia Española de Protección de Datos, en
informe de 8 de noviembre de 2004, habiéndose señalado lo siguiente:
“El artículo 5 de la Ley Orgánica 15/1999 viene a establecer un deber impuesto
en general a los responsables de los tratamientos, de tal suerte que, en
principio, será necesario informar al afectado del tratamiento de sus datos de
carácter personal, tanto en los supuestos en que el mismo cuenta con el
consentimiento del mismo como en los casos en que el tratamiento se
encuentra habilitado por otras causas admitidas por el artículo 6 de la propia
Ley.
Según lo dispuesto en el propio artículo 5, el cumplimiento de dicho deber
debería ser inmediato en caso de que los datos fueran recogidos de los
afectados o verificarse en el plazo de tres meses desde la recogida, si el origen
de los datos no fuera el propio afectado.
No obstante, esta regla admite determinadas excepciones o matizaciones para
supuestos excepcionales. Así, en caso de que los datos no sean recogidos
directamente de los afectados, el artículo 5.5 establece en su párrafo primero
que “No será de aplicación lo dispuesto en el apartado anterior cuando
expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos,
estadísticos o científicos, o cuando la información al interesado resulte
imposible o exija esfuerzos desproporcionados, a criterio de la Agencia
Española de Protección de Datos o del organismo autonómico equivalente, en
consideración al número de interesados, a la antigüedad de los datos y a las
posibles medidas compensatorias”.
Página 41 de 353
El precepto transcrito tiene su origen en lo establecido en el artículo 11.2 de la
Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de
1995 relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos, de la
que la Ley Orgánica 15/1999 es transposición al Ordenamiento español. Según
dicho precepto “Las disposiciones del apartado 1 (referido al deber de
información en caso de recogida de los datos de fuentes distintas al propio
afectado) no se aplicarán, en particular para el tratamiento con fines
estadísticos o de investigación histórica o científica, cuando la información al
interesado resulte imposible o exija esfuerzos desproporcionados o el registro o
la comunicación a un tercero estén expresamente prescritos por ley. En tales
casos, los Estados miembros establecerán las garantías apropiadas”.
De este modo, una interpretación coherente del artículo 5.5 de la Ley Orgánica
15/1999, a la vista de lo establecido en la Directiva 95/46/CE de que trae
causa, implica que el deber de información al afectado quedará exceptuado en
los supuestos en que el tratamiento o cesión de datos venga expresamente
regulado en una norma con rango de Ley.
(...)
En todo caso, es preciso aclarar que la aplicación de la excepción del artículo
5.5 a la que venimos refiriéndonos en este caso será aplicable a supuestos
como el aquí analizado, en que el tratamiento o cesión de los datos de carácter
personal aparece recogido expresamente en una norma con rango de Ley,
pero no a aquellos supuesto en que la Ley “autorice” o “habilite” la cesión de
los datos, pero no la recoja de modo expreso y taxativo en su articulado, sin
perjuicio de que en dichos supuestos la cesión se encontrará amparada por lo
dispuesto en los artículos 6.2 u 11.2 a) de la Ley Orgánica 15/1999.
En el sentido que se ha descrito se ha pronunciado ya la Agencia Española de
Protección de Datos en resolución de 8 de octubre de 2004, en la que se
señala:
“El artículo 5.5 también exceptúa de la obligación de informar cuando
expresamente una Ley lo prevea. De la interpretación literal del artículo
resultaría que la obligación de informar debe estar expresamente exceptuada
en una Ley para que se cumplan las condiciones previstas en este supuesto.
Sin embargo la Directiva 95/46/CE, que ha sido traspuesta por la Ley 15/1999,
en su artículo 11.2 especifica que no existe deber de informar en particular para
el tratamiento con fines estadísticos o de investigación histórica o científica,
cuando la información al interesado resulte imposible o exija esfuerzos
desproporcionados o el registro o la comunicación a un tercero estén
expresamente prescritos por ley, por lo que ha de interpretarse este supuesto
de exclusión en los términos previstos en la Directiva, quedando excluida la
obligación de informar cuando la cesión de datos esté expresamente prevista
en una Ley”
Como se analizaba en el informe de 19 de septiembre de 2007, la cesión aquí
analizada no se encuentra expresamente prevista en ninguna norma con rango
de Ley, sino que se desprende de lo establecido respecto de la representación
y defensa de las partes en la legislación procesal, vinculada igualmente al
requisito de colegiación obligatoria establecido en la Ley 2/1974 y las normas
reguladoras de las profesiones de abogado y procurador.
Página 42 de 353
En consecuencia, aún cuando se considerase aplicable al caso el artículo 5.5
de la Ley Orgánica 15/1999, lo que ya se ha señalado con anterioridad que no
procede, no se cumplirían los requisitos objetivos necesarios para aplicar la
excepción prevista en el mismo, al no existir una habilitación legal expresa para
la cesión.
En cuanto al sujeto obligado a dar cumplimiento al deber de informar serán los
Colegios Profesionales quienes deberán informar a los profesionales acerca de
los destinatarios de la información que consta en sus ficheros, necesaria para
el adecuado ejercicio de las profesiones de abogado y procurador.
En este sentido, tampoco cabe considerar aplicable al caso la excepción
prevista en el artículo 5.5 de la Ley Orgánica para los supuestos en que el
cumplimiento del deber de informar resulte imposible o exija un esfuerzo
desproporcionado, dada la relación constante existente entre la Corporación y
el colegiado.
A la vista de todo ello, cabe concluir que los Colegios de abogados y
procuradores deberán dar cumplimiento al deber de informar a los colegiados
acerca de la cesión de sus datos al Consejo general del Poder Judicial,
pudiendo incluir dicha información en las comunicaciones que aquéllos dirigen
periódicamente a los colegiados.
Página 43 de 353
Comunicación de datos contenidos en listas profesionales. Informe 0258/2008
La consulta plantea, si conforme a la Ley Orgánica 15/1999, de 13 de
diciembre de Protección de Datos de Carácter Personal, se puede comunicarla
lista de profesionales con los datos limitados a los previstos en el artículo 3 j)
de la citada Ley Orgánica.
En primer lugar es preciso indicar que la definición contenida en el artículo 3j)
relativa a las fuentes accesibles al público se complementa con lo dispuesto en
el artículo 7 del Real Decreto 1720/2007, de 21 de diciembre, por el que se
desarrolla la Ley Orgánica 15/1999 que tiene por finalidad clarificar el concepto
de fuentes accesibles al público.
Por tanto, para poder considerar el listado de asociados como fuentes
accesibles al público se exige la concurrencia de determinados requisitos que
se contemplan en el artículo 7.1 c) del Real Decreto 1720/2007 1 “ (..)c) Las
listas de personas pertenecientes a grupos de profesionales que contengan
únicamente los datos de nombre, título, profesión, actividad, grado académico,
dirección profesional e indicación de su pertenencia al grupo. La dirección
profesional podrá incluir los datos del domicilio postal completo, número
telefónico, número de fax y dirección electrónica. En el caso de Colegios
profesionales, podrán indicarse como datos de pertenencia al grupo los de
número de colegiado, fecha de incorporación y situación de ejercicio
profesional.”
En consecuencia, no todos los ficheros que contengan los datos enumerados
taxativamente en el artículo han de ser considerados fuentes accesibles al
público, sino que para que dicha circunstancia pueda tener lugar, será
indispensable que tales ficheros puedan ser libremente accesibles por
cualquier persona, bien gratuitamente, bien mediante el abono de una
contraprestación. Los ficheros que conteniendo los datos enumerados sean
utilizados internamente por el Colegio Profesional o sean de acceso restringido,
por ejemplo, a los propios colegiados, exclusivamente, no tendrán la condición
de fuente accesible al público.
En este sentido, debe indicarse que la Sentencia de la Audiencia Nacional de
29 de junio de 2001 recuerda que “Las fuentes accesibles al público son
aquéllas a través de las cuales podemos conocer en bloque, es decir, no
mediante consultas puntuales al Colegio Profesional correspondiente a cada
colegiado, sino en su totalidad, en forma de listado, los pertenecientes a un
determinado colectivo (...) por ser dicho conocimiento, íntegro, de carácter
público”.
De este modo, será preciso que exista una divulgación previa del listado de
colegiados, de forma que los mismos aparezcan en una publicación divulgada
fuera del Colegio, aunque el número de sus destinatarios sea limitado, no
cumpliéndose este requisito en caso de que no exista divulgación externa al
Colegio, sino que el censo sea de uso interno o estrictamente limitado a los
colegiados.
La existencia de dicha divulgación previa se plasma en el apartado segundo del
artículo 7 2. señalando que “En todo caso, para que los supuestos enumerados
en el apartado anterior puedan ser considerados fuentes accesibles al público,
será preciso que su consulta pueda ser realizada por cualquier persona, no
impedida por una norma limitativa, o sin más exigencia que, en su caso, el
abono de una contraprestación.”
Página 44 de 353
En consecuencia, el listado previsto en la consulta sólo tendrá la consideración
de fuentes accesibles al público cuando concurra las dos circunstancias
señaladas;
- Que los datos objeto de cesión se redujeran a aquellos enumerados en el
artículo 7.1 c).
- Que los mismos hubieran sido objeto de difusión pública mediante la
publicación de un directorio de colegiado.
Por tanto si el listado cumple dichos requisitos podrá tener la consideración de
fuentes accesibles al público, con las consiguientes posibilidades de tratar y
ceder los dato sin el consentimiento de los afectados, según lo señalado en el
artículo 6.2 y 11.2 de la Ley Orgánica 15/1999.
En consecuencia, la publicación en la página web de un listado de asociados,
convierte a la lista en fuentes accesibles al público, siempre que previamente
se hayan dado los requisitos anteriormente señalados para considerarla como
fuente accesible al público, y además se hayan cumplido con los deber que con
carácter general impone la normativa de protección de datos tales como, el
deber de informar previsto en el artículo 5, o se haya obtenido el
consentimiento de los sujetos, en los casos que proceda.
La segunda cuestión, alude al cumplimiento del deber de informar, previsto en
el artículo 5.1 de la Ley Orgánica, describiendo en la consulta el procedimiento
utilizado por la consultante para atender dicho deber. Respecto a dicho
procedimiento, la Agencia en diversos informes tales como el de fecha 21 de
diciembre de 2006 se ha pronunciado sobre la correcta realización del mismo,
señalando que;
Como cuestión previa, es preciso señalar que dado que del contenido de la
consulta no se desprende otra cosa, entendemos que “por aviso legal de
protección de datos”, se está refiriendo al cumplimiento del deber de informar
previsto en el artículo 5.1 de la Ley Orgánica 15/1999.
El artículo 5.1 de la citada Ley Orgánica establece que “Los interesados a los
que se soliciten datos personales deberán ser previamente informados de
modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal,
de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les
sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de
su representante”.
Dicho lo anterior, la conservación de este consentimiento será imprescindible
para asegurar que el tratamiento de los datos se ha adecuado a las exigencias
contenidas en la Ley Orgánica. En consecuencia será necesario que se haga
constar de alguna forma en el fichero la existencia de esta autorización,
conservando, en un soporte que permita asegurar su autenticidad, la
conformidad del afectado con el tratamiento de sus datos, y asegurando
asimismo que el afectado tiene pleno conocimiento de los extremos requeridos
por el artículo 5.1 de la Ley Orgánica 15/1999. En consecuencia la existencia
de dicho consentimiento deberá conservarse por la entidad consultante, tanto
Página 45 de 353
en el supuesto de los colegiados antiguos como en el de sus nuevos
colegiados.
En este sentido, debe señalarse que la Audiencia Nacional ha analizado el
efecto probatorio de la notificación a los interesados del tratamiento de sus
datos personales en su Sentencia de 31 de mayo de 2006 donde viene a
modular el criterio sostenido por la Sentencia de 24 de enero de 2003,
reconociendo, precisamente, la posible acreditación de la recepción a través de
indicios que permiten desvirtuar la alegación del afectado, señalando que “y
aún en el caso de que no lo desvirtuaran plenamente introducen las suficientes
dudas como para que entendamos aplicable el principio del favor rei, principio
general aplicable en la valoración de la prueba tanto en los procesos penales
como en los procedimientos administrativos sancionadores”.
En consecuencia, la Audiencia Nacional viene a reconocer que sin perjuicio de
que la carga de la prueba de la notificación corresponde al responsable del
fichero, será suficiente para lograr esa acreditación la aportación de indicios
suficientes que coadyuven a entender cumplido el requisito.
Ciertamente, los posibles indicios a aportar podrán diferir en cada caso En el
supuesto analizado por la Sentencia de 31 de mayo de 2006, se aceptaron
como indicios “la inclusión en el fichero auxiliar de notificaciones de esta
comunicación como realizada” y el hecho de que “(el afectado) se dirige a (la
recurrente) sabiendo que sus datos están incluidos en el fichero y quien había
sido la entidad informante de los mismos sin que se haya acreditado
mínimamente que dicho conocimiento lo obtuvo de forma distinta de la
comunicación que dice haber realizado (la recurrente), y, finalmente, “el hecho
de que al domicilio al que aparece dirigida la comunicación que se niega haber
recibido, se han remitido otras comunicaciones de las que el denunciante ha
tenido perfecto conocimiento”.
No obstante, podría resultar conveniente la utilización de medios fiables,
independientes y auditables para la realización de las notificaciones o la
obligación de comprobación de que los envíos no han sido devueltos por su
destinatario. Al tratarse de medios independientes, en el caso planteado,
resultaría aconsejable que la acreditación de dichos envíos y las posibles
devoluciones las efectuará una persona distinta al secretario general del
Colegio.”
En virtud de lo dispuesto y lo señalado en la consulta, podemos concluir que
siempre que la entidad contratada para realizar los envíos sea independiente
de la consultante y permita acreditar éstos y las posibles devoluciones, el
procedimiento resulta correcto.
En cuanto a la última cuestión, está plenamente vinculada con el concepto de
fuentes accesibles al público al que hemos hecho referencia anteriormente, por
tanto si la lista de colegiados cumple con los requisitos para considerarla d
fuentes accesibles al público, se podrá comunicar a cualquier solicitante.
Página 46 de 353
Traspaso de información entre Colegios profesionales. Informe 0321/2008
La consulta plantea, si al amparo del artículo 7.1 c) Real Decreto 1720/2007, de
21 de diciembre por el que se desarrolla la Ley Orgánica 15/1999, de 13 de
diciembre de Protección de Datos de Carácter Personal. Se pueden comunicar
a otros Colegios Profesionales los datos profesionales de sus colegiados.
El artículo 7 del Reglamento que desarrolla la Ley Orgánica 15/1999 tiene por
finalidad clarificar el concepto de fuentes accesibles al público, contenido en el
artículo 3 j) de la LOPD, que señala “son fuentes accesibles al público
“Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no
impedida por una norma limitativa, o sin más exigencia que, en su caso, el
abono de una contraprestación. Tienen la consideración de fuentes de acceso
público, exclusivamente, el censo promocional, los repertorios telefónicos en
los términos previstos por su normativa específica y las listas de personas
pertenecientes a grupos de profesionales que contengan únicamente los datos
de nombre, título, profesión, actividad, grado académico, dirección e indicación
de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso
público, los Diarios y Boletines oficiales y los medios de comunicación”
Para poder considerar el listado de colegiados como fuentes accesibles al
público se exige la concurrencia de determinados requisitos que se contemplan
en el artículo 7.1 c) del Real Decreto 1720/2007 1 “ (..)c) Las listas de personas
pertenecientes a grupos de profesionales que contengan únicamente los datos
de nombre, título, profesión, actividad, grado académico, dirección profesional
e indicación de su pertenencia al grupo. La dirección profesional podrá incluir
los datos del domicilio postal completo, número telefónico, número de fax y
dirección electrónica. En el caso de Colegios profesionales, podrán indicarse
como datos de pertenencia al grupo los de número de colegiado, fecha de
incorporación y situación de ejercicio profesional.”
En consecuencia, no todos los ficheros que contengan los datos enumerados
taxativamente en el artículo han de ser considerados fuentes accesibles al
público, sino que para que dicha circunstancia pueda tener lugar, será
indispensable que tales ficheros puedan ser libremente accesibles por
cualquier persona, bien gratuitamente, bien mediante el abono de una
contraprestación. Los ficheros que conteniendo los datos enumerados sean
utilizados internamente por el Colegio Profesional o sean de acceso restringido,
por ejemplo, a los propios colegiados, exclusivamente, no tendrán la condición
de fuente accesible al público.
En este sentido, debe indicarse que la Sentencia de la Audiencia Nacional de
29 de junio de 2001 recuerda que “Las fuentes accesibles al público son
aquéllas a través de las cuales podemos conocer en bloque, es decir, no
mediante consultas puntuales al Colegio Profesional correspondiente a cada
colegiado, sino en su totalidad, en forma de listado, los pertenecientes a un
determinado colectivo (...) por ser dicho conocimiento, íntegro, de carácter
público”.
De este modo, será preciso que exista una divulgación previa del listado de
colegiados, de forma que los mismos aparezcan en una publicación divulgada
fuera del Colegio, aunque el número de sus destinatarios sea limitado, no
cumpliéndose este requisito en caso de que no exista divulgación externa al
Página 47 de 353
Colegio, sino que el censo sea de uso interno o estrictamente limitado a los
colegiados.
La existencia de dicha divulgación previa se plasma en el apartado segundo del
artículo 7 2. señalando que “En todo caso, para que los supuestos enumerados
en el apartado anterior puedan ser considerados fuentes accesibles al público,
será preciso que su consulta pueda ser realizada por cualquier persona, no
impedida por una norma limitativa, o sin más exigencia que, en su caso, el
abono de una contraprestación.”
En consecuencia, el listado previsto en la consulta sólo tendrá la consideración
de fuentes accesibles al público cuando concurra las dos circunstancias
señaladas;
- Que los datos objeto de cesión se redujeran a aquellos enumerados en el
artículo 7.1 c).
- Que los mismos hubieran sido objeto de difusión pública mediante la
publicación de un directorio de colegiado 7.2.
Por tanto si el listado cumple dichos requisitos podrá tener la consideración de
fuentes accesibles al público, con las consiguientes posibilidades de tratar y
ceder los dato sin el consentimiento de los afectados, según lo señalado en el
artículo 6.2 y 11.2 de la Ley Orgánica 15/1999.
Dado que en el supuesto de hecho planteado en la consulta desconocemos si
el listado de los colegiados cumple con los requisitos expuestos, podemos
concluir que de cumplirlos el listado tendrá la consideración de fuente accesible
al público, pudiendo en consecuencia cederse los datos sin necesidad de
recabar el consentimiento de los colegiados.
En todo caso, la utilización de los datos por parte de los Colegios Profesionales
a los que se les comunique deberá ajustarse a lo dispuesto en el artículo 4.1 de
la Ley Orgánica 15/1999, según el cual “Los datos de carácter personal sólo se
podrán recoger para su tratamiento, así como someterlos a dicho tratamiento,
cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y
las finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido”.
Página 48 de 353
Cesión de datos de listado de asociados a otro asociado. Informe 0333/2008
La consulta plantea, varias cuestiones relacionadas con la cesión del listado de
asociados a un socio que lo solicita, planteándose si dicha comunicación es
contraria o no a la Ley Orgánica 15/1999, de 13 de diciembre de Protección de
Datos de Carácter Personal.
En primer lugar, nos cuestionan el sentido literal de un artículo de los Estatutos
de la Asociación, en este sentido es preciso indicar que la Agencia Española de
Protección de Datos, carece de competencias para concretar el significado del
artículo cuestionado, no obstante debemos de atender al tenor literal del mismo
para concretar el alcance de la comunicación solicitada.
Con carácter general, la revelación a unos socios de los datos referentes a los
demás socios implicará la existencia de una cesión o comunicación de datos de
carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como
“Toda revelación de datos realizada a una persona distinta del interesado”
Tratándose de una cesión de datos, el artículo 11.1 de la Ley Orgánica dispone
que “Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el
previo consentimiento del interesado”. No obstante, no será preciso el
consentimiento del interesado “Cuando la cesión está autorizada en una Ley”
(artículo 11.2 a) o “Cuando el tratamiento responda a la libre y legítima
aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control
implique necesariamente la conexión de dicho tratamiento con ficheros de
terceros” (artículo 11.2 c).
Por tanto, se puede entender prestado el consentimiento en aquellos supuestos
en que conste en los Estatutos de la Entidad una cláusula que establezca el
derecho de los socios a conocer los datos de las restantes personas que
integran la asociación, por cuanto el interesado, al prestar su conformidad con
lo dispuesto en los Estatutos, habrá consentido la cesión que en los mismos se
prevea.
En el supuesto de hecho planteado en la consulta se concreta que el artículo
30.2 de los Estatutos señala que “Todo asociado tiene derecho a conocer en
cualquier momento, la identidad de los demás miembros de la Asociación, el
estado de cuentas de ingresos y gastos y el desarrollo de la actividad de ésta.”
Es por ello, que al amparo de dicho artículo deba de comunicarse al asociado
que lo solicite la identidad de los demás miembros, dado que la incorporación
de cualquier persona a la asociación, conlleva la necesaria aceptación y
conocimiento de los Estatutos lo que implicará el conocimiento por aquél del
hecho de la cesión y permite amparar la misma en la propia norma estatutaria.
En cuanto al alcance de la expresión identidad, habrá que limitarse a concretar
que tan sólo podrán acceder a su identidad constituida por los nombres y
apellidos de los asociados.
Por último indicar, que aquel al que se le comunique la identidad de los
asociados deberá respetar los principios de proporcionalidad y finalidad
Página 49 de 353
previstos en el artículo 4.1 y. 2 de la Ley Orgánica 15/1999 que señala “Los
datos de carácter personal sólo se podrán recoger para su tratamiento, así
como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y
no excesivos en relación con el ámbito y las finalidades determinadas,
explícitas y legítimas para las que se hayan obtenido”. Además, el artículo 4.2
dispone que “Los datos de carácter personal objeto de tratamiento no podrán
usarse para finalidades incompatibles con aquellas para las que los datos
hubieran sido recogidos”.
En el supuesto planteado en la consulta no se concreta dicha finalidad, si bien
habrá que entenderla limitada a un uso exclusivo en relación con los fines de la
asociación y para poder ejercer por parte de los socios, sus derechos previstos
en los Estatutos.
Página 50 de 353
Creación de listado conteniendo datos protegidos. Informe 0334/2008
La consulta plantea si la creación de un fichero en el que sólo se contiene el
número de DNI, o el NIE queda sometido a la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de datos de Carácter Personal. En primer lugar es
preciso determinar si el número de DNI o el NIE son datos de carácter
personal, según la Ley Orgánica 15/1999 el concepto de dato personal,
comprende según el artículo 3 a) “cualquier información concerniente a
persona física identificada o identificable”, entendemos que se requiere la
concurrencia de un doble elemento: por una parte la existencia de una
información o dato y de otra, que dicho dato pueda vincularse a una persona
física identificada o identificable.
Este concepto se confirma y se concreta tras la entrada en vigor del
Reglamento que desarrolla la Ley Orgánica 15/1999, aprobado por el Real
Decreto 1720/2007, de 21 de diciembre, en el que se define tanto dato de
carácter personal como persona identificable en el artículo 5.1 estableciendo
que son “f) Datos de carácter personal: Cualquier información numérica,
alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a
personas físicas identificadas o identificables, y o) Persona identificable: toda
persona cuya identidad pueda determinarse, directa o indirectamente, mediante
cualquier información referida a su identidad física, fisiológica, psíquica,
económica, cultural o social. Una persona física no se considerará identificable
si dicha identificación requiere plazos o actividades desproporcionados.”
Dichas definiciones hay que relacionarlas con las finalidades que tienen tanto el
DNI como el NIE y que aparecen recogidas en sendos Reales Decretos que los
regulan. En primero lugar, el Real Decreto 1553/2005, de 23 diciembre por la
que se regula la expedición del documento nacional de identidad y sus
certificados de firma electrónica del DNI, regula en su artículo 1 la naturaleza y
funciones del DNI señalando que “1. El Documento Nacional de Identidad es un
documento personal e intransferible emitido por el Ministerio del Interior que
goza de la protección que a los documentos públicos y oficiales otorgan las
leyes. Su titular estará obligado a la custodia y conservación del mismo.
2. Dicho Documento tiene suficiente valor, por sí solo, para acreditar la
identidad y los datos personales de su titular que en él se consignen, así como
la nacionalidad española del mismo.
3. A cada Documento Nacional de Identidad, se le asignará un número
personal que tendrá la consideración de identificador numérico personal de
carácter general.
4. Igualmente, el Documento Nacional de Identidad permite a los españoles
mayores de edad y que gocen de plena capacidad de obrar la identificación
electrónica de su titular, así como realizar la firma electrónica de documentos,
en los términos previstos en la Ley 59/2003, de 19 de diciembre, de Firma
Electrónica (..)”
En cuanto al NIE se encuentra regulado en el Real Decreto 2393/2004, de 30
diciembre por el que se Aprueba el Reglamento de la Ley Orgánica 4/2000,
sobre derechos y libertades de los extranjeros en España y su integración
social en cuyo artículo 101 regula el número de identidad de extranjero
señalando que “1. Los extranjeros que obtengan un documento que les habilite
para permanecer en territorio español, aquellos a los que se les haya incoado
Página 51 de 353
un expediente administrativo en virtud de lo dispuesto en la normativa sobre
extranjería y aquellos que por sus intereses económicos, profesionales o
sociales, se relacionen con España serán dotados, a los efectos de
identificación, de un número personal, único y exclusivo, de carácter
secuencial.
2. El número personal será el identificador del extranjero, que deberá figurar en
todos los documentos que se le expidan o tramiten, así como en las diligencias
que se estampen en su pasaporte o documento análogo.
3. El número de identidad del extranjero (NIE) deberá ser otorgado de oficio,
por la Dirección General de la Policía, en los supuestos mencionados en el
apartado 1,(..)”.
En consecuencia, la base de datos descrita en la consulta en la que tan sólo
aparece recogido el número del DNI o el NIE, queda plenamente sometida a la
Ley Orgánica y su Reglamento de desarrollo, debiendo de adoptarse todas las
medidas en dichas normas previstas, dado que son números cuya finalidad es
identificar a las personas físicas.
Asimismo en cuanto al concepto de tratamiento, se define en el apartado c) del
3 de la Ley Orgánica 15/1999“operaciones y procedimientos técnicos de
carácter automatiza o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.”
Por todo ello, podemos concluir que la actuación descrita en la consulta
constituye un tratamiento de datos de carácter personal y por tanto queda
sometido a la Ley Orgánica 15/1999, pues así lo establece el artículo 2.1 de la
misma, al indicar que “. La presente Ley Orgánica será de aplicación a los
datos de carácter personal registrados en soporte físico que los haga
susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos
por los sectores público y privado”.
Página 52 de 353
Acceso por parte de cuerpos de seguridad a datos protegidos en matrículas de
vehículos. Informe Jurídico 433/2008
La consulta plantea “bajo qué circunstancias” puede autorizarse a las Fuerzas y
Cuerpos de Seguridad el acceso a las instalaciones de un determinado
aparcamiento público para proceder a la lectura de las matrículas de los
vehículos estacionados, teniendo en cuenta que la matricula de un vehículo ha
de ser considerada como dato de carácter personal, conforme a lo dispuesto en
la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de
Carácter Personal.
El artículo 22.2 de la Ley Orgánica 15/1999 dispone que “la recogida y
tratamiento para fines policiales de datos de carácter personal por las Fuerzas
y Cuerpos de Seguridad sin consentimiento de las personas afectadas están
limitados a aquellos supuestos y categorías de datos que resulten necesarios
para la prevención de un peligro real para la seguridad pública o para la
represión de infracciones penales, debiendo ser almacenados en ficheros
específicos establecidos al efecto, que deberán clasificarse por categorías en
función de su grado de fiabilidad”
El citado artículo habilita, a nuestro juicio, a los miembros de las Fuerzas y
Cuerpos de Seguridad para la obtención y tratamiento de los datos requeridos,
lo que llevará aparejada la procedencia de la cesión instada, siempre y cuando,
tal y como ha venido indicando reiteradamente esta Agencia Española de
Protección de Datos en diversos informes, se cumplan las siguientes
condiciones:
a) Que quede debidamente acreditado que la obtención de los datos resulta
necesaria para la prevención de un peligro real y grave para la seguridad
pública o para la represión de infracciones penales y que, tratándose de datos
especialmente protegidos, sean absolutamente necesarios para los fines de
una investigación concreta.
b) Que se trate de una petición concreta y específica, al no ser compatible con
lo señalado anteriormente el ejercicio de solicitudes masivas de datos.
c) Que la petición se efectúe con la debida motivación, que acredite su relación
con los supuestos que se han expuesto.
d) Que, en cumplimiento del artículo 22.4 de la Ley Orgánica 15/1999, los datos
sean cancelados “cuando no sean necesarios para las averiguaciones que
motivaron su almacenamiento”.
Página 53 de 353
Obligaciones del abogado. Informe 0453/2008
La consulta plantea diversas cuestiones en relación con la aplicación de lo
dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre de Protección de
Datos de Carácter personal a su actividad profesional como Abogado.
I
En primer lugar el consultante desea saber si la incorporación de los datos
personales de sus clientes al expediente documental o carpeta que abre para
cada uno y su uso posterior al objeto de desarrollar sus funciones como
abogado constituye un tratamiento de datos no automatizado y si tal expediente
sería un fichero. A su vez manifiesta tener inscrito en el Registro de esta
Agencia Española de Protección de Datos un fichero de clientes.
La respuesta afirmativa a dicha cuestión se encuentra en el artículo 3. c) de la
Ley Orgánica 15/1999 que define el tratamiento de datos como “ Operaciones y
procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.” Definición que se completa en el
artículo 5.1 t) del Reglamento de desarrollo, Real Decreto 1720/2007, de 21 de
diciembre al incluir también en su definición cualquier operación de consulta y
utilización de datos de carácter personal.
El régimen jurídico de la protección de datos se extiende a los datos de
carácter personal que estén registrados en un soporte físico que los haga
susceptibles de tratamiento y a toda modalidad de uso posterior de los datos
por los sectores público y privado ( artículo 2. 1 de la Ley Orgánica 15/1999),
que viene a trasponer el artículo 3 de la Directiva 95/46 CE, del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995 que señala que “sus
disposiciones se aplicarán al tratamiento total o parcialmente automatizado de
datos de carácter personal, así como al tratamiento no automatizado de datos
personales contenidos o destinados a ser incluidos en un fichero.”
Como recoge la Sentencia de 16 de febrero de 2006 de la Audiencia Nacional
(rec. 511/2004) “Para abordar el concepto de “tratamiento de datos personales”
y el de “fichero” desde la perspectiva legal hemos de partir de la Directiva
95/46, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (…).
Esta Directiva nos dice, en primer lugar, que el concepto de tratamiento no
puede depender de la técnica utilizada para el manejo de los datos, de ahí que
incluya tanto el tratamiento automatizado como el manual ( Considerando 27
de su Preámbulo). Así, lo relevante para que estemos ante un tratamiento de
datos personales es la realización de determinadas actuaciones en relación
con los mismos, actuaciones que en su descripción son muy amplias y
variadas.
Nuestra ley lo define de forma muy similar en el artículo 3.c) de la Ley Orgánica
15/1999 (…..). No basta, sin embargo, la realización de una de estas
actuaciones en relación con los datos personales para que la ley despliegue
sus efectos protectores y sus garantías y derechos del afectado. Es preciso
algo más: que las actuaciones de recogida, grabación, conservación, etc. se
realicen de forma automatizada o bien, si se realizan de forma manual, que los
datos personales estén contenidos o destinados a un fichero.
Página 54 de 353
Así, todo fichero de datos exige para tener esta consideración una estructura u
organización con arreglo a criterios determinados. El mero acúmulo de datos
sin criterio alguno no podrá tener la consideración de fichero a los efectos de la
ley.
Pues bien, para que una actuación manual sobre datos personales (recogida,
grabación, cesión, etc. ) tenga la consideración de tratamiento de datos
personales sujeto al sistema de protección de la Ley Orgánica 15/1999, es
necesario que dichos datos estén contenidos o destinados a ser incluidos en un
fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo
a criterios determinados. Si no es así, el tratamiento manual de datos quedará
fuera del ámbito de aplicación de la ley, no será un tratamiento de datos
personales según el concepto normativo que la ley proporciona.”
Los conceptos de tratamiento y fichero están estrechamente vinculados entre
sí. Podríamos decir que el fichero es el soporte físico (ya sea informático o de
otra naturaleza) que almacena los datos con un determinado criterio
organizativo, en tanto que el tratamiento es la operación que se realiza con los
datos que se almacenan en dicho soporte. Así, en la medida en que los datos
especialmente protegidos a que alude el consultante, se incorporen a ese
soporte físico al que pueda accederse conforme a criterios determinados,
tendremos datos incorporados a un fichero, respondiendo con ello a la última
de las cuestiones que plantea.
El artículo 3 b) de la Ley Orgánica define el fichero como “Todo conjunto
organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso.” Y
completa el artículo 5.1 k) del Reglamento que considera fichero “Todo
conjunto organizado de datos de carácter personal, que permita el acceso con
arreglo a criterios determinados, cualquiera (…).” Y en su apartado n)
considera como fichero no automatizado “ todo conjunto de datos de carácter
personal organizado de forma no automatizada y estructurado conforme a
criterios específicos relativos a personas físicas, que permitan acceder sin
esfuerzos desproporcionados a sus datos personales, ya sea aquél
centralizado, descentralizado o repartido de forma funcional o geográfica.”
De cuanto antecede y de los términos de la consulta, puede concluirse que el
consultante estaría realizando un tratamiento de datos personales de los
clientes que le han elegido para su asesoramiento y defensa en distintos
soportes, el informático ( Fichero de clientes) y manual constituido por las
diferentes carpetas o expedientes referidos a los mismos. Así mismo, el
consultante habría dado cumplimiento a la obligación de notificación del mismo
a esta Agencia Estatal de Protección de Datos, que le ha asignado el número
de inscripción que cita en su escrito, que se regula en el artículo 26 de la Ley
15/1999 en cuyo número 2 se describe el contenido de esta notificación, cuya
regulación detallada se encuentra en el artículo 55. 2 del Real Decreto
1720/2007, que, a su vez dispone en el artículo 56:
“ 1. La notificación de un fichero de datos de carácter personal es
independiente del sistema de tratamiento empleado en su organización y del
soporte o soportes empleados para el tratamiento de los datos.
2. Cuando los datos de carácter personal objeto de un tratamiento estén
almacenados en diferentes soportes, automatizados y no automatizados o
exista una copia en soporte no automatizado de un fichero automatizado sólo
será precisa una sola notificación, referida a dicho fichero.”
Página 55 de 353
II
La segunda cuestión que plantea el consultante se refiere a si sería necesario
el consentimiento del afectado para el tratamiento de datos del mismo, en los
supuestos en que la defensa de éste le viene asignada por el turno de oficio del
Colegio de Abogados respectivo, y si se podría prescindir del derecho de
información regulado en el artículo 5 de la Ley Orgánica 15/1999.
En relación con dicha cuestión, en fecha 21 de febrero de 2001 se emitió
Informe en respuesta a las cuestiones planteadas y otras, en el que se expone
el parecer de ésta Agencia en relación con las mismas, y que señala entre
otras cosas: “Como regla general, la inclusión de los datos de los clientes y sus
oponentes en un fichero supondrá un tratamiento de datos de carácter
personal, que requeriría, en principio, el consentimiento del afectado, con el
deber de informar al mismo de los extremos contenidos en el artículo 5.1 o, en
caso de no recabarse los datos del propio afectado, la obligación de informar al
afectado de dicha inclusión en el plazo de tres meses, tal y como dispone el
artículo 5.4, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de datos de Carácter Personal.
En lo referente al tratamiento de los datos de los clientes, podrá efectuarse el
mismo sin consentimiento del afectado, a tenor de lo establecido en el artículo
6.2 de la Ley Orgánica 15/199, que excluye del consentimiento los supuestos
en que los datos “se refieran a las partes de un contrato o precontrato de una
relación negocial, laboral o administrativa y sean necesarios para su
mantenimiento o cumplimiento”.
A nuestro juicio, en este caso surgiría una colisión entre dos derechos
fundamentales: el derecho a la protección de datos de carácter personal,
derivado del artículo 18.4 de la Constitución y consagrado como derecho
autónomo e informador del texto constitucional por la Sentencia del Tribunal
Constitucional 292/2000, de 30 de noviembre, por un lado; y el derecho a la
asistencia letrada, como manifestación del derecho de los ciudadanos a
obtener la tutela judicial efectiva de los jueces y tribunales, contenido en el
artículo 24.2 de la Constitución. Deberá, ante este supuesto, resolverse la
cuestión, atendiendo a la jurisprudencia del Tribunal Constitucional en la
materia.
En relación con la primera de las cuestiones precitadas, la propia Ley Orgánica
15/1999 permitiría establecer los límites para la exigencia del consentimiento,
dado que su artículo 6.1 exige, como regla general, el consentimiento para el
tratamiento de los datos “salvo que la Ley disponga otra cosa”.
A la vista de este precepto, el legislador ha creado un sistema en que la
protección del derecho a la protección de datos de carácter personal cede en
aquellos supuestos en que el propio legislador (constitucional u ordinario) haya
considerado la existencia de motivos razonados y fundados que justifiquen la
necesidad del tratamiento de los datos, incorporando dichos supuestos a
normas de, al menos, el mismo rango que la que regula la materia protegida.
Tal y como sostiene reiterada jurisprudencia del tribunal Constitucional (por
todas, STC 186/2000, de 10 de julio, con cita de otras muchas) “el derecho a la
Página 56 de 353
intimidad no es absoluto, como no lo es ninguno de los derechos
fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes,
siempre que el recorte que aquél haya de experimentar se revele como en todo
caso, sea respetuoso con el contenido esencial del derecho”.
En este sentido, resulta especialmente relevante lo establecido en el artículo 4
de la Ley, que limitará el tratamiento a los datos adecuados, pertinentes y no
excesivos para asegurar la tutela efectiva de los clientes (apartado 1), debiendo
además limitarse la conservación a los datos que sean necesarios para el
cumplimiento de esta finalidad (artículo 4.2) y limitándose su conservación en el
tiempo al período que transcurra entre el momento en que los datos son
facilitados y aquél en que cesa la asistencia letrada o adquiere firmeza la
sentencia que hubiera sido dictada en el proceso respecto del que resulta
relevante la información facilitada (apartado 5 del artículo 4).
La conclusión indicada hasta ahora también se desprendería de la propia
cobertura ofrecida por el artículo 6.1 de la Ley Orgánica 15/1999, toda vez que
la propia Constitución viene a establecer una excepción legal para el
tratamiento inconsentido de estos datos.”
II
Por otra parte, el consultante también trataría datos de ideología y del origen
racial o étnico de sus defendidos, por lo que estaríamos ante datos
especialmente protegidos a los que resultaría de aplicación el artículo 7. 2 y 3
de la Ley Orgánica que dice : “ 2. Sólo con el consentimiento expreso y por
escrito del afectado podrán ser objeto de tratamiento los datos de carácter
personal que revelen la ideología, afiliación sindical, religión o creencias. Se
exceptúan los ficheros mantenidos por los partidos políticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y
otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica,
religiosa o sindical, en cuanto a los datos relativos a sus asociados o
miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el
previo consentimiento del afectado”.
3. Los datos de carácter personal que hagan referencia al origen racial, a la
salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando,
por razones de interés general, así lo disponga una Ley o el afectado consienta
expresamente.”
En consecuencia, la Ley habilita el tratamiento sin previo consentimiento de los
datos relacionados con la ideología política de los afectados únicamente en
caso de que el mismo sea directamente efectuado por el Partido Político en
cuestión, lo que en la interpretación más extensiva podría incluir a sus órganos
de gobierno y representación. Sin embargo, dicha habilitación no comprendería
en ningún caso a los tratamientos que pudieran efectuarse en otros supuestos.
Así, es claro que en el supuesto planteado no podría operar la excepción a la
que se refiere el artículo 7.2, toda vez que el mismo, en su inciso final
establece tajantemente que en todo caso “el tratamiento de dichos datos
precisará siempre el previo consentimiento del afectado” que, como se indica
en la Ley habrá de ser “expreso y por escrito”, dada la especial naturaleza de
los datos a los que se está haciendo referencia.
Página 57 de 353
Por este motivo, el tratamiento de los datos a que se refiere la consulta no
tendría cobertura en las previsiones de la Ley Orgánica 15/1999, dado que
dicho tratamiento, al encontrarse sometido al régimen especial previsto para los
datos de ideología por el artículo 7.2 debería contar con el consentimiento
previo, expreso y por escrito del afectado.
III
Respecto de los datos de origen racial del artículo 7.3 sí se contempla que
puedan ser tratados, cuando por razones de interés general, así lo disponga
una Ley o el afectado consienta expresamente, por lo que la cobertura legal a
dicho tratamiento se encontraría también en el artículo 24 de la CE que
consagra el derecho fundamental a la tutela judicial efectiva en una de sus
manifestaciones, como es el derecho a la defensa procesal y a la asistencia
jurídica gratuita en su artículo 119.
El hecho de que esta defensa le venga atribuida al consultante por el turno de
oficio, no afectaría a la legalidad del tratamiento. Por el contrario, la adscripción
voluntaria de los colegiados a los servicios de asistencia letrada y de defensa y
representación gratuitas, regulados por la Ley 1/1996, de 10 de enero, de
Asistencia Jurídica Gratuita, y cuya organización atribuye el artículo 22 de esta
norma a los Consejos Generales de la Abogacía Española y de los Colegios de
Procuradores de los Tribunales de España y sus respectivos Colegios, a través
de sus Juntas de Gobierno, determina que el Letrado designado para la
defensa gratuita del titular de los datos afectado, que solicitó este tipo de
defensa, debe asumirla.
Así se desprende del artículo 31 de dicha Ley cuando establece: “Obligaciones
profesionales. Los abogados y procuradores designados desempeñarán sus
funciones de asistencia y representación de forma real y efectiva hasta la
terminación del proceso en la instancia judicial de que se trate y, en su caso, la
ejecución de las sentencias, si las actuaciones procesales en ésta se
produjeran dentro de los dos años siguientes a la resolución judicial dictada en
la instancia, sin perjuicio de las causas de renuncia o excusa que estén
previstas en la ley.
Sólo en el orden penal podrán los abogados designados excusarse de la
defensa. Para ello deberá concurrir un motivo personal y justo, que será
apreciado por los Decanos de los Colegios.” Y en su artículo 32 párrafo
segundo señala que “Salvo lo dispuesto en el artículo anterior, la defensa del
acusado o imputado será obligatoria.” A su vez, el artículo 13 regula los
requisitos de la solicitud de asistencia jurídica gratuita del siguiente modo: “En
la solicitud se harán constar, acompañando los documentos que
reglamentariamente se determinen para su acreditación, los datos que
permitan apreciar la situación económica del interesado y de los integrantes de
su unidad familiar, sus circunstancias personales y familiares, la pretensión que
se quiere hacer valer y la parte o partes contrarias en el litigio, si las hubiere.”
El artículo 27 de esta Ley 1/1996 señala que el reconocimiento del derecho a la
asistencia jurídica gratuita llevará consigo la designación de abogado (…)” Una
vez designado abogado, no cabe duda de que la “defensa real y efectiva” que
ha de llevar a cabo éste exigirá que el solicitante de esta asistencia ponga en
Página 58 de 353
conocimiento de dicho profesional todos los datos necesarios para que pueda
evaluar la sostenibilidad de la pretensión a que alude el artículo 32, (momento
que parece oportuno para solicitar el consentimiento expreso y escrito para
tratar sus datos sobre ideología), o bien conozca dichos datos cuando le den
traslado de los autos en el proceso en que el afectado sea parte.
De cuanto se ha señalado puede concluirse que los propios artículos 119 y 24
de la Constitución Española y su desarrollo normativo por la Ley1/1996,
especialmente en sus artículos 12, 27 y 31, constituyen leyes habilitantes para
el tratamiento de los datos del afectado, cuya solicitud de asistencia jurídica
gratuita comportaría un consentimiento para el tratamiento de los datos
necesarios para su defensa efectiva. No obstante, debe recordarse uno de los
principios de la protección de datos personales consagrado en el artículo 4 de
la Ley Orgánica 15/1999 que fue citado anteriormente.
Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de datos de Carácter Personal.
Página 59 de 353
Grabación de conversaciones telefónicas por la Policía. Informe 0549/2008 y
0078/2009
La consulta plantea si resulta conforme a la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de datos de Carácter Personal la grabación de las
conversaciones telefónicas que se reciben en la policía local y el
almacenamiento posterior de las mismas, teniendo en cuenta que no queda
registrado el número de teléfono desde el que se efectúan dichas llamadas y
que no se aclara en la consulta en relación con qué finalidad se procede a
dichas grabaciones.
La consulta plantea además la adecuación a la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de datos de Carácter Personal, de la cesión -por parte
de funcionarios de la Policía Local- de los datos personales correspondientes a
personas implicadas en accidentes de circulación al resto de las partes
afectadas por dichos accidentes.
I
La primera cuestión a resolver en el presente supuesto, consiste en discernir si
las conversaciones telefónicas a que la consulta se refiere se encontrarán
sometidas a lo dispuesto en la mencionada Ley Orgánica. Para ello será
necesario efectuar dos acotaciones previas:
a) En primer lugar, se plantea el problema de si dichas conversaciones pueden
ser consideradas como datos de carácter personal, de conformidad a lo
establecido en la Ley Orgánica de 15/1999, de 13 de diciembre, de Protección
de datos de Carácter Personal. A tal efecto y, con carácter general, debe
indicarse que los artículos 1 y 2 de la citada Ley, extienden su protección a los
derechos de los ciudadanos en lo que se refiere al tratamiento automatizado o
no de sus datos de carácter personal, siendo definidos éstos en el artículo 3.a)
de la Ley Orgánica como “cualquier información concerniente a personas
físicas identificadas o identificables“.
b) En segundo término, y aun cuando nos hallemos ante un supuesto en que
existan datos de carácter personal, será necesario que dichos datos se
encuentren incorporados a un fichero, definido como “todo conjunto organizado
de datos de carácter personal, cualquiera que fuere la forma o modalidad de su
creación, almacenamiento, organización y acceso”, por el artículo 3 b) de la
Ley.
No obstante, si la grabación estuviera digitalizada, nos encontraríamos ante un
tratamiento automatizado necesariamente sometido a los preceptos de la Ley
Orgánica 15/1999, aunque no haya fichero.
Pues bien, en relación con el primero de los criterios a los que se ha hecho
referencia, debe indicarse que las grabaciones a las que se refiere la consulta
sólo podrán ser consideradas datos de carácter personal en caso de que las
mismas permitan la identificación de las personas que aparecen en dichas
grabaciones, no encontrándose amparadas en la Ley Orgánica en caso
contrario.
A nuestro juicio, en el caso que nos ocupa, aunque no pueda asociarse la
grabación a un número de teléfono, las conversaciones telefónicas sí podrían
Página 60 de 353
contener muy probablemente datos de carácter personal que pudieran
identificar, no ya a los interlocutores de la llamada, sino a cualquier persona a
la que pudieran referirse en dichas conversaciones.
En cuanto a las conversaciones, se ignora cuáles son los criterios de
conservación de las cintas en que las mismas se graban, debiendo indicarse
que si las mismas pueden considerarse estructuradas en el modo al que se ha
hecho referencia, el fichero se encontrará sometido a lo dispuesto en la Ley
Orgánica 15/1999.
Debe indicarse que el artículo 2.1 de la Ley Orgánica establece que “La
presente Ley será de aplicación a los datos de carácter personal registrados en
soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de
uso posterior de estos datos por los sectores público y privado.”
Dicho lo anterior, en caso de que exista un sometimiento de los ficheros a la
Ley Orgánica, será necesario para proceder al tratamiento de los datos el
consentimiento de los afectados, tal y como dispone el artículo 6.1 de la Ley,
debiendo informarse a los mismos de los extremos contenidos en el artículo 5.1
de la misma. Por este motivo, será imprescindible que, al proceder a la
grabación de las conversaciones telefónicas en cuestión, se comunique al
interesado, de forma que conste claramente su conocimiento, los extremos a
los que hace referencia el artículo 5.1 de la Ley Orgánica, según el cual ”los
afectados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco: a) De la existencia de un
fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información. b) Del carácter
obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas. c) De las consecuencias de la obtención de los datos o de la
negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de
acceso, rectificación y cancelación. e) De la identidad y dirección del
responsable del tratamiento o, en su caso, de su representante”.
Por otra parte, dado que el artículo 6.1 de la Ley 15/1999 establece que “el
tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa”, las citadas
grabaciones van a constituir la única prueba del consentimiento para el
tratamiento y los usos autorizados por el afectado, por lo que debe entenderse
de interés de la consultante la conservación de las citadas cintas.
Con carácter general, debe partirse de que si tales grabaciones tienen
trascendencia y entran dentro del ámbito de aplicación de la Ley 15/1999
desde el momento en que en las mismas se recojan datos personales de las
personas que contactan con dicho servicio de atención telefónica, ello
determinará la plena aplicación de los preceptos de dicha norma en relación
con el tratamiento de datos de carácter personal que implica tal grabación,
considerando a estos efectos lo establecido en el artículo 3 c) de la Ley, que
define el tratamiento de datos como “operaciones y procedimientos técnicos de
carácter automatizado o no que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de
Página 61 de 353
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias”. De ello resulta que la grabación de dichas conversaciones
implica someter los datos personales de los que contactan con la policía local a
procesos de tratamiento de datos, por ello será necesario informar al que
contacte con la consultante de que la conversación va a ser objeto del citado
tratamiento, no pudiendo el mismo efectuarse en caso de que el afectado se
oponga a ello.
II
Por otra parte, en el escrito de consulta no se dice si el fichero de grabaciones
telefónicas se utilizará para finalidades policiales. No obstante, debe recordarse
que la Policía Local, en los Municipios donde exista, constituye una de las
Fuerzas y Cuerpos de Seguridad, tal y como previene el artículo 2 c) de la Ley
Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, siendo
sus funciones las reguladas en el artículo 53.1 de la propia Ley Orgánica.
Respecto de los ficheros de las Fuerzas y Cuerpos de Seguridad, el artículo 22
de la Ley Orgánica 15/1999 establece que “1.- Los ficheros creados por las
Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal
que, por haberse recogido para fines administrativos, deban ser objeto de
registro permanente, estarán sujetos al régimen general de la presente Ley.”
Dicho régimen sería el expuesto en el apartado anterior.
A su vez, el artículo 22.2 de la Ley Orgánica 15/1999, dispone que “la recogida
y tratamiento para fines policiales de datos de carácter personal por las
Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas
están limitados a aquellos supuestos y categorías de datos que resulten
necesarios para la prevención de un peligro real para la seguridad pública o
para la represión de infracciones penales, debiendo ser almacenados en
ficheros específicos establecidos al efecto, que deberán clasificarse por
categorías en función de su grado de fiabilidad”, añadiendo el artículo 22.3 que
“la recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos
a que hacen referencia los apartados 2 y 3 del artículo 7 ( ideología, afiliación
sindical, religión, creencias, origen racial, salud y vida sexual), podrán
realizarse exclusivamente en los supuestos en que sea absolutamente
necesario para los fines de una investigación concreta, sin perjuicio del control
de legalidad de la actuación administrativa o de la obligación de resolver las
pretensiones formuladas en su caso por los interesados que corresponden a
los órganos jurisdiccionales”.
A la vista de lo antedicho, cabe concluir que, de acuerdo con los principios de
la Ley Orgánica 15/1999, la Agencia de Protección de Datos entiende que no
habría inconveniente para que en el ejercicio de funciones específicas se
utilicen o se permita las grabaciones telefónicas por parte de los efectivos de la
Policía Local, siempre que:
- Se asegure que se utilizan únicamente aquellos datos que son adecuados,
pertinentes y no excesivos;
- El tratamiento se realice en el marco de expedientes concretos y con
necesidades debidamente justificadas, relacionadas con la “prevención de un
riesgo real para la seguridad pública o para la represión de infracciones
Página 62 de 353
penales, en cuyo caso deberá comunicarse la actuación de la Policía Municipal
a las Fuerzas y Cuerpos de Seguridad del Estado competentes (artículo 53.2
de la Ley Orgánica 2/1986); y - Se garanticen la confidencialidad y seguridad
de los datos personales.
No debe olvidarse, por último, que el artículo 22 dispone en su número 4 que:
“Los datos personales registrados con fines policiales se cancelarán cuando no
sean necesarios para las averiguaciones que motivaron su almacenamiento.
A estos efectos, se considerará especialmente la edad del afectado y el
carácter de los datos almacenados, la necesidad de mantener los datos hasta
la conclusión de una investigación o procedimiento concreto, la resolución
judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la
prescripción de la responsabilidad.”
III
En cuanto a la cesión -por parte de funcionarios de la Policía Local- de los
datos personales correspondientes a personas implicadas en accidentes de
circulación al resto de las partes afectadas por dichos accidentes, debe
señalarse que la comunicación de datos a la que se refiere la consulta
constituye, conforme a lo dispuesto en el artículo 3 i) de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, una
cesión de datos de carácter personal, definida como “Toda revelación de datos
efectuada a persona distinta del interesado”.
Por su parte, el artículo 11.1 de la Ley Orgánica establece que “los datos de
carácter personal objeto del tratamiento sólo podrán ser comunicados a un
tercero para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado”, quedando exceptuado el consentimiento en aquellos casos en
que así lo prevea una Ley.
Del tenor de dichos preceptos parece desprenderse que sólo será lícita la
cesión de los datos personales de los individuos implicados en un accidente de
circulación cuando exista previo consentimiento del interesado o una
disposición con rango de Ley así lo prevea.
No obstante, en el supuesto objeto de consulta, si el resto de las personas
implicadas en un accidente lo que solicitan es una copia del atestado policial
sobre las circunstancias e implicaciones del mismo, entendemos que resultarán
de aplicación los principios contenidos en la Ley 30/1992, de 26 de noviembre,
de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común, para el derecho de acceso por parte de quién ostente la
condición de interesados en los términos indicados en la propia Ley, a conocer,
en cualquier momento, el estado de la tramitación de los procedimientos en los
que tengan la condición de interesados, y obtener copias de documentos
contenidos en ellos.
Por otra parte, conviene traer a colación que el denominado Fichero F.I.V.A
(Fichero Informativo de Vehículos Asegurados) se constituye como un fichero
de carácter público, creado por el artículo 23.1 del Real Decreto 7/2.001, de 12
Página 63 de 353
de enero, por el que se aprueba el Reglamento sobre la responsabilidad civil y
seguro en la circulación de vehículos de motor. Debe recordarse que el citado
Reglamento viene a desarrollar el régimen contenido en la Ley de
Responsabilidad Civil y Seguro en la Circulación de Vehículos de Motor, tras
las reformas operadas por la Ley 30/1995 de 8 de noviembre, de Ordenación y
Supervisión de los Seguros Privados. La finalidad de este fichero, de acuerdo
con el artículo 27 del mencionado Real Decreto, consiste en: “Suministrar la
información necesaria para que las personas implicadas en un accidente de
circulación puedan averiguar a la mayor brevedad posible las circunstancias
relativas a la entidad aseguradora que cubre la responsabilidad civil de cada
uno de los vehículos implicados en el accidente y en facilitar el control de la
obligación de asegurarse.
A estos efectos, tienen la consideración de implicados los perjudicados por
accidentes de circulación, por daños en su persona o en sus bienes, pudiendo
actuar por sí o por medio de representante debidamente acreditado”.
Igualmente, el Anexo del citado Real Decreto 7/2001 alude en su apartado 5º a
la Cesión de los datos del F.I.V.A., estableciendo que la misma se efectuará a
implicados en accidentes de circulación, al Ministerio del Interior y al Ministerio
Fiscal, los Jueces y Tribunales.
En relación con la cesión de estos datos, debe aludirse a las Conclusiones y
Recomendaciones del Plan de inspección de oficio al Consorcio de
Compensación de Seguros, dictadas por el Director de la Agencia de
Protección de Datos con fecha 23 de julio de 2.001. En la Recomendación
Cuarta se indicó expresamente que: “De la normativa aplicable se desprende
que el Consorcio sólo podrá facilitar datos personales incluidos en sus ficheros
automatizados a personas físicas y entidades públicas y privadas, a los efectos
del cumplimiento de la normativa sobre Tributos y Seguros, así como para
facilitar el control de la obligación de asegurarse, todo ello de conformidad con
lo dispuesto en el anterior apartado 1. 7”.
Dicho apartado 1. 7 de las Conclusiones de la Inspección de la Agencia de
Protección de Datos, indicaba específicamente que: “Con respecto al Fichero
Informativo de Vehículos Asegurados la finalidad de mismo es suministrar
información por parte del Consorcio a las personas implicadas en un accidente
de circulación referente a la entidad aseguradora que cubre la responsabilidad
civil, según establece la Ley 30/1.995 y la Directiva 90/232/CEE.”
Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de datos de Carácter Personal.
Página 64 de 353
Facilitar listado de abogados adscritos al servicio de justicia gratuita. Informe
0062/2009
La consulta plantea si resulta conforme a la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), y
a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21
de diciembre, facilitar a un colegiado adscrito a dicho Colegio Profesional, copia
de la lista de colegiados ejercientes adscritos a los servicios de justicia gratuita,
con indicación del domicilio profesional desde la fecha que señala.
I
La transmisión así planteada implica la existencia de una cesión o
comunicación de datos de carácter personal, definida por el artículo 3 i) de la
Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona
distinta del interesado”.
En relación con las cesiones, el artículo 11.1 de la Ley indica que “Los datos de
carácter personal objeto del tratamiento sólo podrán ser comunicados a un
tercero para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado”. No obstante, este consentimiento no será preciso cuando nos
encontremos ante alguna de las excepciones del artículo 11.2 de la LOPD. En
relación con este tema, aunque a nivel estatal, ya se pronunció esta Agencia
Estatal de Protección de Datos en su Informe de fecha 3 de abril de 2002, en el
que se decía:
“Entre esos supuestos se incluye el hecho de que los datos aparezcan
recogidos de fuentes accesibles al publico; en este caso, la cesión será posible
siempre y cuando la misma se produzca en el soporte en que aparece
publicada la citada fuente. A estos efectos, el artículo 3 j) de la Ley dentro de la
enumeración taxativa de estas fuentes incluye a “las listas de personas
pertenecientes a grupos de profesionales que contengan únicamente los datos
de nombre, título, profesión, actividad, grado académico, dirección e indicación
de su pertenencia al grupo”.
Sin embargo, los datos a que alude la consulta, relativos a la lista de
adscripción voluntaria de los colegiados a los servicios de asistencia letrada y
de defensa y representación gratuitas, regulados por la Ley 1/1996, de 10 de
enero, de Asistencia Jurídica Gratuita, y cuya organización atribuye el artículo
22 de esta norma a los Consejos Generales de la Abogacía Española y de los
Colegios de Procuradores de los Tribunales de España y sus respectivos
Colegios, a través de sus Juntas de Gobierno, no serían incluibles en el
supuesto examinado de fuente accesible al público.
Otro supuesto de excepción al consentimiento en la cesión de datos de
carácter personal es el regulado en el apartado segundo, letra a), del artículo
11 la LOPD, esto es, que la cesión esté autorizada en una Ley. En este
sentido, debe aludirse al artículo 24 de la ya citada Ley 1/1996, que establece:
“Los Colegios profesionales establecerán sistemas de distribución objetiva y
equitativa de los distintos turnos y medios para la designación de los
profesionales de oficio. Dichos sistemas serán públicos para todos los
colegiados y podrán ser consultados por los solicitantes de asistencia jurídica
gratuita”.
Dicho precepto impone a los Colegios profesionales afectados dar publicidad,
si bien limitada a los colegiados, de los sistemas de distribución de los distintos
Página 65 de 353
turnos de asistencia letrada y de defensa y representación gratuitas, así como
de los procesos de designación de profesionales. Parece lógico que para tal
obligación de transparencia tenga efectividad, la misma conlleve la
comunicación a los profesionales colegiados de aquello de ellos que se
encuentran adscritos a dichos turnos, así como la información relativa al
número de turnos o servicios asignados a cada uno de ellos en un determinado
periodo de tiempo, lo cual, unido al conocimiento del procedimiento de
asignación a los mismos de dichos turnos o servicios, completará la publicidad
que la norma examinada establece respecto de los colegiados. Por ello, cabe
considerar que dicha comunicación de datos personales, relativa a los
colegiados adscritos a dichos turnos o servicios de asistencia jurídica gratuita
así como del número de ellos asignados a cada uno, tendría cobertura, desde
la perspectiva de la LOPD, en su artículo 11.2 a). “
II
Dicha materia ha sido objeto de regulación por el Real Decreto 273/2007, de 28
de noviembre, por el que se aprueba el Reglamento de Asistencia Jurídica
Gratuita en el Principado de Asturias, en virtud de las competencias señaladas
en el Estatuto de Autonomía del Principado, en sus artículos 9.2. a) y 10.1,
apartados 1 y 33, que, conforme a su exposición de motivos, se aprueba
respetando las disposiciones de la Ley 1/1996, de 10 de enero, de Asistencia
Jurídica Gratuita, que, a su vez, se contempla como regulación supletoria de
aplicación (Disposición Adicional Única) en lo no regulado por este Reglamento
autonómico.
En su artículo 24 regula la gestión colegial de los servicios de asistencia
letrada, defensa y representación señalando:” 1. Las Juntas de Gobierno de los
Colegios de Abogados y los Colegios de Procuradores del Principado de
Asturias regularán y organizarán los servicios de asistencia Letrada y de
defensa y representación gratuitas, de quienes soliciten abogado o abogada de
oficio en cualquier jurisdicción o no designen abogado o abogada en la
jurisdicción penal, conforme a las directrices generales y normas de acceso de
los profesionales a los referidos servicios, aprobados por los citados órganos,
que serán, en todo caso, de obligado cumplimiento para los colegiados. 3. La
organización de los servicios de asistencia jurídica gratuita se efectuará
atendiendo a la mejor defensa del ciudadano, a criterios de eficiencia y
funcionalidad en la aplicación de los fondos públicos puestos a su disposición,
deberá garantizar su continuidad, velando por la distribución objetiva y
equitativa de los distintos turnos y medios y, cuando el censo de profesionales
lo permita, de especialización por órdenes jurisdiccionales. 4. Los sistemas de
distribución de los distintos turnos y medios para la designación de los
profesionales serán públicos para todas las personas colegiadas, así como
para quienes soliciten asistencia jurídica gratuita.
Como puede observarse, el régimen de publicidad se regula de forma idéntica
al anteriormente citado del artículo 24 de la Ley 1/1996, respecto del que se
emitió el informe referido anteriormente, por lo que desde el punto de vista de
la protección de datos de carácter personal debe llevar a la misma conclusión
que la alcanzada en su día en el citado informe, concluyendo que la
comunicación al colegiado del Ilustre Colegio consultante de las listas de
Página 66 de 353
profesionales que prestan el servicio de asistencia jurídica gratuita vendría
amparada en el artículo 11.2 c) de la LOPD.
Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de datos de Carácter Personal,
Creación y responsable de fichero. Informe 0298/2009
La consulta plantea diversas dudas respecto a la aplicación de la Ley 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal en materia
de creación, condición de responsable e inscripción de ficheros públicos y
privados del colegio profesional consultante.
Como cuestión previa debe tenerse en cuenta el criterio sostenido por esta
Agencia acerca de la naturaleza pública o privada de los ficheros colegiales.
Así, en informe de 9 de octubre de 2002, se ponía de manifiesto que, si bien la
Ley Orgánica 15/1999 delimita en su articulado el régimen de los ficheros de
titularidad pública y privada, no establece un concepto de los mismos, por lo
que la delimitación deberá fundarse en los criterios que determinan la
naturaleza jurídico-pública o jurídico-privada del responsable del fichero.
Concluía dicho informe que los ficheros de que sean responsables los Colegios
Profesionales y Consejos Generales, en cuanto se relacionen con el ejercicio
por los mismos de sus competencias de derecho público y, en consecuencia,
con la atribución a éstos de potestades administrativas, se encontrarán
sometidos al régimen de los ficheros de titularidad pública. Señalaba,
asimismo, que el régimen de los ficheros de titularidad privada, sólo será de
aplicación, en su caso, a los ficheros creados con la única finalidad de llevar a
cabo la gestión interna del Colegio o Consejo o de adoptar mecanismos que
faciliten el desempeño de la profesión colegiada cuando su adopción no
implique el ejercicio de potestades administrativas ni lleve aparejada la
existencia de un acto administrativo.
Este criterio se plasmó en el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal,
aprobado por Real Decreto 1720/2007, de 21 de diciembre, que en las letras l y
m del numero primero de su artículo 5 contempla la definición tanto de los
ficheros de titularidad privada como pública, disponiendo lo siguiente:
“l. Ficheros de titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de
quien ostente la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los ficheros de los que sean responsables las
corporaciones de derecho público, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho público que a
las mismas atribuye su normativa específica.”
“m. Ficheros de titularidad pública: los ficheros de los que sean responsables
los órganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonómicas con funciones análogas a los mismos, las
Administraciones públicas territoriales, así como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho
Página 67 de 353
público siempre que su finalidad sea el ejercicio de potestades de derecho
público.”
Por consiguiente, la creación de los ficheros del Colegio profesional a que se
refiere la consulta, así como su notificación e inscripción, deberá adecuarse,
según la naturaleza de cada uno de ellos determinada conforme al criterio
anteriormente expuesto, al régimen establecido para los ficheros de titularidad
publica en él artículo 20 y siguientes de la Ley Orgánica 15/1999 o al contenido
en el artículo 25 y siguientes de la misma norma para los ficheros de titularidad
privada.
En lo que se refiere a los ficheros de titularidad pública, dispone el número
primero del artículo 20 de la Ley Orgánica 15/1999 que ”La creación,
modificación o supresión de los ficheros de las Administraciones públicas sólo
podrán hacerse por medio de disposición general publicada en el Boletín Oficial
del Estado o Diario oficial correspondiente.” El número segundo de dicho
artículo concreta las indicaciones que deberá contener la disposición de
creación del fichero.
De la misma manera, el artículo 52 del Reglamento de desarrollo de dicha ley
establece que “La creación, modificación o supresión de los ficheros de
titularidad pública sólo podrá hacerse por medio de disposición general o
acuerdo publicados en el Boletín Oficial del Estado o diario oficial
correspondiente.”
El artículo 53 del aludido Reglamento regula la forma de creación de los
ficheros de titularidad pública, estableciendo en su número cuarto una previsión
específica para las corporaciones de derecho público, según la cual “La
creación, modificación o supresión de los ficheros de los que sean
responsables las corporaciones de derecho público y que se encuentren
relacionados con el ejercicio por aquéllas de potestades de derecho público
deberá efectuarse a través de acuerdo de sus órganos de gobierno, en los
términos que establezcan sus respectivos Estatutos, debiendo ser igualmente
objeto de publicación en el Boletín Oficial del Estado o diario oficial
correspondiente.”
Para determinar quien es responsable de los ficheros, resulta imprescindible
delimitar si el consultante es un órgano del Colegio profesional o si posee
personalidad jurídica independiente del mismo, teniendo en cuenta que el
artículo 3.d) de la Ley Orgánica 15/1999 define al responsable del fichero como
la “persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.”
Los Estatutos del Colegio a que se refiere la consulta, califican, en su artículo
38 a las Delegaciones Territoriales como órganos necesarios dentro de su
organización y prevén, en el artículo 41, al regular las relaciones interorgánicas,
que dependerán jerárquicamente de la Junta de Gobierno. De dicha norma se
deduce que las Delegaciones Territoriales no son sino órganos del Colegio
directamente dependientes de la Junta de Gobierno, carentes por tanto de
personalidad jurídica propia y diferenciada, siendo así que las actividades que
desarrollen no serán sino las derivadas de su propia integración como órganos
Página 68 de 353
del Colegio, y sin que dichas delegaciones puedan utilizar la información de
que tengan conocimiento como consecuencia del ejercicio de su funciones para
un fin distinto del derivado de la gestión que le haya sido encomendada, en el
ámbito de las funciones que al colegio Profesional impone la Ley 18/1997, de
21 de noviembre, de ejercicio de profesiones tituladas y de colegios y consejos
profesionales del País Vasco, el Estatuto Orgánico de la Profesión de Gestor
Administrativo, y sus propios Estatutos.
En consecuencia, la condición de responsable de los ficheros creados para el
ejercicio de las potestades públicas por el Colegio Profesional corresponderá al
propio Colegio, siendo las Delegaciones Territoriales, un mero usuario de los
ficheros, en virtud de su condición de órgano del Colegio, correspondiendo,
como señala el artículo 53 del Reglamento a los órganos de gobierno del
Colegio la aprobación del acuerdo por el que se crean dichos ficheros.
En lo que se refiere a la notificación e inscripción de los ficheros de titularidad
pública, dispone el número primero del artículo 55 del Reglamento que “Todo
fichero de datos de carácter personal de titularidad pública será notificado a la
Agencia Española de Protección de Datos por el órgano competente de la
Administración responsable del fichero para su inscripción en el Registro
General de Protección de Datos, en el plazo de treinta días desde la
publicación de su norma o acuerdo de creación en el diario oficial
correspondiente.
No obstante, en el presente caso, es preciso tener en cuenta lo previsto en el
número 4 del mismo artículo, conforme al cual “Cuando la obligación de
notificar afecte a ficheros sujetos a la competencia de la autoridad de control de
una comunidad autónoma que haya creado su propio registro de ficheros, la
notificación se realizará a la autoridad autonómica competente, que dará
traslado de la inscripción al Registro General de Protección de Datos.” El
artículo 18 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de
Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de
Protección de Datos, crea el Registro de Protección de Datos, como órgano
integrado en la Agencia Vasca de Protección de Datos, disponiendo su número
segundo que serán objeto de inscripción en dicho Registro “Los ficheros a los
que se refiere el artículo 2.1 de esta Ley.” De los ficheros a que hace referencia
el artículo 2.1 de la Ley, al regular su ámbito de aplicación, ámbito limitado a
los ficheros de datos de carácter personal creados o gestionados para el
ejercicio de potestades de derecho público por diversas entidades interesa
mencionar aquí el previsto en la letra j relativo a “Las corporaciones de derecho
público, representativas de intereses económicos y profesionales, de la
Comunidad Autónoma del País Vasco”
Por consiguiente la notificación de los ficheros de titularidad pública creados
por el Colegio a que se refiere la consulta, una vez aprobado el acuerdo de
creación y publicado en el Boletín oficial correspondiente serán notificados a la
Agencia Vasca de Protección de Datos, siendo esta la que dará traslado al
Registro General de Datos de la Agencia Española de Protección de Datos, ya
que la finalidad de la previsión contenida en el artículo 55.3 es la de evitar la
duplicidad en la notificación por parte de los responsables de los ficheros que
deban figurar en un registro autonómico además de en el Registro general de
Página 69 de 353
Protección de Datos de esta Agencia. Por ello, los ficheros de titularidad
pública de la consultante se encontrarán, al existir un Registro en la Agencia de
protección de datos autonómica, inscritos en ambos Registros. En este sentido
cabe recordar, como se ha puesto de manifiesto en diversos informes de esta
Agencia, entre los que se puede citar el de 4 de marzo de 2003 que “la Ley
Orgánica 15/1999 atribuye al Registro General de Protección de Datos la
esencial función, derivada de lo exigido por la Directiva 95/46/CE, de dar
publicidad a los tratamientos de datos de carácter personal realizados en todo
el territorio del Estado español, esto es, atribuye a ese Registro el cumplimiento
de la finalidad que motiva su propia existencia a tenor de la Directiva
Comunitaria.” Por ello su naturaleza difiere de la de los Registros de las
Comunidades Autónomas que serán, como indica dicho informe “meros
instrumentos internos que las Agencias Autonómicas podrán constituir para
facilitar el desempeño de sus funciones. Estos serán en consecuencia, meros
registros administrativos de los tratamientos, instrumentales de la actividad de
la Agencia Autonómica, pero no se regirán por el principio de publicidad
aplicable en exclusiva a la Agencia del Estado.”
En lo que se refiere a la cuestión planteada de creación de distintos ficheros,
cuyo contenido coincide, al menos parcialmente, para evitar las dificultades de
organización y acceso por los diferentes órganos del Colegio Profesional, debe
tomarse en consideración el amplio concepto de fichero recogido en la Ley
Orgánica 15/1999, que lo configura en su artículo 3.b) como “todo conjunto
organizado de datos de carácter personal, cualquiera que fuera la forma o
modalidad de su creación, almacenamiento, organización y acceso”.
El Reglamento de desarrollo de la Ley Orgánica 15/1999, define el fichero en la
letra k del artículo 5.1 como “Todo conjunto organizado de datos de carácter
personal, que permita el acceso a los datos con arreglo a criterios
determinados, cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso.” Asimismo, aporta a efectos de
clarificación del ámbito objetivo de la Ley Orgánica 15/1999 una definición de
fichero no automatizado, que será según su letra n “todo conjunto de datos de
carácter personal organizado de forma no automatizada y estructurado
conforme a criterios específicos relativos a personas físicas, que permitan
acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél
centralizado, descentralizado o repartido de forma funcional o geográfica.
”
Así, lo que conforma un fichero a efectos de la normativa de protección de
datos es la existencia de un conjunto de datos personales organizados, con
independencia de que se encuentre centralizado o de la forma de
almacenamiento o de acceso a los datos. El concepto de fichero, por tanto no
se encuentra vinculado a la exigencia de que el mismo se encuentre en una
única ubicación, siendo posible la existencia de un único fichero con distintas
ubicaciones, siempre que el responsable, la tipología de datos contenidos en el
fichero y su finalidad sea coincidente. De esta manera, cabe señalar, a modo
de ejemplo, que el fichero de colegiados a que hace referencia la consulta
puede constituir un único fichero, ubicado físicamente tanto en la sede central,
con aquellos datos que precisen los órganos de gobierno para el ejercicio de
sus atribuciones, como en cada una de las delegaciones, conteniendo los datos
Página 70 de 353
de los colegiados a que extiende su competencia la Delegación, siempre que
coincida la tipología de los datos y su finalidad. En todo caso, será el acuerdo
de creación del fichero el que determine estas cuestiones en función de las
necesidades y forma de organización y funcionamiento del Colegio.
En lo que se refiere a los ficheros de titularidad privada, el artículo 25 de la Ley
Orgánica 15/1999 prevé que “Podrán crearse ficheros de titularidad privada que
contengan datos de carácter personal cuando resulte necesario para el logro
de la actividad u objeto legítimos de la persona, empresa o entidad titular y se
respeten las garantías que esta Ley establece para la protección de las
personas.” Respecto de estos ficheros es aplicable lo anteriormente señalado
respecto al carácter de responsable del colegio profesional y de usuario de la
Delegación Territorial.
En cuanto a su notificación e inscripción, dispone el artículo 55.2 del
Reglamento que “Los ficheros de datos de carácter personal de titularidad
privada serán notificados a la Agencia Española de Protección de Datos por la
persona o entidad privada que pretenda crearlos, con carácter previo a su
creación. La notificación deberá indicar la identificación del responsable del
fichero, la identificación del fichero, sus finalidades y los usos previstos, el
sistema de tratamiento empleado en su organización, el colectivo de personas
sobre el que se obtienen los datos, el procedimiento y procedencia de los
datos, las categorías de datos, el servicio o unidad de acceso, la indicación del
nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la
identificación del encargado del tratamiento en donde se encuentre ubicado el
fichero y los destinatarios de cesiones y transferencias internacionales de
datos.”
En el caso de estos ficheros, no es precisa su comunicación a la Agencia
Vasca de Protección de Datos ya que las Comunidades Autónomas carecen de
competencias sobre los ficheros de titularidad privada.
Página 71 de 353
Cesión de datos de colegiados. Informe 0549/2009
La consulta plantea la posibilidad de cesión de los datos de identidad, dirección
y número de cuenta corriente de los médicos incorporados al Colegio
consultante, a la compañía aseguradora con la que el Colegio tiene suscrito un
seguro colectivo de responsabilidad civil, con la finalidad de que la aseguradora
pueda atender un requerimiento de la Dirección General de Seguros y Fondos
de Pensiones, en relación con lo dispuesto en la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal (en adelante
LOPD), y a su Reglamento de desarrollo, aprobado por el Real Decreto
1720/2007, de 21 de diciembre.
I
En primer lugar procede aclarar al Colegio consultante que el presente informe
carece de valor vinculante y se evacua al amparo de las facultades conferidas
a esta Agencia Española de Protección de Datos por el artículo 37.1 e) de la
Ley Orgánica 15/1999, a saber, “Proporcionar información a las personas
acerca de sus derechos en materia de tratamiento de los datos de carácter
personal.” Así mismo, en relación con la solicitud de autorización por esta
Agencia para la cesión de datos referida en el párrafo anterior, se informa que
la misma no tiene entre sus funciones definidas en el citado artículo 37, el
autorizar las cesiones de datos, sino que éstas deberán ajustarse al régimen
regulador de la LOPD que a continuación se expondrá.
II
La comunicación de datos personales por parte del Colegio a la entidad
aseguradora, constituye una cesión de datos de carácter personal, definida en
el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos
realizada a persona distinta del interesado”. Tal y como determina el artículo
11.1 de la Ley Orgánica 15/1999, “los datos de carácter personal objeto del
tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de
fines directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado”. Esta regla de
consentimiento sólo se verá exceptuada en los supuestos contemplados en el
artículo 11.2, entre los que cabe destacar el apartado c) de la Ley Orgánica
establece que no será necesario el consentimiento del interesado “Cuando el
tratamiento responda a la libre y legítima aceptación de una relación jurídica
cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de
dicho tratamiento con ficheros de terceros”.
Tratándose de un seguro colectivo de responsabilidad civil que formaliza el
Colegio consultante, bien por así haberlo acordado sus órganos de gobierno o
por disposición de sus Estatutos, los propios colegiados al incorporarse al
Colegio Profesional asumen la condición de parte asegurada. De modo que el
desenvolvimiento de la relación jurídica que se entabla entre el profesional que
se incorpora al Colegio y éste, hace que sea necesario el tratamiento de sus
datos para esta finalidad y la comunicación de los datos personales del
colegiado a la compañía aseguradora para que el seguro colectivo pueda
desplegar todos sus efectos, de modo que la aseguradora pueda conocer quién
es el asegurado, e incluso necesite el contacto directo con éste en los
supuestos en que el siniestro se produzca. De modo que la existencia de la
relación jurídica entre el colegiado y su Colegio Profesional conlleva el
Página 72 de 353
tratamiento de sus datos en la medida en que sean necesarios para formalizar
la póliza colectiva de responsabilidad civil en la que el colegiado ha de figurar
como asegurado, por lo que la cesión de sus datos a la aseguradora estaría
legitimada al amparo del artículo 11.2 c) de la LOPD, y, por consiguiente, no
precisará del consentimiento de los afectados. Por ello, la cesión sólo será lícita
en el caso de que el colegiado resultase asegurado en el contrato de seguro
colectivo para los colegiados en que el colegio fuese el tomador, de forma que
pese a que no haya firmado el contrato de seguro resulta asegurado, siendo
elemento personal de dicho contrato, lo que según ha señalado la Agencia
Española de Protección de Datos , permite considerar el tratamiento amparado
por el artículo 6.2 de la LO 15/1999.
III
Por otra parte, para garantizar adecuadamente los derechos de los afectados,
en concreto los de acceso, rectificación, cancelación y oposición, el Colegio
consultante deberá informar en el momento de recogida de los datos de los
colegiados de los extremos contenidos en el artículo 5 de la LOPD y de que
sus datos van a ser cedidos a la compañía aseguradora con la única finalidad
de llevar a cabo la relación de seguro descrita.
Por último, la cesión de datos personales deberá respetar el principio de
calidad de los datos contenido en el artículo 4.1 de la LOPD que dice que “Los
datos de carácter personal sólo se podrán recoger para su tratamiento, así
como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y
no excesivos en relación con el ámbito y finalidades determinadas, explícitas y
legítimas para las que se hayan obtenido.”
En consecuencia, la comunicación de los datos de dirección y número de
cuenta corriente a la aseguradora será correcta en la medida en que los
mismos sean necesarios para la finalidad descrita.
Página 73 de 353
Aplicación de la LOPD a ficheros de asociados. Informe 0038/2010
La consulta plantea diversas dudas en relación con la aplicación de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter
Personal, a los ficheros relativos a los asociados de la Agrupación consultante,
que según indica son tanto personas físicas como jurídicas.
I
La primera cuestión que resulta de la consulta formulada es la relativa a la
aplicabilidad de la Ley Orgánica 15/1999, a los ficheros de asociados de la
consultante.
La Ley Orgánica 5/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal, dispone en su artículo 2.1, párrafo primero que “la presente
Ley Orgánica será de aplicación a los datos de carácter personal registrados en
soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de
uso posterior de estos datos por los sectores público y privado”, siendo datos
de carácter personal, conforme al artículo 3.a) “Cualquier información
concerniente a personas físicas identificadas o identificables”.
Esta Agencia ha venido considerando que de dichos preceptos se deduce
claramente que la protección conferida por la Ley Orgánica 15/1999 no es
aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías
en ella establecidas, sin perjuicio de que los Tribunales puedan atender las
reclamaciones de responsabilidad que pudieran exigirse en el caso de que el
uso de información relativa a las empresas les cause algún perjuicio. Esta
interpretación se plasma expresamente en el Reglamento de desarrollo de la
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, que en
su artículo 2.2 establece que “Este reglamento no será aplicable a los
tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se
limiten a incorporar los datos de las personas físicas que presten sus servicios
en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o
puestos desempeñados, así como la dirección postal o electrónica, teléfono y
número de fax profesionales.
En lo que se refiere a los empresarios individuales, el artículo 2.3 del citado
Reglamento dispone que “Asimismo, los datos relativos a empresarios
individuales, cuando hagan referencia a ellos en su calidad de comerciantes,
industriales o navieros, también se entenderán excluidos del régimen de
aplicación de la protección de datos de carácter personal.” Esta Agencia se ha
pronunciado en informe de 18 de febrero de 2008, respecto a la interpretación
que debe darse a dicho precepto, en el que se señalaba que si bien las
previsiones de la Ley Orgánica 15/1999 no serían de aplicación a los datos
referidos a personas jurídicas, en caso de datos de empresarios individuales la
solución no puede ser terminante en uno o en otro sentido, de forma que si la
información se refiere a profesionales o a comerciantes individuales, que no
tengan organizada su actividad profesional bajo la forma de persona jurídica,
habría de tenerse en cuenta lo establecido por ésta Agencia Española de
Protección de Datos, en su Resolución de 27 de febrero de 2001, en cuyo
Fundamento Jurídico II se indicaba lo siguiente: “... la protección conferida por
Página 74 de 353
la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal, no es aplicable a las personas jurídicas, que no gozarán de
ninguna de las garantías establecidas en la Ley, y por extensión lo mismo
ocurrirá con los profesionales que organizan su actividad bajo la forma de
empresa (ostentando, en consecuencia la condición de comerciante a la que se
refieren los artículos primero y siguientes del Código de Comercio) y con los
empresarios individuales que ejercen una actividad comercial y respecto de las
cuales sea posible diferenciar su actividad mercantil de su propia actividad
privada, estando en el primer caso excluidos también del ámbito de aplicación
de la Ley Orgánica 15/1999.
En definitiva pues, tanto las personas jurídicas como los profesionales y los
comerciantes individuales (éstos dos últimos sólo en los estrictos términos
señalados en el párrafo que antecede, esto es, cuando sus datos hayan sido
tratados tan sólo en su consideración de empresarios) quedan fuera del manto
protector de la Ley Orgánica 15/1999.
A contrario sensu, tanto los profesionales como los comerciantes individuales
quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto,
amparados por ella cuando los primeros no tuvieran organizada su actividad
profesional bajo la forma de empresa, no ostentando, en consecuencia, la
condición de comerciante (es el caso de los profesionales liberales cuyas
actividades están expresamente excluidas del ámbito de aplicación de la Ley
Básica 3/1993 por su artículo 6) y los segundos cuando no fuera posible
diferenciar su actividad mercantil de la propia actividad privada. En estos dos
casos deberán aplicarse siempre las garantías de la Ley Orgánica 15/1999
dada la naturaleza fundamental del derecho a proteger. Ello exigirá siempre ir
analizando caso por caso para hallar en cada supuesto concreto el límite
fronterizo donde resulte afectado el derecho fundamental a la protección de
datos de los interesados personas físicas, o, por el contrario, aquél no resulte
amenazado por incidir tan solo en la esfera de la actividad comercial o
empresarial, teniendo en todo caso presente que, en caso de duda, la solución
deberá siempre adoptarse a favor de la protección de los derechos
individuales”. Señalaba asimismo el aludido informe de 18 de febrero de 2008
que “Al propio tiempo, el tratamiento ha de llevarse a cabo en el ámbito
empresarial. Quiere ello decir que a los efectos del tratamiento de los datos, la
finalidad perseguida por quien trata el dato es la de recabar y mantener
información sobre la empresa y no sobre el comerciante que la ha constituido.
Así, el tratamiento de los datos del empresario individual, con las limitaciones
que se han venido señalando, para mantener una relación comercial con el
mismo, podría encontrarse amparado por el artículo 2.3 del Reglamento, en
conexión con las normas de la Ley Orgánica 15/1999 que se han venido
indicando.
Sin embargo, no podrá considerarse amparado por el precepto, y en
consecuencia excluido de la aplicación de la Ley Orgánica 15/1999, el
tratamiento de los datos del comerciante llevado a cabo no con la finalidad de
mantener una relación empresarial con el establecimiento u organización que el
mismo hubiera creado, sino para conocer la información del propio sujeto
Página 75 de 353
organizado en forma de empresa, siendo el destinatario del tratamiento no la
empresa sino el propio empresario en tanto, por ejemplo, que consumidor
individual.” Concluía así el informe aludido respecto del alcance de lo dispuesto
en el artículo 2.3 del Reglamento - Cabrá considerar que la legislación de
protección de datos no es aplicable en los supuestos en los que los datos del
comerciante sometidos a tratamiento hacen referencia únicamente al mismo en
su condición de comerciante, industrial o naviero; es decir, a su actividad
empresarial.
- Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades
empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el
tratamiento es la empresa constituida por el comerciante industrial o naviero y
no el empresario mismo que la hubiese constituido. Si la utilización de dichos
datos se produjera en relación con un ámbito distinto quedaría plenamente
sometida a las disposiciones de la Ley Orgánica.” Por otra parte, en lo que se
refiere a los profesionales autónomos debe señalarse que esta Agencia ha
manifestado reiteradamente que existe una diferencia entre aquéllos y el
empresario individual, de forma que los profesionales autónomos sólo
quedarían excluidos de la aplicación de la Ley Orgánica 15/1999 en caso de
que los mismos organicen su actividad en forma de empresa. En este sentido
se pronunciaba ya la Resolución de 27 de febrero de 2001, en el que se
señalaba que a los profesionales les sería aplicable la Ley Orgánica 15/1999
“cuando no tuvieran organizada su actividad profesional bajo la forma de
empresa, no ostentando en consecuencia la condición de comerciante (es el
caso de los profesionales liberales cuyas actividades están expresamente
excluidas del ámbito de aplicación de la Ley Básica 3/1993 por su artículo 6).”
Es éste también el criterio de la Audiencia Nacional que en sentencia de 21 de
noviembre de 2002 considera aplicable la normativa de protección de datos
vigente en el momento a profesionales liberales indicando que “aquellos datos
se refieren a profesionales que no ejercen su actividad bajo forma de empresa,
no ostentando en consecuencia la condición de comerciantes a la que se
refieren los artículos primero y siguientes del Código de Comercio.” Por
consiguiente la Ley Orgánica 15/1999 no resultará de aplicación a aquellos
asociados a la Agrupación consultante que revistan la forma de persona
jurídica, ni a los empresarios individuales cuando los tratamientos se refieran a
ellos en su condición de comerciante, industrial o naviero, debiendo, en
cambio, sujetarse a las previsiones de dicha norma los restantes supuestos.
II
La aplicación de lo anteriormente señalado a las cuestiones planteadas en la
consulta implica lo siguiente: - El acceso por parte de uno de los miembros de
la Agrupación a la lista de asociados, constituirá, respecto de aquéllos
asociados cuyos datos personales se encuentren amparados por la Ley
Orgánica 15/1999, una cesión de datos, definida por el definida por el artículo 3
i) de dicha Ley como “Toda revelación de datos realizada a una persona
distinta del interesado”. Tratándose de una cesión de datos, el artículo 11.1 de
la propia Ley dispone que “Los datos de carácter personal objeto del
tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de
fines directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado”. No obstante, será
posible la cesión sin contar con el consentimiento del interesado en lo
Página 76 de 353
supuestos en que la misma se encuentre amparada por alguna de las
excepciones establecidas en el número segundo del artículo 11 que, a los
efectos que aquí interesan, quedan limitadas a la prevista en la letra c), esto es,
como señala dicho precepto “Cuando el tratamiento responda a la libre y
legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y
control implique necesariamente la conexión de dicho tratamiento con ficheros
de terceros. En este caso la comunicación sólo será legítima en cuanto se
limite a la finalidad que la justifique.”
Esta Agencia ha venido señalando reiteradamente que la comunicación a los
asociados de los datos de carácter personal de los demás asociados, será
posible en la medida en que la misma se encuentre expresamente prevista en
los Estatutos de la Asociación, dado que sólo en ese caso sería posible
entender dicha cesión amparada en el artículo 11.2 c) de la Ley Orgánica
15/1999, única norma que podría invocarse como legitimadora del tratamiento
de los datos sin contar con el consentimiento de los propios asociados.
Debe, en este sentido, recordarse que la fundamentación en que la Agencia ha
justificado la utilización del listado en estos supuestos se basa en el hecho de
que el asociado por el hecho de adquirir tal condición deberá conocer y aceptar
los estatutos, de modo que será posible considerar que su incorporación a la
asociación implica la creación de una relación jurídica entre aquél y ésta, cuyos
términos serán fijados por los propios Estatutos. De este modo, el uso de los
datos derivado de tal relación quedará delimitado por la finalidad que se haya
previsto a tal efecto en los Estatutos. Por tanto, si en la Agrupación se integran
personas a quienes resulta de aplicación lo previsto en la Ley Orgánica
15/1999, para la cesión del listado en que se contengan sus datos deberá
estarse a lo dispuesto en los Estatutos de la Agrupación respecto a la cesión
del listado de socios a los demás asociados y a las finalidades con que ésta
esté prevista, de forma que no podrá llevarse a cabo a falta de previsión
expresa ni con fines distintos a los recogidos en dichos Estatutos. La segunda
de las cuestiones planteadas se refiere a la posibilidad de facilitar los datos de
los socios a empresas con las que se han firmado convenios de colaboración
que supongan ventajas para aquéllos, con el fin de que el contacto se haga con
ellos directamente.
Nuevamente nos encontramos aquí ante una cesión de datos respecto de
aquellas personas a las que resulta aplicable la Ley Orgánica 15/1999, que
deberá ajustarse a lo previsto en el artículo 11 de la misma norma antes citado,
siendo preciso el consentimiento del interesado para la cesión de los datos con
esta finalidad, por cuanto dicha comunicación de datos no se encontraría
amparada en lo previsto en el artículo 11.2.c de dicha Ley. En este sentido
dispone el artículo 15 del Reglamento de desarrollo de la Ley Orgánica 15/1999
“Si el responsable del tratamiento solicitase el consentimiento del afectado
durante el proceso de formación de un contrato para finalidades que no
guarden relación directa con el mantenimiento, desarrollo o control de la
relación contractual, deberá permitir al afectado que manifieste expresamente
su negativa al tratamiento o comunicación de datos.” Asimismo, en relación con
el consentimiento para el tratamiento de datos para actividades publicitarias
dispone el artículo 45.1 del mismo Reglamento que ”Quienes se dediquen a la
Página 77 de 353
recopilación de direcciones, reparto de documentos, publicidad, venta a
distancia, prospección comercial y otras actividades análogas, así como
quienes realicen estas actividades con el fin de comercializar sus propios
productos o servicios o los de terceros, sólo podrán utilizar nombres y
direcciones u otros datos de carácter personal cuando los mismos se
encuentren en uno de los siguientes casos:
a. Figuren en alguna de las fuentes accesibles al público a las que se refiere la
letra j del artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre y el
artículo 7 de este reglamento y el interesado no haya manifestado su negativa
u oposición a que sus datos sean objeto de tratamiento para las actividades
descritas en este apartado.
b. Hayan sido facilitados por los propios interesados u obtenidos con su
consentimiento para finalidades determinadas, explícitas y legítimas
relacionadas con la actividad de publicidad o prospección comercial,
habiéndose informado a los interesados sobre los sectores específicos y
concretos de actividad respecto de los que podrá recibir información o
publicidad.”
Por consiguiente, para la cesión, con fines publicitarios, de los datos de
aquellas personas a las que resulta de aplicación lo previsto en la Ley Orgánica
15/1999, salvo que los datos se hayan obtenido de fuentes de acceso al
público sin que el interesado haya manifestado su negativa u oposición, será
preciso obtener su consentimiento, consentimiento que para ser válido requiere
que se determinen los sectores específicos y concretos de actividad a que va a
referirse dicha publicidad, sin que pueda llevarse a cabo una comunicación de
datos para fines publicitarios en un sector diferente a aquél o aquéllos para los
que se ha consentido dicha comunicación.
Por último en cuanto al tratamiento general de los datos de asociados que
obran en sus archivos, si en ellos constan personas cuyos datos resulten
amparados por la Ley Orgánica 15/1999, deberán aplicarse las disposiciones
contenidas en dicha norma a cualquier tratamiento que de los mismos se haga,
debiendo además tenerse en cuenta las obligaciones que dicha Ley establece
en cuanto a notificación de ficheros a esta Agencia y adopción de las
correspondientes medidas de seguridad.
Página 78 de 353
Aplicación de la LOPD a ficheros de Colegio profesional. Informe 0068/2010
La consulta plantea diversas dudas respecto a la aplicación de la Ley 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal en materia
de creación y naturaleza de los ficheros del Colegio Oficial consultante.
El criterio sostenido por esta Agencia, acerca de la naturaleza pública o privada
de los ficheros colegiales, ha sido puesto de manifiesto en diversos informes,
por todos ellos cabe citar el de 9 de octubre de 2002, en el que se señalaba
que, si bien la Ley Orgánica 15/1999 delimita en su articulado el régimen de los
ficheros de titularidad pública y privada, no establece un concepto de los
mismos, por lo que la delimitación deberá fundarse en los criterios que
determinan la naturaleza jurídico-pública o jurídico-privada del responsable del
fichero. Concluía dicho informe que los ficheros de que sean responsables los
Colegios Profesionales y Consejos Generales, en cuanto se relacionen con el
ejercicio por los mismos de sus competencias de derecho público y, en
consecuencia, con la atribución a éstos de potestades administrativas, se
encontrarán sometidos al régimen de los ficheros de titularidad pública.
Señalaba, asimismo, que el régimen de los ficheros de titularidad privada, sólo
será de aplicación, en su caso, a los ficheros creados con la única finalidad de
llevar a cabo la gestión interna del Colegio o Consejo o de adoptar mecanismos
que faciliten el desempeño de la profesión colegiada cuando su adopción no
implique el ejercicio de potestades administrativas ni lleve aparejada la
existencia de un acto administrativo. Este criterio se plasmó en el Reglamento
de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21
de diciembre, que en las letras l y m del numero primero de su artículo 5
contempla la definición tanto de los ficheros de titularidad privada como pública,
disponiendo lo siguiente:
“l. Ficheros de titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de
quien ostente la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los ficheros de los que sean responsables las
corporaciones de derecho público, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho público que a
las mismas atribuye su normativa específica.”
“m. Ficheros de titularidad pública: los ficheros de los que sean responsables
los órganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonómicas con funciones análogas a los mismos, las
Administraciones públicas territoriales, así como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho
público siempre que su finalidad sea el ejercicio de potestades de derecho
público.”
Por consiguiente, la creación de los ficheros del Colegio profesional a que se
refiere la consulta, así como su notificación e inscripción, deberá adecuarse,
según la naturaleza de cada uno de ellos determinada conforme al criterio
anteriormente expuesto, al régimen establecido para los ficheros de titularidad
publica en él artículo 20 y siguientes de la Ley Orgánica 15/1999 o al contenido
en el artículo 25 y siguientes de la misma norma para los ficheros de titularidad
Página 79 de 353
privada. Así, a título de ejemplo, tendrán carácter público los ficheros de
profesionales colegiados, los relativos al ejercicio de la potestad disciplinaria o
el de visados colegiales.
En lo que se refiere a los ficheros de titularidad pública, dispone el número
primero del artículo 20 de la Ley Orgánica 15/1999 que ”La creación,
modificación o supresión de los ficheros de las Administraciones públicas sólo
podrán hacerse por medio de disposición general publicada en el Boletín Oficial
del Estado o Diario oficial correspondiente.” El número segundo de dicho
artículo concreta las indicaciones que deberá contener la disposición de
creación del fichero.
De la misma manera, el artículo 52 del Reglamento de desarrollo de dicha ley
establece que “La creación, modificación o supresión de los ficheros de
titularidad pública sólo podrá hacerse por medio de disposición general o
acuerdo publicados en el Boletín Oficial del Estado o diario oficial
correspondiente.”
El artículo 53 del aludido Reglamento regula la forma de creación de los
ficheros de titularidad pública, estableciendo en su número cuarto una previsión
específica para las corporaciones de derecho público, según la cual “La
creación, modificación o supresión de los ficheros de los que sean
responsables las corporaciones de derecho público y que se encuentren
relacionados con el ejercicio por aquéllas de potestades de derecho público
deberá efectuarse a través de acuerdo de sus órganos de gobierno, en los
términos que establezcan sus respectivos Estatutos, debiendo ser igualmente
objeto de publicación en el Boletín Oficial del Estado o diario oficial
correspondiente.”
En lo que se refiere a la notificación e inscripción de los ficheros de titularidad
pública, dispone el número primero del artículo 55 del Reglamento que “Todo
fichero de datos de carácter personal de titularidad pública será notificado a la
Agencia Española de Protección de Datos por el órgano competente de la
Administración responsable del fichero para su inscripción en el Registro
General de Protección de Datos, en el plazo de treinta días desde la
publicación de su norma o acuerdo de creación en el diario oficial
correspondiente .
En lo que se refiere a los ficheros de titularidad privada, el artículo 25 de la Ley
Orgánica 15/1999 prevé que “Podrán crearse ficheros de titularidad privada que
contengan datos de carácter personal cuando resulte necesario para el logro
de la actividad u objeto legítimos de la persona, empresa o entidad titular y se
respeten las garantías que esta Ley establece para la protección de las
personas.”
En cuanto a su notificación e inscripción, dispone el artículo 55.2 del
Reglamento que “Los ficheros de datos de carácter personal de titularidad
privada serán notificados a la Agencia Española de Protección de Datos por la
persona o entidad privada que pretenda crearlos, con carácter previo a su
creación. La notificación deberá indicar la identificación del responsable del
Página 80 de 353
fichero, la identificación del fichero, sus finalidades y los usos previstos, el
sistema de tratamiento empleado en su organización, el colectivo de personas
sobre el que se obtienen los datos, el procedimiento y procedencia de los
datos, las categorías de datos, el servicio o unidad de acceso, la indicación del
nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la
identificación del encargado del tratamiento en donde se encuentre ubicado el
fichero y los destinatarios de cesiones y transferencias internacionales de
datos.”
II. RESOLUCIONES.
II. 1. PROCEDIMIENTO SANCIONADOR
P.S.Nº PS/00155/2004
RESOLUCIÓN: R/00059/2005
En el procedimiento sancionador PS/00155/2004 instruido por la Agencia
Española de Protección de Datos a la entidad GUÍA TELEFAX ANUARIO
PROFESIONAL S.L., vista la denuncia presentada por D. E.L.O, se ha dictado
la siguiente Resolución:
ANTECEDENTES DE HECHO
PRIMERO: Con fecha 14/01/2004, tuvo entrada en esta Agencia un escrito de
D. E.L.O en el que declara que ha recibido una comunicación de la entidad
Guía Telefax Anuario Profesional S.L dirigida a su antiguo domicilio en el que
tenía entonces su despacho profesional. El denunciante manifiesta que en
ningún momento ha prestado su consentimiento ni ha autorizado para que sus
datos personales sean tratados por la citada entidad y que nunca ha contratado
publicidad alguna con la misma. Adjunta a su escrito el envío publicitario, de
fecha 03/11/2003, de Guía Telefax Anuario Profesional S.L en el que figuran el
nombre y apellidos del denunciante, así como la siguiente dirección:
(C/.................).
SEGUNDO: A la vista de los hechos denunciados, se efectuaron, entre otras,
las siguientes actuaciones de inspección: 1.- Se solicitó información a Guía
Telefax Anuario Profesional S.L. quien en escrito, de fecha de registro de
entrada de 02/03/2004, aportó impresión de pantalla de la información que
figura en su fichero de D. E.L.O. En dicho fichero constan los datos del
denunciante con domicilio en la calle (C/.................)., teléfono ######-#.
Guía Telefax Anuario Profesional S.L. manifestó que los citados datos fueron
obtenidos hace aproximadamente dos años de un ejemplar de Páginas
Amarillas de la ciudad de (................) y que no se consideran datos personales
ya que el domicilio que consta en los ficheros es el del despacho profesional
del Sr. E.L.O. 2.- Se solicitó información a Telefónica Publicidad e Información,
S.A. De la documentación aportada por la citada entidad se desprende que en
las ediciones de la Guía Telefónica Páginas Amarillas correspondientes a los
años 2001-2002 y 2002-2003, se publicaron los datos personales de “.L.O, B”
asociados al domicilio de (C/2................) y al teléfono nº #####-##2. En la
Página 81 de 353
edición del año 2002-2003 se publicaron también los datos de “L.O, E.J.”
asociados al domicilio de (C/3.............) de (................) y teléfono nº ######-#.
TERCERO: Con fecha 10/09/2004, el Director de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a Guía Telefax
Anuario Profesional S.L. con arreglo a lo dispuesto en el artículo 18.1 del Real
Decreto 1332/1994, de 20 de junio, por la presunta infracción del artículo 6.1 de
la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal, tipificada como grave en el artículo 44.3.d), pudiendo ser
sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el
artículo 45.2 de la citada Ley Orgánica.
CUARTO: Notificado el citado acuerdo de inicio de procedimiento sancionador,
Guía Telefax Anuario Profesional S.L. formuló alegaciones en las que adujo lo
siguiente: a) El domicilio que consta en los ficheros de la empresa es el antiguo
domicilio profesional del denunciante, por lo que no se trata de un datos de
carácter personal. b) En los listines telefónicos de los años 1998, 1999 y 2000
se publicaron los datos del denunciante asociados al domicilio de la
(C/....................) y de esta fuente se obtuvieron los datos del Sr. E.L.O sin que
hayan sido renovados. c) El denunciante no se dirigió a Guía Telefax Anuario
Profesional S.L. solicitando la cancelación de sus datos. d) El Sr. E.L.O ni vive
ni trabaja ya en la dirección a la que se remitió el envío publicitario por lo que
no se le han causado perjuicios.
QUINTO: En fecha 13/10/2004, se acordó por la instructora del procedimiento
la apertura de un período de práctica de pruebas y se acordó de oficio la
práctica de la prueba consistente en dar por reproducidas las actuaciones de
inspección realizadas al inicio del procedimiento.
Asimismo a petición de parte se practicaron las siguientes pruebas:
- Se solicitó a Telefónica de España, S.A. que especificara los datos relativos a
D. E.L.O con domicilio en (................) que se publicaron en las ediciones de las
guías páginas blancas vigentes en el período comprendido entre noviembre de
2002 y noviembre de 2003. Contestó Telefónica de España, S.A. que aparecen
en las guías páginas blancas de los años 2001-2002, 2002-2003 y 2003-2004
los siguientes datos de D. E.L.O: L.O, E., (C/.......), Teléfono #####-##3.
- Se solicitó al Ilustre Colegio Oficial de Abogados de (.............) que informara
sobre si publica anuarios con los datos de sus colegiados y en su caso
manifieste qué datos de D. E.L.O se publicaron en el anuario vigente en
noviembre de 2003. El Colegio contestó que no existe un anuario de
profesionales del año 2003, sino que existe una guía profesional de uso interno
que únicamente se distribuye entre los colegiados, Juzgados y otros Colegios
de Abogados de España.
Por otro lado, se desestimó la práctica de las pruebas solicitadas por Guía
Telefax Anuario Profesional S.L relativas a los datos que figuraron en las guías
o anuarios en los años 1998, 1999 y 2000 de D. E.L.O y la consistente en
solicitar a éste que aporte la documentación acreditativa de haber solicitado la
Página 82 de 353
cancelación de sus datos a Guía Telefax Anuario Profesional S.L porque su
práctica resulta improcedente a tenor de lo establecido
en el artículo 17.2 del Real Decreto 1398/1993, de 4 de agosto, por el que se
aprueba el Reglamento del procedimiento para el ejercicio de la potestad
sancionadora, pues no alteraría el resultado de la resolución final a favor del
presunto responsable de acuerdo con lo dispuesto en el artículo 28.3 de la Ley
Orgánica 15/1999.
SEXTO: Concluido el período probatorio se inició el trámite de audiencia, de
conformidad con lo establecido en el artículo 18.4 del Real Decreto 1332/1994,
de 20 de junio, en el que Guía Telefax Anuario Profesional S.L después de
obtener copia de algunos de los documentos obrantes en el procedimiento
formuló alegaciones en las que, en resumen, manifestó que los datos del
denunciante fueron obtenidos de la guía páginas blancas de Telefónica que es
una fuente de acceso público; que el artículo 28.3 de la LOPD no resulta de
aplicación al caso en cuestión pues cuando se recabaron los datos, éstos eran
de acceso público; que no es posible que Guía Telefax Anuario Profesional S.L.
coteje cada año los casi dos millones de datos de empresas y profesionales
que forman su base de datos; que la dirección de la (C/................) era el
antiguo despacho profesional del denunciante y no su domicilio particular por lo
que los datos tratados no son datos personales; que no se han causado
perjuicios al denunciante; que únicamente se remitió al denunciante un
formulario que incorporaba una propuesta comercial, y al no devolver la
propuesta no se le volvió a remitir ninguna documentación; que el Sr. E.L.O
nunca se dirigió a la empresa solicitando que no se le remitiera información
comercial; que probablemente recibirá más envíos en la dirección de la
(C/............) aunque ya no sea su dirección profesional y que resulta de
aplicación la previsión contenida en el artículo 45.5 de la LOPD.
SÉPTIMO: Con fecha 03/01/2005, se formuló propuesta de resolución en el
sentido de que por el Director de la Agencia Española de Protección de Datos
se sancione a Guía Telefax Anuario Profesional S.L. con multa de 60.101, 21 €
(sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo
6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal, tipificada como grave en el artículo 44.3.d) de dicha norma,
dándose traslado para alegaciones.
OCTAVO: Con fecha 18/01/2005, tuvo entrada en esta Agencia escrito de
alegaciones de Guía Telefax Anuario Profesional S.L. en el que reitera que
debe excluirse del ámbito de protección de la LOPD a los profesionales; que en
el caso presente la persona afectada es un abogado y la dirección utilizada es
la de su antiguo domicilio profesional, por lo que no ha quedado afectado el
derecho fundamental del denunciante como persona física; que la
comunicación remitida al denunciante va dirigida a empresas; que los datos
tratados proceden de las guías páginas blancas en las ediciones de 1998, 1999
y 2000; que Guía Telefax Anuario Profesional S.L. trató en el año 2003 un dato
recogido en el año 2000, el dato ya se encontraba incorporado a su fichero, por
lo que no resulta de aplicación la estipulación contenida en el artículo 28.3 de la
LOPD, pues no se recabaron en el año 2003 datos de una edición de las guías
del año 2000; que las cesiones de datos que se hayan producido al amparo de
Página 83 de 353
la nueva Ley General de Telecomunicaciones 32/2003 no pueden quedar sin
efecto por el hecho de que se publique una nueva edición de la guía; que no se
ha ocasionado perjuicios al afectado y que procede una reducción de la
sanción al amparo del artículo 45.5 de la LOPD. Finalmente solicita la práctica
de la prueba consistente en solicitar al Colegio de Abogados de (.............)
sobre los datos personales pertenecientes a D. E.L.O que contenía la guía
profesional vigente en noviembre de 2003 editada por el Colegio, así como
solicitar a Telefónica Publicidad e Información, S.A. que remita copia certificada
de las páginas de sus guías “Páginas Blancas” y “Páginas Amarillas”
correspondientes a la provincia de (................) de las ediciones 1998, 199 y
2000, donde consten los datos personales de D. E.L.O.
HECHOS PROBADOS
PRIMERO: En los ficheros de Guía Telefax Anuario Profesional S.L. se
encuentran registrados los siguientes datos del denunciante: E.L.O, domicilio
en la (C/................) teléfono ######-# (folio 11)
SEGUNDO: Los citados datos fueron utilizados por Guía Telefax Anuario
Profesional S.L. para remitir al denunciante un envío publicitario de fecha
03/11/2003 (folio 2). TERCERO: En las ediciones de la Guía Telefónica
Páginas Amarillas correspondientes a los años 2001-2002 y 2002-2003, se
publicaron los datos personales de “L.O, B” asociados al domicilio de la calle
(C/2................) y al teléfono nº #####-##2. En la edición del año 2002-2003 se
publicaron también los datos de “.L.O, E.J.” asociados al domicilio de la
(C/3................) y al teléfono nº ######-# (folios 14 a 19).
CUARTO: En la Guía Telefónica Páginas Blancas de los años 2001-2002,
2002-2003 y 2003-2004 se publicaron los siguientes datos de D. E.L.O: E.L.O.,
(C/4...........), Teléfono #####-##3 (folio 49).
QUINTO: El Ilustre Colegio Oficial de Abogados de (............) no publicó en el
año 2003 ningún anuario de profesionales. Únicamente existe una guía
profesional de uso interno que únicamente se distribuye entre los colegiados,
Juzgados y otros Colegios de Abogados de España (folio 50).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la Ley
II
Se imputa a Guía Telefax Anuario Profesional S.L. en el presente
procedimiento una infracción del artículo 6 de la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal, que dispone en su
apartado 1 que “El tratamiento de los datos de carácter personal requerirá el
consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
Página 84 de 353
El apartado 2 del mismo artículo añade que “no será preciso el consentimiento
cuando los datos de carácter personal se recojan para el ejercicio de las
funciones propias de las Administraciones Públicas en el ámbito de sus
competencias; cuando se refieran a las partes de un contrato o precontrato de
una relación negocial, laboral o administrativa y sean necesarios para su
mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por
finalidad proteger un interés vital del interesado en los términos del artículo 7,
apartado 6, de la presente Ley, o cuando los datos figuren en fuentes
accesibles al público y su tratamiento sea necesario para la satisfacción del
interés legítimo perseguido por el responsable del fichero o por el del tercero a
quien se comuniquen los datos, siempre que no se vulneren los derechos y
libertades fundamentales del interesado”. En el presente caso, ha quedado
acreditado que en los ficheros de Guía Telefax Anuario Profesional S.L. se
encuentran registrados los datos de D. E.L.O, con domicilio en (C/................) y
fueron utilizados remitirle un envío publicitario de f echa 03/11/2003.
Este tratamiento de datos de carácter personal tiene que contar con el
consentimiento del afectado o, en su defecto, debe acreditarse que los datos
provienen de fuentes accesibles al público, que existe una Ley que ampara ese
tratamiento o una relación contractual o negocial entre el titular de los datos y el
responsable del tratamiento que sea necesaria para el mantenimiento del
contrato. Sin embargo en este caso Guía Telefax Anuario Profesional S.L. no
ha acreditado que cuente con el consentimiento del denunciante para el
tratamiento automatizado de sus datos personales ni que concurra ninguno de
los supuestos de exclusión del consentimiento recogido en el apartado 2 del
artículo 6 de la Ley Orgánica 15/1999, por lo que ha de entenderse conculcado
el principio de consentimiento que consagra este artículo.
III
Alega Guía Telefax Anuario Profesional S.L. en su defensa que los datos del
denunciante se recabaron de las guías telefónicas del año 2000 y que cuando
se recabaron los datos, éstos eran de acceso público.
El artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal, define en su apartado j) las fuentes accesibles al
público como “Aquellos ficheros cuya consulta puede ser realizada por
cualquier persona, no impedida por una norma limitativa, o sin más exigencia
que, en su caso, el abono de una contraprestación. Tienen la consideración de
fuentes de acceso público, exclusivamente, el censo promocional, los
repertorios telefónicos en los términos previstos por su normativa específica y
las listas de personas pertenecientes a grupos de profesionales que contengan
únicamente los datos de nombre, título, profesión, actividad, grado académico,
dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter
de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de
comunicación”.
Sin embargo, cabe señalar que de acuerdo con lo establecido en el artículo
28.3 de la Ley Orgánica 15/1999 “las fuentes de acceso público que se editen
en forma de libro o algún otro soporte físico, perderán el carácter de fuente
accesible con la nueva edición que se publique.
Página 85 de 353
En el caso de que se obtenga telemáticamente una copia de la lista en formato
electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de
un año, contado desde el momento de su obtención”
De acuerdo con lo anterior, los datos provenientes de las guías telefónicas
pierden el carácter de fuente accesible al público con la nueva edición que se
publique. En el supuesto que nos ocupa, en los ficheros de Guía Telefax
Anuario Profesional S.L. se encontraban registrados los siguientes datos
personales del denunciante: E.L.O, domicilio (C/................), teléfono ######-#.
Estos datos fueron utilizados para remitirle un envío publicitario de fecha
03/11/2003.
En las ediciones de la Guía Telefónica Páginas Amarillas correspondientes a
los años 2001-2002 y 2002-2003, se publicaron los datos personales de “L.O,
B” asociados al domicilio de la (C/2................) y teléfono nº #####-##2. En la
edición del año 2002-2003 se publicaron también los datos de “L.O, E.J.”
asociados al domicilio (C/3................) y teléfono nº ######-#.
En la Guía Telefónica Páginas Blancas de los años 2001-2002, 2002-2003 y
2003- 2004 se publicaron los siguientes datos de D. E.L.O: E.L.O.,
(C/4..............), Teléfono #####-##3
Ninguna de las direcciones publicadas del denunciante en las citadas guías
coincide con la registrada en el fichero de la entidad imputada. Tampoco
aparece en las citadas guías el nombre completo del denunciante: E.L.O, sino
únicamente sus iniciales E. J., por lo que cabe concluir que los datos que
constan en el fichero de la entidad no provienen de fuentes de acceso público,
pues si como afirma Guía Telefax Anuario Profesional S.L. se obtuvieron de
ediciones de guías anteriores, éstas perdieron el carácter de fuente de acceso
público con la publicación de la nueva edición, a tenor de lo dispuesto en el
citado artículo 28.3.
Sentado lo anterior cabe señalar respecto de las pruebas interesadas por Guía
Telefax Anuario Profesional S.L., consistentes en solicitar información al
Colegio de Abogados de (............) sobre los datos personales pertenecientes a
D. E.L.O que contenía la guía profesional vigente en noviembre de 2003
editada por el Colegio y en solicitar a Telefónica Publicidad e Información, S.A.
que remita copia certificada de las páginas de sus guías “Páginas Blancas” y
“Páginas Amarillas” correspondientes a la provincia de (................) de las
ediciones 1998, 1999 y 2000, donde consten los datos personales de D. E.L.O,
que la primera de ellas ya fue practicada en el período probatorio, informando
el Colegio de Abogados de (............) que existe una guía profesional de uso
interno, que únicamente se distribuye entre los Colegiados, Juzgados y otros
Colegios de Abogados de España, por lo que a tenor de lo dispuesto en el
artículo 3.j) de la Ley Orgánica 15/1999 ha de concluirse que dicha guía no es
fuente de acceso público al no publicarse listas de abogados colegiados en el
Colegio de (............) cuya consulta puede ser realizada por cualquier persona.
A este respecto, la Audiencia Nacional declaró en su sentencia de 29/06/2001
que “las fuentes accesibles al público son aquellas a través de las cuales
podemos conocer en bloque, es decir, no mediante consultas puntuales al
Página 86 de 353
Colegio Profesional correspondiente sobre cada colegiado, sino en su totalidad,
en forma de listado, los pertenecientes a un determinado colectivo, en este
caso, los médicos colegiados, por ser dicho conocimiento, íntegro, de carácter
público. Quiere esto decir que aunque algunos de los datos, y desde luego no
el del domicilio particular, sobre los colegiados estén a disposición de los
ciudadanos, sin embargo dicha circunstancia no convierte a aquellos en
fuentes accesibles al público, ya que esta expresión alude a un conocimiento
completo de los profesionales médicos, al que se le haya dado algún tipo de
publicidad, que permita al banco recurrente no solo llevar a cabo la publicidad y
venta de sus productos, sino crear productos específicos para ese colectivo, al
contar con la colaboración de los colegios profesionales”.
Finalmente, en cuanto a la segunda de las pruebas propuestas, ésta ya fue
desestimada por resultar su práctica improcedente, pues no alteraría el
resultado de la resolución final a favor del presunto responsable, dado que de
acuerdo con lo dispuesto en el artículo 28.3 de la Ley Orgánica 15/1999, los
datos contenidos en las guías de abonados de los años 1998, 1999 y 2000 no
podían ser utilizados en el año 2003 al haber perdido su carácter de fuente de
acceso público con la publicación de las ediciones posteriores de las guías
telefónicas.
IV
Asimismo, aduce Guía Telefax Anuario Profesional S.L. que los datos
contenidos en su fichero únicamente se refieren al domicilio profesional de
denunciante y que estos datos no son de carácter personal. El artículo 1 de la
Ley Orgánica 15/1999, de 13 de diciembre, establece que “La presente Ley
Orgánica tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar.” De dicho precepto se deduce claramente que la
protección conferida por la Ley Orgánica 15/1999, no es aplicable a las
personas jurídicas, que no gozarán de ninguna de las garantías establecidas
en la Ley, y por extensión lo mismo ocurrirá con los profesionales que
organizan su actividad bajo la forma de empresa (ostentando, en consecuencia
la condición de comerciante a la que se refieren los artículos primero y
siguientes del Código de Comercio) y con los empresarios individuales que
ejercen una actividad comercial y respecto de las cuales sea posible diferenciar
su actividad mercantil de su propia actividad privada, estando en el primer caso
excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999.
En consecuencia, tanto las personas jurídicas como los profesionales y los
comerciantes individuales (éstos dos últimos sólo en los estrictos términos
señalados en el párrafo que antecede, esto es, cuando sus datos hayan sido
tratados tan sólo en su consideración de empresarios) quedan fuera del manto
protector de la Ley Orgánica 15/1999.
Contrario sensu, tanto los profesionales como los comerciantes individuales
quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto,
amparados por ella cuando los primeros no tuvieran organizada su actividad
Página 87 de 353
profesional bajo la forma de empresa, no ostentando, en consecuencia, la
condición de comerciante (es el caso de los profesionales liberales cuyas
actividades están expresamente excluidas del ámbito de aplicación de la Ley
3/1993, de 22 de marzo, Básica de las Cámaras Oficiales de Comercio,
Industria y Navegación, por su artículo 6) y los segundos cuando no fuera
posible diferenciar su actividad mercantil de la propia actividad privada. En
estos dos casos deberán aplicarse siempre las garantías de la Ley Orgánica
15/1999 dada la naturaleza fundamental del derecho a proteger. Ello exigirá
siempre ir analizando caso por caso para hallar en cada supuesto concreto el
límite fronterizo donde resulte afectado el derecho fundamental a la protección
de datos de los interesados personas físicas, o, por el contrario, aquél no
resulte amenazado por incidir tan solo en la esfera de la actividad comercial o
empresarial, teniendo en todo caso presente que, en caso de duda, la solución
deberá siempre adoptarse a favor de la protección de los derechos
individuales.
La Audiencia Nacional en sus sentencias de 22/11/2002 (recurso 881/2000) y
25/06/2003 (recurso 1099/2000) adujo que no existían motivos para considerar
fuera del ámbito de la Ley Orgánica 15/1999 a los profesionales pues “no
ejercen su actividad bajo forma de empresa, no ostentando en consecuencia la
condición de comerciante a que se refieren los artículos primero y siguientes
del Código de Comercio”. Posteriormente, en sentencia de 11/02/2004 (recurso
119/2002), la Audiencia Nacional declaró lo siguiente: <<Asimismo, que los
datos del recurrente se refieran a su actividad profesional no impide la
aplicación del régimen jurídico sancionador que diseña la expresada LO pues
la protección de datos que se reconoce en el art 18.4 de la CE, extiende su
protección no a los datos íntimos de la persona —que se protegen en el
derecho a la intimidad del art 18 1 de la CE- sino a los datos de carácter
personal (STC 292/2000). Por tanto, la garantía de la vida privada de la
persona y su reputación poseen una dimensión positiva que excede del ámbito
del art. 18.1 y que se traducen en el derecho al control sobre sus datos. Se
pretende garantizar ahora a la persona, mediante el control sobre sus datos
personales, sobre su uso destino, con el propósito de impedir su tráfico licito y
lesivo para la dignidad del afectado, que los datos solo podrán ser tratados y
cedidos con su consentimiento. De lo dicho se infiere que no es preciso en
modo alguno que se haya vulnerado el derecho a la intimidad, ni que el dato
afecte a esa esfera íntima de la persona, para que pueda ser sancionada una
conducta en materia de protección de datos, pues este derecho fundamental —
art 18.4- tiene un objeto distinto y una dimensión que excede de la del derecho
a la intimidad. Téngase en cuenta que en la expresada STC 292/2000 se
declara que “el objeto de protección del derecho fundamental a la protección de
datos no se reduce solo a los datos íntimos de las persona, sino a cualquier
tipo de dato personal, sea o no intimo”. Acorde con la doctrina anterior, y
teniendo en cuenta que la LO 15/1999 tiene por objeto garantizar y proteger,
por lo que ahora interesa, los datos personales, entendiéndose por tales, ex art
3.a) de la citada Ley, “cualquier información concerniente a personas físicas
identificadas o identificables”, debe concluirse que en el caso examinado el
dato afectado, aunque se refiera al lugar de ejercicio de su profesión, es un
dato de una persona física con una actividad profesional, cuya protección cae
en la órbita de la LO 15/1 999 de tanta cita, como viene declarando esta Sala
Página 88 de 353
reiteradamente, por todas Sentencia de 21 de noviembre de 2002. En efecto,
los datos personales son predicables de todos los ciudadanos, sin que pueda
excluirse de dicha previsión los relativos a aquellos que realizan una actividad
profesional, pues el ejercicio de esta actividad no puede ser equiparado a estos
efectos a la de una empresa, como parece mantener el recurrente>>.
En definitiva, los datos el denunciante aunque se refieran al lugar de ejercicio
de su profesión son datos de carácter personal y se encuentran incluidos en el
ámbito de protección de la Ley Orgánica 15/1999. Por todo cuanto antecede,
debe considerarse que el tratamiento que ha realizado Guía Telefax Anuario
Profesional S.L. de los datos personales del denunciante vulnera el principio de
consentimiento, por cuanto no concurre ninguna de las condiciones que
conforme al artículo 6 de la Ley Orgánica 15/1999 permitirían a la citada
entidad tratar los citados datos.
V
El artículo 44.3d) de la Ley Orgánica 15/1999 tipifica como infracción grave:
“Tratar los datos de carácter personal o usarlos posteriormente con
conculcación de los principios y garantías establecidos en la presente Ley o
con incumplimiento de los preceptos de protección que impongan las
disposiciones reglamentarias de desarrollo, cuando no constituya infracción
muy grave”. El principio del consentimiento se configura como principio básico
en materia de protección de datos y así se declara en la doctrina del Tribunal
Constitucional (STC 292/2002). Este principio se recoge en el artículo 6 de la
Ley Orgánica 15/1999 que exige la necesidad de consentimiento del afectado
para que puedan tratarse sus datos de carácter personal.
La Audiencia Nacional ha manifestado en su sentencia de 22/10/2003 que “la
descripción de conductas que establece el artículo 44.3d) de la Ley Orgánica
15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de
esta Sala, toda vez que del expresado precepto se desprende con claridad cual
es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave
“tratar de forma automatizada los datos de carácter personal o usarlos
posteriormente con conculcación de los principios y garantías establecidos en
la Ley”, por tanto, se está describiendo una conducta –el tratamiento
automatizado de datos personales o su uso posterior- que precisa, para
configurar el tipo, que dicha conducta haya vulnerado los principios que
establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que
deben inferirse de dicha regulación legal, sino que aparecen claramente
determinados y relacionados en el título II de la Ley, concretamente, por lo que
ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en
la materia, que es la necesidad de consentimiento del afectado para que
puedan tratarse automatizadamente datos de carácter personal. Por tanto, la
conducta ilícita por la que se sanciona a la parte recurrente como responsable
del tratamiento consiste en usar datos sin consentimiento de los titulares de los
mismos, realizando envíos publicitarios.”
En este caso, Guía Telefax Anuario Profesional S.L. ha incurrido en la
infracción descrita, toda vez que supone una vulneración del principio de
Página 89 de 353
consentimiento, consagrado en el artículo 6 de la Ley Orgánica 15/1999, el
tratamiento que ha realizado de los datos de D. E.L.O, por cuanto este
tratamiento se efectuó sin contar con su consentimiento y sin que concurriera
ninguna de las causas de exclusión del consentimiento recogidas en el
apartado 2 del mencionado artículo 6.
Por tanto, Guía Telefax Anuario Profesional S.L. es responsable de la
vulneración del artículo 6 de la Ley Orgánica 15/1999, incurriendo en la
infracción tipificada en el artículo 44.3.d) de dicha norma.
VI
El artículo 45 en su apartado 2 de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal, indica que las
infracciones graves serán sancionadas con multa de 60.101,21 a 300.506,05 €.
El mismo artículo, en su apartado 4, establece los criterios de graduación de la
sanción “atendiendo a la naturaleza de los derechos personales afectados, al
volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de
intencionalidad, a la reincidencia, a los daños y perjuicios causados a las
personas interesadas y a terceras personas, y a cualquier otra circunstancia
que sea relevante para determinar el grado de antijuridicidad y de culpabilidad
presentes en la concreta actuación infractora.” Añade el apartado 5 del citado
artículo que “ Si, en razón de las circunstancias concurrentes, se apreciara una
cualificada disminución de la culpabilidad del imputado o de la antijuridicidad
del hecho, el órgano sancionador establecerá la cuantía de la sanción
aplicando la escala relativa a la clase de infracciones que preceda
inmediantamente en gravedad a aquella en que se integra la considerada en el
caso de que se trate”.
La aplicación con carácter excepcional del citado articulo exige la concurrencia
de, al amenos, uno de los siguientes requisitos: a) cualificada disminución de la
culpabilidad del imputado y b) cualificada disminución de la antijuridicidad del
hecho. En el supuesto que nos ocupa, no procede la aplicación de la previsión
contenida en el aludido artículo pues no concurren las circunstancias
necesarias para su aplicación, no obstante se impone la sanción en su cuantía
mínima de 60. 101, 22 €
Vistos los preceptos citados y demás de general aplicación
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: Imponer a la entidad Guia Telefax Anuario Profesional S.L, por una
infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal, tipificada como grave en el artículo
44.3.d) de dicha norma, una multa de 60.101, 21 € (sesenta mil ciento un euros
con veintiún céntimos), de conformidad con lo establecido en el artículo 45.2 de
la citada Ley Orgánica.
SEGUNDO: Notificar la presente resolución a GUIA TELEFAX ANUARIO
PROFESIONAL S.L, con domicilio en (C/ ................), y D. E.L.O, con domicilio
en (C/............)
Página 90 de 353
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla
efectiva en el plazo de pago voluntario que señala el artículo 20 del
Reglamento General de Recaudación aprobado por Real Decreto 1684/1990,
de 20 de diciembre, mediante su ingreso en la cuenta nº 0000 0000 00
0000000000 a nombre de la Agencia Española de Protección de Datos del
Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su
exacción por vía de apremio. Si recibe la notificación entre los días 1 y 15 de
cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta
el día 5 del mes siguiente o inmediato hábil posterior, y si recibe la notificación
entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será
hasta el 20 del mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003. de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
Ley Orgánica 15/1999, de 13 de diciembre), y de conformidad con lo
establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de
Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común, según la redacción dada por la Ley 4/1999, de 13 de
enero, que la modifica, los interesados podrán interponer, potestativamente,
recurso de reposición ante el Director de la Agencia Española de Protección
de Datos en el plazo de un mes a contar desde el día siguiente a la notificación
de esta resolución, o, directamente recurso contencioso administrativo ante la
Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo
dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta
de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 3 de marzo de 2005
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Página 91 de 353
Procedimiento Nº PS/00172/2005
RESOLUCIÓN: R/00919/2005
En el procedimiento sancionador PS/00172/2005, instruido por la Agencia
Española de Protección de Datos a la entidad a COMPAÑÍA DE SEGUROS DE
ASISTENCIA
SANITARIA,
ASOCIACIÓN
MÉDICO-QUIRÚRGICA
VALENCIANA DE SEGUROS (ASMEQUIVA), vista la denuncia presentada por
ILUSTRE COLEGIO DE ABOGADOS DE VALENCIA, y en base a los
siguientes,
ANTECEDENTES
PRIMERO: Con fecha 17/12/2004, tuvo entrada en esta Agencia Española de
Protección de Datos un escrito del Ilustre Colegio de Abogados de Valencia (en
lo sucesivo ICAV) en el que denunciaba que había tenido conocimiento de que
por parte de la Compañía de Seguros de Asistencia Sanitaria, Asociación
Médico-Quirúrgica Valenciana de Seguros (en lo sucesivo ASMEQUIVA) se
estaba realizando una campaña de captación de clientes entre los colegiados,
de la que adjunta copia de la circular recibida por uno de los destinatarios.
Dicho envío se hace, según se dice en dicha circular, amparándose en un
acuerdo de colaboración que esa Compañía dice tener con ICAV, apareciendo
el escudo del ICAV en el folleto informativo. Manifiesta que el ICAV no ha
firmado ningún acuerdo de colaboración con la entidad ASMEQUIVA, por lo
que es ajeno a la oferta que se está realizando.
En este sentido, denuncia, por un lado, la utilización ilegítima (incluso
fraudulenta) del nombre y escudo del ICAV y, por otro lado, una apariencia,
contraria a la realidad, de que el ICAV les ha cedido, en virtud del supuesto
convenio, su base de datos. Por otra parte manifiesta que, en el caso de que
los datos se hubieran extraído de la Guía Colegial, que es fuente de acceso
público, según dispone el art. 3.j) de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo
LOPD), debiera haberse cumplido por parte de ASMEQUIVA, con el deber de
información que preceptúa el artículo 5 apartado 5 in fine de la citada Ley.
SEGUNDO: En el marco de las actuaciones previas de investigación
practicadas por la Inspección de Datos esta Agencia para el esclarecimiento de
los hechos denunciados, se giró visita de Inspección a ASMEQUIVA, con fecha
21/04/2005, en la que se puso de manifiesto por parte del representante de
esta entidad lo siguiente:
ASMEQUIVA ofrece servicios de asistencia sanitaria a sus clientes, bien sean
particulares o bien sean miembros de colectivos con los que se mantiene un
acuerdo de colaboración o convenio específico, en cuyo caso ofrece
descuentos sobre los importes de las primas o servicios especiales. Estos
acuerdos o convenios se instrumentan por escrito o mediante acuerdo verbal.
Como parte de los acuerdos mencionados, la entidad hace llegar información
sobre sus servicios a los miembros de los colectivos implicados. Los envíos de
información pueden ser llevados a cabo de forma directa por la entidad o
proporcionando los documentos – trípticos informativos, por ejemplo – a los
responsables de dichos colectivos, para que éstos los hagan llegar a sus
Página 92 de 353
miembros utilizando sus propios medios y datos. En el caso de que lo haga
ASMEQUIVA utiliza normalmente los datos que le son proporcionados por los
responsables de los colectivos, si bien acude, en algunos casos, a las guías
profesionales editadas por dichas entidades, como pudiera ser un Colegio
Profesional. En ningún caso, se utilizan terceras entidades para las labores de
personalización, ensobrado y puesta en correo de los envíos.
Hasta el año 2004, ASMEQUIVA ha mantenido un acuerdo verbal de
colaboración con el ICAV por el cual ha ofrecido a sus miembros sus servicios
en condiciones preferentes. Como parte de dicho acuerdo, la entidad remitía
con regularidad – generalmente en el último trimestre del año – un escrito
detallando las condiciones y características de su oferta. Con carácter previo, el
documento confeccionado se remitía a uno de los responsables del Colegio a
fin de que diera el visto bueno a su difusión entre el colectivo. La última
remisión de escritos fue llevada a cabo en el último trimestre de 2004. Adjunta
ejemplares de las cartas remitidas a finales de los años 2002 y 2003.
A finales de 2004, a raíz de la incorporación de una nueva Junta de Gobierno,
dicha colaboración fue interrumpida por el ICAV de forma unilateral, hecho que
se produjo sin previo aviso y por causas ajenas a ASMEQUIVA. Por ese
motivo, y tras numerosos intentos de contacto, fue remitida una comunicación
por parte del abogado de ASMEQUIVA explicando la situación y manifestando
la completa disponibilidad de la entidad para resolver cualquier divergencia
existente. A día de hoy, la relación con el ICAV ha sido suspendida. Adjunta
copia del escrito mencionado.
Por otra parte, respecto al escrito que fue remitido a miembros del ICAV en el
último trimestre de 2004, accediendo al equipo en el que se confeccionó dicho
escrito así como los sobres con los datos de los destinatarios, se comprobó lo
siguiente:
1. Existe un fichero – hoja de cálculo en formato de la aplicación
Microsoft Excel – que contiene un total de 4125 registros en los que se recoge
la siguiente información: Nombre y apellidos, dirección postal y número de
colegiado. Dicho fichero consta como creado el 23 de febrero de 2004, y en el
mismo se comprueba que existe un registro con los siguientes datos: “****,
P.P.P., (C/......................................)”
2. Existe un fichero – documento de texto en formato de la aplicación
Microsoft Word – con el contenido de la circular remitida el último trimestre de
2004.
3. En los locales de la entidad se encuentra un ejemplar de la Guía de
Profesionales editada por el Colegio de Abogados de Valencia, en su edición
de 2004, en la que figura registrada la siguiente referencia: “****, 1998, P.P.P.,
(C/......................................), #######”.
TERCERO: En la circular que ASMEQUIVA remitió a los colegiados del ICAV,
no consta información sobre la procedencia de los datos personales obtenidos
para realizar los envíos con las ofertas de asistencia sanitaria, dentro del “Plan
Exclusivo de Salud”, tampoco consta la identidad del responsable del
tratamiento, ni los derechos que corresponden a los destinatarios al amparo de
la normativa de protección de datos.
CUARTO: A la vista del resultado de estas actuaciones previas de
investigación, el Director de la Agencia Española de Protección de Datos, con
Página 93 de 353
fecha 15/07/2005, acordó iniciar procedimiento sancionador a ASMEQUIVA por
la presunta infracción del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo
LOPD), tipificada como grave en el artículo 44.3.l) de dicha norma, pudiendo
ser sancionada con multa de 60.101, 21 € a 300.506, 05 €, de acuerdo con el
artículo 45.2 de la citada Ley Orgánica.
QUINTO: Con fecha 26/08/2005 tuvo entrada en esta agencia el escrito de
alegaciones de ASMEQUIVA al acuerdo de inicio del presente procedimiento
sancionador, en el que alega que los datos obtenidos para el envío de la
propuesta de contratación especial a determinados miembros del Colegio de
Abogados de Valencia es la propia guía de colegiados que dicha Corporación
edita y distribuye, a partir de la facultad establecida en el art. 30.1. de la LOPD,
si bien por una lamentable omisión, no se incluyó la coletilla relativa a la
información de derechos al destinatario. Expone que cuando se trata de
dirigirse a colectivos determinados de profesionales, se emplea la guía colegial,
precisamente con el fin de dirigir las comunicaciones a las señas profesionales
y con el fin de evitar en lo posible invadir ámbitos privados. Así, la compañía
AMESQUIVA procedió a una selección aleatoria de Colegiados,
confeccionando el correspondiente listado, que posteriormente serviría para el
etiquetado o remisión de la carta con la oferta de contratación y, terminado el
plazo de la oferta, el fichero fue destruido. Considera que el fichero no se ha
utilizado sino para la emisión de una oferta concreta de contratación, dentro del
objeto social de la compañía y, por tanto, amparado por la cobertura del
“interés legítimo”, sin que ello haya supuesto ninguna vulneración de derecho o
libertad fundamental del interesado receptor. En este sentido manifiesta que no
ha existido denuncia de ningún interesado dirigida ante esta Agencia, habiendo
sido incoado el procedimiento a partir del escrito del propio Colegio de
Abogados. Invoca la aplicación del artículo 45.5 de la LOPD.
SEXTO: En fecha 19/09/2005 se acuerda por la Instructora del procedimiento la
apertura de un período de práctica de pruebas en el que se dan por
reproducidas las actuaciones previas, realizadas al inicio del presente
procedimiento, además de incorporar los documentos generados y obtenidos
de la entidad denunciada, junto con sus alegaciones al acuerdo de inicio del
procedimiento.
SÉPTIMO: Concluido el período probatorio se inicia el trámite de audiencia, de
conformidad con lo previsto en el artículo 18.4 del Real Decreto 1332/1994, de
20 de junio, por el que se desarrolla la Ley Orgánica 5/1992, que continua en
vigor de conformidad con lo establecido en la disposición transitoria tercera de
la LOPD, en el que la entidad ASMEQUIVA se reitera en todo lo manifestado
en las alegaciones vertidas con anterioridad, reconociendo que si bien no se
hizo constar en la carta dirigida a los destinatarios de la oferta la cita relativa a
los derechos de acceso, rectificación y cancelación previstos en la LOPD,
manifiesta que, no obstante, tal referencia sí consta en los trípticos que se
adjuntan a dicha carta que contenía además la toma de datos o formulario cuya
suscripción por el destinatario, y posterior presentación en sus oficinas,
resultaba vinculante para la Compañía.
OCTAVO: Con fecha 30/11/2005 se emitió Propuesta de Resolución en el
sentido de que por el Director de la Agencia Española de Protección de Datos
Página 94 de 353
se sancionase a la entidad ASMEQUIVA con multa de 60.101,21 € (sesenta mil
ciento un euro con veintiún céntimos de euro) por la infracción del artículo 5.5
de la LOPD, tipificada como grave en el artículo 44.3.l) de dicha norma.
NOVENO: Con fecha 29/12/2005 ASMEQUIVA presenta alegaciones
reiterándose en lo manifestado con anterioridad e invocando la aplicación del
artículo 45.5 de la LOPD.
HECHOS PROBADOS
PRIMERO: La Compañía de Seguros de Asistencia Sanitaria, Asociación
Médico-Quirúrgica Valenciana de Seguros (ASMEQUIVA), remitió en el último
trimestre del año 2004 cartas dirigidas a los colegiados del Ilustre Colegio de
Abogados de Valencia, ofertándoles las condiciones del “Plan Exclusivo de
Salud” (Folio 4).
SEGUNDO: La Compañía de Seguros de Asistencia Sanitaria, Asociación
Médico-Quirúrgica Valenciana de Seguros (ASMEQUIVA) ha reconocido que
los envíos se realizaron a partir de la guía de colegiados del Ilustre Colegio de
Abogados de Valencia (Folio 47).
TERCERO: En dichos envíos no se informaba del origen de sus datos, de la
identidad del responsable del tratamiento ni de los derechos que les asisten de
acceso, rectificación, cancelación y oposición al tratamiento de sus datos de
carácter personal, de conformidad con lo dispuesto en la normativa de
protección de datos (Folio 4).
CUARTO: La Compañía de Seguros de Asistencia Sanitaria, Asociación
Médico-Quirúrgica Valenciana de Seguros (ASMEQUIVA), ha reconocido
expresamente que no se hizo constar en el envío de propuesta de contratación
especial la cita relativa a los derechos de acceso, rectificación y cancelación
previstos en la LOPD, pero que estos sí constaban en los trípticos que se
adjuntaban a los citados envíos, que constan en el expediente (Folios 58-59).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37.g) en relación con el artículo 36 de la LOPD.
II
Se imputa a ASMEQUIVA la posible comisión de una infracción del artículo 5.5
de la LOPD que dispone que: “No será de aplicación lo dispuesto en el
apartado anterior, cuando expresamente una ley lo prevea, cuando el
tratamiento tenga fines históricos, estadísticos o científicos, o cuando la
información
al
interesado
resulte
imposible
o
exija
esfuerzos
desproporcionados, a criterio de la Agencia de Protección de Datos o del
organismo autonómico equivalente, en consideración al número de
interesados, a la antigüedad de los datos y a las posibles medidas
compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos
procedan de fuentes accesibles al público y se destinen a la actividad de
publicidad o prospección comercial, en cuyo caso en cada comunicación que
se dirija al interesado se le informará del origen de los datos y de la identidad
del responsable del tratamiento así como de los derechos que le asisten” .
Página 95 de 353
De acuerdo con lo trascrito, ASMEQUIVA, al haber obtenido los datos de los
colegiados de una fuente de acceso público, debe informar a los interesados en
cada comunicación que les dirija de los extremos establecidos en el aludido
artículo 5.5.
En este sentido, la Sentencia del Tribunal Constitucional 292/2000 de 30 de
noviembre, al delimitar el contenido esencial del derecho fundamental a la
protección de los datos personales, ha considerado el derecho de información
como un elemento indispensable del derecho fundamental a la protección de
datos al declarar que: “el contenido del derecho fundamental a la protección de
datos consiste en un poder de disposición y de control sobre los datos
personales que faculta a la persona para decidir cuáles de esos datos
proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este
tercero recabar, y que también permite al individuo saber quién posee esos
datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos
poderes de disposición y control sobre los datos personales, que constituyen
parte del contenido del derecho fundamental a la protección de datos se
concretan jurídicamente en la facultad de consentir la recogida, la obtención y
el acceso a los datos personales, su posterior almacenamiento y tratamiento,
así como su uso o usos posibles, por un tercero, sea el Estado o un particular.
Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de
los datos personales, requiere como complementos indispensables, por un
lado, la facultad de saber en todo momento quién dispone de esos datos
personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse
a esa posesión y usos.
En fin, son elementos característicos de la definición constitucional del derecho
fundamental a la protección de datos personales los derechos del afectado a
consentir sobre la recogida y uso de sus datos personales y a saber de los
mismos. Y resultan indispensables para hacer efectivo ese contenido el
reconocimiento del derecho a ser informado de quién posee sus datos
personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso
requiriendo a quien corresponda que ponga fin a la posesión y empleo de los
datos. Es decir, exigiendo del titular del fichero que le informe de qué datos
posee sobre su persona, accediendo a sus oportunos registros y asientos, y
qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su
caso, requerirle para que rectifique o los cancele”(el subrayado es de la
Agencia Española de Protección de Datos).
En el presente caso, se ha comprobado que en las propuestas remitidas a los
colegiados no se incluían los extremos dispuestos en el citado artículo 5.5 de la
LOPD. Extremo por otro lado que ha sido reconocido por la propia entidad
denunciada, dejando así a los destinatarios sin la información precisa para, en
su caso, tener la posibilidad de ejercer los derechos que les asisten en materia
de protección de datos.
III
El artículo 44.3.l) de la LOPD considera infracción grave: “Incumplir el deber de
información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando
los datos hayan sido recabados de persona distinta al afectado”.
Página 96 de 353
De acuerdo con el contenido de dicho precepto, ASMEQUIVA ha incurrido en la
vulneración del artículo 5.5 de la LOPD, ya que no ha informado a los
interesados del origen de los datos, de la identidad del responsable del
tratamiento, ni de los derechos que les asisten, lo que conlleva la infracción del
citado artículo 44.3.l) de la citada Ley Orgánica.
IV
A tenor de lo establecido en el artículo el artículo 45.2, 4 y 5 de la LOPD
establece:
“2. Las infracciones graves serán sancionadas con multas de 60.101,21 € a
300.506,05 €”.
“4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los
derechos personales afectados, al volumen de los tratamientos efectuados, a
los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los
daños y perjuicios causados a las personas interesadas y a terceras personas,
y a cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.”
“5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada
disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el
órgano sancionador establecerá la cuantía de la sanción aplicando la escala
relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate”.
En relación con la aplicación del artículo 45.5 de la LOPD, la Audiencia
Nacional ha señalado, entre otras, en Sentencia de 27/10/2004, que “el citado
precepto concreta el principio de proporcionalidad (reconocido para el Derecho
administrativo sancionador, con carácter general, en el art. 131.3 de la Ley
30/1992), permitiéndose la disminución en un grado de la sanción aplicable en
casos de cualificada disminución de la culpa o de la antijuridicidad. Ahora bien,
la presente regla debe aplicarse con exquisita ponderación y sólo en casos en
los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas
atendidas las circunstancias del caso concreto, de forma que repugne a la
sensibilidad jurídica, siempre guiada por el valor de justicia (art. 1.1 CE), por
excepción, en casos muy extremos (de aquí la expresión “especialmente
cualificada”) y concretos. Pues bien, en el caso de autos, la Sala entiende que
dicho precepto no es de aplicación porque a la antijuridicidad no obsta la falta
de intención de infringir las normas jurídicas (Sentencia de la Sala de lo
Contencioso-Administrativo del Tribunal Supremo de 4 de junio de 1999), y ya
hemos razonado la falta de diligencia de la entidad recurrente”.
En el presente supuesto, ASMEQUIVA ha reconocido que omitió la información
exigida en el artículo 5.5, si bien recogió parte de esta información en los
trípticos adjuntos a las propuestas de contratación dirigidas a los colegiados.
En este sentido, dado que la entidad intentó parcialmente cumplir con las
obligaciones recogidas en el artículo 5.5 de la LOPD puede considerarse una
disminución cualificada de la antijuridicidad de los hechos denunciados, por lo
que procede la aplicación del artículo 45.5 de la LOPD.
Por otra parte, en relación a los criterios de graduación de las sanciones
previstos en el artículo 45.4 de la LOPD, y en especial en función de la
Página 97 de 353
ausencia de intencionalidad y de reincidencia acreditados a lo largo del
presente procedimiento, procede la imposición de una sanción de 6000 €.
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad COMPAÑÍA DE SEGUROS DE
ASISTENCIA
SANITARIA,
ASOCIACIÓN
MÉDICO-QUIRÚRGICA
VALENCIANA DE SEGUROS (ASMEQUIVA), por una infracción del artículo
5.5 de la LOPD, tipificada como grave en el artículo 44.3.l) de dicha norma, una
multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el
artículo 45.2,4 y 5 de la citada Ley Orgánica.
SEGUNDO: NOTIFICAR la presente resolución a COMPAÑÍA DE SEGUROS
DE ASISTENCIA SANITARIA, ASOCIACIÓN MÉDICO-QUIRÚRGICA
VALENCIANA
DE
SEGUROS
(ASMEQUIVA),
(C/..............................................), y a ILUSTRE COLEGIO DE ABOGADOS DE
VALENCIA, (C/...........................................).
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla
efectiva en el plazo de pago voluntario que señala el artículo 68 del
Reglamento General de Recaudación, aprobado por Real Decreto 939/2005,
de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre,
mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000
abierta a nombre de la Agencia Española de Protección de Datos en el Banco
Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su
recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15
de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la
notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo
del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
Página 98 de 353
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 9 de enero de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Página 99 de 353
Procedimiento Nº PS/00103/2005
RESOLUCIÓN: R/00576/2006
En el procedimiento sancionador PS/00103/2005, instruido por la Agencia
Española de Protección de Datos a la entidad EDITORIAL LEX NOVA, S.A,
vista la denuncia presentada por D. A.A.B., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha de 9/07/2004, tuvo entrada en la Agencia Española de
Protección de Datos un escrito remitido por D. A.A.B. (en lo sucesivo el
denunciante), en el que manifiesta que, en fecha 14/05/2004, recibió una carta
con franqueo pagado y logotipo y dirección de la EDITORIAL LEX NOVA, S.A.
(en lo sucesivo Editorial Lex Nova), que contenía un tríptico publicitario de unas
bases de datos jurídicas editadas por esa editorial.
El denunciante manifiesta que no ha autorizado a dicha editorial para el envío
de publicidad, ni le ha facilitado dato personal alguno.
El denunciante envió un correo electrónico exponiendo la queja a Editorial Lex
Nova, que contestó, mediante burofax, informándole que sus datos fueron
obtenidos del listado del Ilustre Colegio de Abogados de (.......) y que procedían
a su cancelación.
El denunciante manifiesta que no ha vuelto a recibir más publicidad de Editorial
Lex Nova.
SEGUNDO : Iniciadas actuaciones previas de investigación por parte de la
Inspección de Datos, de la documentación aportada por el denunciante, se
desprende que recibió un sobre a su nombre y dirección postal en (.......),
“C/.......................”. En el encabezamiento de dicho sobre figura, junto al
logotipo, “Editorial Lex Nova S.A., C/......................., Tfno .: #######1, Fax.:
#######2, www............., e-mail:...........@..........”, y franqueo pagado.
El envío contenía información publicitaria y un “Boletín de pedido”, en el que se
informaba sobre los derechos que señala artículo 5.1 de la Ley Orgánica
15/1999, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal (en lo sucesivo LOPD). Sin embargo, no consta la
información a que se refiere el artículo 5.5, párrafo segundo, de la LOPD, en lo
que respecta al origen de los datos.
TERCERO : Del análisis de la información y documentación remitida por la
sociedad Editorial Lex Nova, se acredita que los datos del denunciante tienen
su origen en la “Guía del Ilustre Colegio de Abogados de (.......)”,
correspondiente a la versión editada en el año 2002, figurando el denunciante
como abogado ejerciente. El citado colegio ha informado que la nueva edición
de la citada guía se editó y empezó a distribuirse a partir de octubre de 2004.
En la guía, también disponible en Internet, se ha verificado, con fecha de
27/08/2004, que los datos del denunciante figuran en la misma.
El envío comercial se realizó entre el 12 y el 23/04/2004, y el número de
destinatarios ascendió a 93.311, manifestando el denunciante que lo recibió el
14/05/2004.
Página 100 de 353
Consta que el denunciante se puso en contacto con la Editorial Lex Nova el
15/05/2004 por correo electrónico. Mediante burofax, en fecha 20/05/2004,
Editorial Lex Nova dio respuesta al denunciante, informándole de que se ha
procedido a la cancelación de sus datos. En este sentido, la Inspección de
Datos ha acreditado que los datos del denunciante se encuentran cancelados
desde el día 17/05/2004, día siguiente hábil a la recepción del correo
electrónico por parte de Editorial Lex Nova.
Asimismo, consta que Editorial Lex Nova tiene declarado en el Registro
General de Protección de Datos el fichero denominado “EXPROMOC”, en el
que constaban los datos del denunciante.
CUARTO : En fecha 21/03/2006, el Director de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a la Editorial Lex
Nova, por presunta infracción del artículo 5.5 de la LOPD, tipificada como grave
en el artículo 44.3.l) de dicha norma, pudiendo ser sancionada con multa de
60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley
Orgánica.
QUINTO : En fecha 25/04/2006, se acordó iniciar el período de práctica de
pruebas, transcurrido el cual, se inició la fase de audiencia notificando a
Editorial Lex Nova la relación de documentos que obran en el expediente, al
objeto de tomar vista y copia de los mismos.
SEXTO : En fecha 26/04/2006, Editorial Lex Nova presentó alegaciones al
acuerdo de inicio, argumentando, en síntesis, que los datos del denunciante
utilizados para el envío postal proceden del fichero denominado “EXPROMOC”,
cuyos datos se obtienen de fuentes de acceso público, como son las guías
facilitadas por los Colegios Profesionales, calificadas como tal en el artículo 3.j)
de la LOPD.
En el caso concreto de los datos del denunciante, estos procedían de la guía
de abogados ejercientes pertenecientes al Ilustre Colegio de Abogados de
(.......), de la que se excluyeron para realizar el envío publicitario a aquellos que
habían manifestado su voluntad de que sus datos no fueran utilizados con fines
promocionales. Dicha guía era la vigente a fecha del envío, la cual fue
renovada en octubre de 2004.
En cuanto a la información que se proporcionó al denunciante en el envío
postal, fue la siguiente :
“Salvo que específicamente se establezca lo contrario, se considera necesario
completar todos los datos requeridos en el formulario de forma verdadera,
exacta, completa y actualizada. En caso contrario, Lex Nova podrá,
dependiendo del caso, no proceder al registro del usuario o bien denegar el
servicio o producto concreto solicitado. Los datos de carácter personal que nos
facilite serán incorporados a un fichero, debidamente inscrito en el Registro
General de Protección de Datos, cuyo titular y responsable es Lex Nova (NIF
**********), con domicilio en la C/......................., llevando a cabo un tratamiento
automatizado con la finalidad de mantener la relación negocial, así como
remitirle información comercial de nuestros productos y servicios. No obstante,
de conformidad con la normativa de protección de datos, puede ejercer sus
Página 101 de 353
derechos de acceso, rectificación, cancelación u oposición, dirigiendo una
comunicación escrita a la dirección anteriormente citada, en la que se acredite
su identidad. Se advierte que la aceptación de la presente cláusula implica,
además, su consentimiento para recibir comunicaciones comerciales realizadas
a través de correo electrónico. En su caso, puede oponerse a este tratamiento
y revocar el consentimiento prestado para lo cual es suficiente con dirigir una
comunicación escrita al domicilio de Lex Nova o mediante correo electrónico a
la dirección: ...........@........... La aceptación de la presente cláusula implica,
asimismo, su consentimiento para comunicar sus datos a la Distribuidora
Jurídica Novadix, S.L, la cual los tratará con la finalidad de hacerle llegar
información comercial exclusivamente sobre nuestros productos y servicios de
contenido jurídico. La dirección de esta entidad es C/......................., donde
igualmente podrá ejercitar sus derechos”.
Editorial Lex Nova añade, que en la contestación al e-mail del denunciante de
fecha 17/05/2006, se le informó mediante burofax de fecha 19/05/2004, la
cancelación de sus datos, así como que “el origen de sus datos es la Guía de
Abogados de (.......) de 2002, apareciendo sus datos bajo el epígrafe de
Abogados ejercientes. Según establece el artículo 3 de la Ley 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Persona se da el carácter de
fuente accesible al público a las listas de personas pertenecientes a grupos
profesionales, como es el caso”, por lo que el denunciante supo, en todo
momento, que el origen de sus datos fue la Guía de Abogados de (.......)
correspondiente al año 2002.
Por último, Editorial Lex Nova, solicita, en su caso, rebajar la cuantía de la
sanción a la indicada para las infracciones leves.
SÉPTIMO : En fecha 14/07/2006, se emitió Propuesta de Resolución en el
sentido de que por el Director de la Agencia Española de Protección de Datos
se sancione a EDITORIAL LEX NOVA, S.A, con multa de 6000 € (seis mil
euros) por la infracción del artículo 5.5 de la LOPD, tipificada como grave en el
artículo 44.3.l) de dicha norma.
OCTAVO : En fecha 25/07/2006, Editorial Lex Nova presenta alegaciones a la
Propuesta de Resolución, reiterando las ya formuladas durante el presente
procedimiento sancionador.
HECHOS PROBADOS
PRIMERO .- Con fecha de 9/07/2004, tuvo entrada en la Agencia Española de
Protección de Datos un escrito remitido por D. A.A.B. en el que manifiestaba
que, en fecha 14/05/2004, recibió una carta con franqueo pagado y logotipo y
dirección de la Editorial Lex Nova, que contenía un tríptico publicitario de unas
bases de datos jurídicas editadas por esa editorial (folios 1 a 8).
SEGUNDO .- No consta que D. A.A.B. haya autorizado a dicha editorial para el
envío de publicidad, ni haya facilitado dato personal alguno.
TERCERO .- D. A.A.B. envió, en fecha 15/05/2004, un correo electrónico
solicitando la cancelación de sus datos y el origen de los mismos a Editorial
Lex Nova que contestó el 17/05/2004, mediante burofax, que sus datos fueron
obtenidos del listado del Ilustre Colegio de Abogados de (.......) correspondiente
Página 102 de 353
a 2002 y que procedían a su cancelación (folios 29 a 32). Consta que los datos
de D. A.A.B. fueron cancelados del fichero de Editorial Lex Nova en fecha
17/05/2004, día siguiente hábil a la recepción del correo electrónico solicitando
la cancelación.
CUARTO .- D. A.A.B. manifiesta que no ha vuelto a recibir más publicidad de
Editorial Lex Nova (folio 2).
QUINTO .- Los datos de D. A.A.B. fueron obtenidos por Editorial Lex Nova, e
incorporados al fichero denominado “EXPROMOC” del que es responsable, de
la guía de profesionales del Ilustre Colegio de Abogados de (.......) en su
edición de 2002, vigente a fecha del envío (folios 9 a 11).
SEXTO .- En el envío publicitario recibido por D. A.A.B. en fecha 14/05/2004,
remitido por Editorial Lex Nova, no figura el origen de sus datos (folios 3 a 6 y
12).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
Se imputa a Editorial Lex Nova la posible comisión de una infracción del
artículo 5.5 de la LOPD, que dispone lo siguiente :
“5. No será de aplicación lo dispuesto en el apartado anterior cuando
expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos,
estadísticos o científicos, o cuando la información al interesado resulte
imposible o exija esfuerzos desproporcionados, a criterio de la Agencia
Española de Protección de Datos o del organismo autonómico equivalente, en
consideración al número de interesados, a la antigüedad de los datos y a las
posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos
procedan de fuentes accesibles al público y se destinen a la actividad de
publicidad o prospección comercial, en cuyo caso en cada comunicación que
se dirija al interesado se le informará del origen de los datos y de la identidad
del responsable del tratamiento así como de los derechos que le asisten” (el
subrayado es de la Agencia Española de Protección de Datos).
A tenor literal del segundo párrafo del artículo 5.5 transcrito, Editorial Lex Nova
debió informar al denunciante en el propio envío publicitario sobre el origen se
sus datos. Sin embargo, consta acreditado que tal información se le remitió con
posterioridad al envío, y a raíz de la solicitud realizada por el denunciante en
fecha 15/05/2004, toda vez que en el texto informativo que figuraba en el propio
envío, recibido el 14/05/2004, no la contemplaba.
En el mismo sentido, el artículo 30.2 de la citada LOPD, establece:
“Cuando los datos procedan de fuentes accesibles al público, de conformidad
con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada
comunicación que se dirija al interesado se informará del origen de los datos y
de la identidad del responsable del tratamiento, así como de los derechos que
le asisten”.
Página 103 de 353
La obligación que impone este artículo 5 es, por tanto, la de informar al
afectado en la recogida de datos, pues sólo así queda garantizado el derecho
del afectado a tener una apropiada información y a consentir o no el
tratamiento, en función de aquélla.
En este sentido, la Sentencia del Tribunal Constitucional 292/2000, al delimitar
el contenido esencial del derecho fundamental a la protección de los datos
personales, ha considerado el derecho de información como un elemento
indispensable del derecho fundamental a la protección de datos al declarar
que: “... el contenido del derecho fundamental a la protección de datos consiste
en un poder de disposición y de control sobre los datos personales que faculta
a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el
Estado o un particular, o cuáles puede este tercero recabar, y que también
permite al individuo saber quién posee esos datos personales y para qué,
pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y
control sobre los datos personales, que constituyen parte del contenido del
derecho fundamental a la protección de datos se concretan jurídicamente en la
facultad de consentir la recogida, la obtención y el acceso a los datos
personales, su posterior almacenamiento y tratamiento, así como su uso o usos
posibles, por un tercero, sea el Estado o un particular. Y ese derecho a
consentir el conocimiento y el tratamiento, informático o no, de los datos
personales, requiere como complementos indispensables, por un lado, la
facultad de saber en todo momento quién dispone de esos datos personales y
a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa
posesión y usos.
En fin, son elementos característicos de la definición constitucional del derecho
fundamental a la protección de datos personales los derechos del afectado a
consentir sobre la recogida y uso de sus datos personales y a saber de los
mismos. Y resultan indispensables para hacer efectivo ese contenido el
reconocimiento del derecho a ser informado de quién posee sus datos
personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso
requiriendo a quien corresponda que ponga fin a la posesión y empleo de los
datos. Es decir, exigiendo del titular del fichero que le informe de qué datos
posee sobre su persona, accediendo a sus oportunos registros y asientos, y
qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su
caso, requerirle para que rectifique o los cancele.”
Cabe concluir que la vigente LOPD ha acentuado las garantías precisas para el
tratamiento de los datos personales, vinculando el consentimiento del afectado
a la información previa que reciba. En este sentido, cuando el tratamiento se
realice exclusivamente con fines de publicidad y de prospección comercial, y
los datos se hayan obtenido de fuentes accesibles al público, bastará con que,
en cumplimiento de lo dispuesto en el artículo 5.5 de la LOPD, en cada
comunicación que se dirija al interesado, se le informe del origen de los datos y
de la identidad del responsable del tratamiento así como de los derechos que le
asisten.
En este caso, ha quedado acreditado que el envío publicitario que recibió el
denunciante, remitido por Editorial Lex Nova, no contenía la indicación recogida
Página 104 de 353
en el precitado artículo 5.5 de la LOPD, correspondiendo a dicha entidad
responder de su incumplimiento por ser la empresa responsable del mismo.
III
El artículo 44.3.l) de la LOPD considera infracción grave: “Incumplir el deber de
información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando
los datos hayan sido recabados de persona distinta al afectado”.
De acuerdo con lo señalado en el Fundamento de derecho anterior, Editorial
Lex Nova incurrió en una infracción del artículo 5.5.de la LOPD, que encuentra
su tipificación en el artículo 44.3.l) de dicha Ley Orgánica.
IV
El artículo el artículo 45.2, 4 y 5 de la LOPD establece:
“2. Las infracciones graves serán sancionadas con multas de 60.101,21 € a
300.506,05 €”.
“4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los
derechos personales afectados, al volumen de los tratamientos efectuados, a
los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los
daños y perjuicios causados a las personas interesadas y a terceras personas,
y a cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.”
“5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada
disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el
órgano sancionador establecerá la cuantía de la sanción aplicando la escala
relativa a la clase de infracciones que preceda inmediantamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate”.
La aplicación con carácter excepcional del artículo 45.5 exige la concurrencia
de, al menos, uno de los siguientes requisitos: a) Disminución de la culpabilidad
del imputado y b) Disminución de la antijuricidad del hecho.
En el presente caso, se aprecia que concurre una disminución cualificada de la
culpabilidad porque, a pesar de que el envío publicitario carecía de la
información acerca del origen de los datos del denunciante, Editorial Lex Nova
procedió a cancelar sus datos y aplicación del artículo 45.5 de la LOPD.
Asimismo, teniendo en cuenta los criterios de graduación de las sanciones
recogidos en el artículo 45.4 citado y, en especial, en relación a la falta de
intencionalidad y de reincidencia acreditada en el presente procedimiento
sancionador, procede imponer una sanción de 6.000 €.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad EDITORIAL LEX NOVA, S.A, por una
infracción del artículo 5.5 de la LOPD, tipificada como grave en el artículo
44.3.l) de dicha norma, una multa de 6000 € (seis mil euros) de conformidad
con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO : NOTIFICAR la presente resolución a EDITORIAL LEX NOVA,
S.A,
(C/.......................................................),
y
a
D.
A.
A
.B.,
(C/.....................…......................).
Página 105 de 353
TERCERO : Advertir al sancionado que la sanción impuesta deberá hacerla
efectiva en el plazo de pago voluntario que señala el artículo 68 del
Reglamento General de Recaudación, aprobado por Real Decreto 939/2005,
de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre,
mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000
abierta a nombre de la Agencia Española de Protección de Datos en el Banco
Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su
recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15
de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la
notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo
del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 7 de septiembre de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Página 106 de 353
Procedimiento Nº PS/00334/2005
RESOLUCIÓN: R/00681/2006
En el procedimiento sancionador PS/00334/2005, instruido por la Agencia
Española de Protección de Datos a las entidades TECNOCRÉDIT, S.A.,
DOMCA INVESTIGADORES, S.L. y COLEGIO DE ABOGADOS DE HUELVA ,
vista la denuncia presentada por D. S.M.S., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 28/02/2005, tuvo entrada en esta Agencia un escrito de
D. S.M.S. (en lo sucesivo el denunciante), por el que denuncia a las entidades
Domca Investigadores, S.L. (en lo sucesivo Domca) y Tecnocredit, S.A. (en lo
sucesivo Tecnocredit) por haberle remitido publicidad sin su consentimiento.
Aporta copia de las dos comunicaciones postales que recibió de las citadas
entidades:
- La comunicación de Tecnocredit contiene un escrito, datado en noviembre de
2004, en el que se promociona el crédito “BS Crediopen”.
- La comunicación de Domca contiene información sobre la apertura de un
nuevo despacho profesional en (......) y sobre las actividades de la empresa,
consistentes en labores de investigación y peritaje.
SEGUNDO: Solicitada información a Domca sobre los hechos denunciados,
dicha entidad manifestó, en escritos de fechas de entrada en esta Agencia de
29/07/2005 y 27/03/2006, que es una empresa dedicada a la investigación
mercantil y a las peritaciones judiciales, que los datos utilizados para sus
envíos son públicos y pueden obtenerse en los Colegios de Abogados de cada
provincia, previa acreditación profesional del solicitante. En concreto, los datos
del denunciante se los facilitó el Ilustre Colegio de Abogados de Huelva (en lo
sucesivo el Colegio), en virtud de la solicitud realizada al Colegio con fecha
25/10/2004, para informar a los colegiados de la nuevas oficinas de Domca en
(.....), y fueron utilizados para remitirle la citada información. Aporta copia del
listado que le facilitó el Colegio en el que figuran los datos del denunciante.
TERCERO: Asimismo, se solicitó información a Tecnocredit que señaló que los
datos del denunciante se los facilitó el Colegio, en virtud del convenio de
colaboración firmado con fecha 14/05/2003.
CUARTO: Se solicitó información al Colegio que, en escrito de registro de
entrada de fecha 25/10/2005, manifestó que con fecha 14/05/2003 suscribió un
convenio con Tecnocredit para difundir una serie de servicios y productos
financieros. Los colegiados han sido informados del citado convenio a través de
la página web del Colegio, en la que se publica, y a través de un escrito que se
remitió a los domicilios postales de los colegiados. El denunciante no ha
manifestado su deseo de que sus datos no sean tratados con fines de
publicidad o de prospección comercial.
Asimismo, en escrito de fecha de registro de entrada de 27/03/2006, declaró
que el Colegio no tiene editado ningún tipo de anuario profesional, que
Página 107 de 353
únicamente posee el fichero de colegiados inscrito en el Registro General de
Protección de Datos de la Agencia, que la información que facilita es fuente de
acceso público y se facilita a personas o entidades directamente relacionados
con las funciones de la abogacía, que deben rellenar un documento en el que
deben indicar el destino y el uso que se dará a la información.
QUINTO: Se consultó, con fechas 24/08/2005 y 28/10/2005, las guías “Páginas
Blancas” y “Páginas Amarillas” accesibles a través de internet, constatándose
que en las mismas no se publican los datos del denunciante.
SEXTO: Con fecha 19/04/206, el Director de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador al Colegio,
Domca y Tecnocredit con arreglo a lo dispuesto en el artículo 18.1 del Real
Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados
aspectos de la Ley Orgánica 5/1999, que continua en vigor de conformidad con
lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo
sucesivo LOPD), en concreto al Colegio por la presunta infracción del artículo
11.1 de la citada Ley Orgánica, tipificada como muy grave en el artículo 44.4.b),
pudiendo ser sancionada con multa de 300.506,05 € a 601.012,10 €, de
acuerdo con el artículo 45.3 de la LOPD, y a Domca y Tecnocredit por la
presunta infracción del artículo 6.1 de la citada Ley Orgánica, tipificada como
grave en el artículo 44.3.d), pudiendo ser sancionada con multa de 60.101,21 €
a 300.506,05 €, de acuerdo con el artículo 45.2 de la LOPD.
SÉPTIMO: Notificado el citado acuerdo de inicio, Tecnocredit formuló
alegaciones en las que adujo que el Colegio le facilitó los datos del
denunciante, que el Colegio es el que debió obtener el consentimiento de los
colegiados y que todos los colegiados fueron informados del convenio suscrito
entre el Colegio y Tecnocredit, por lo que considera que no se ha producido
ninguna vulneración del artículo 6 de la LOPD.
Domca presentó alegaciones en las que manifestó que se remitió al
denunciante una comunicación relacionada con el mundo del derecho, que el
denunciante no se ha opuesto a recibir comunicaciones, que los datos del
denunciante se los facilitó el Colegio y que tales datos son públicos, de acuerdo
con el artículo 3.j) de la LOPD.
Por su parte, el Colegio manifestó lo siguiente:
• El Colegio elabora anualmente un listado de Colegiados al que sólo se
incorporan los datos recogidos en el artículo 3.j) de la LOPD.
• El denunciante se encuentra colegiado desde 1996 y sus datos personales se
encuentran incluidos en el último listado del Colegio.
• El denunciante no se ha opuesto al tratamiento de sus datos con fines
publicitarios.
• El denunciante facilitó al Colegio su consentimiento para la cesión de sus
datos personales cuando se colegió y recibió, con anterioridad a su denuncia,
una carta de Tecnocredit en la que se le informaba que los datos procedían del
Colegio, sin que se hubiera opuesto al tratamiento.
• Los datos del denunciante aparecen publicados en la página web del Consejo
General de la Abogacía, que contiene el censo de todos los abogados de
España, y también se encuentran incluidos en la última edición de la lista
Página 108 de 353
Oficial de Abogados de Andalucía, publicada por el Consejo Andaluz de
Colegios de Abogados de Andalucía con fecha 1997.
• El denunciante solicitó el archivo de las actuaciones.
• El fichero del Colegio es un fichero público por lo que las infracciones
deberían sancionarse de acuerdo con lo dispuesto en el artículo 46 de la
LOPD.
OCTAVO: En fecha 26/04/2006, se acordó por la instructora del procedimiento
la apertura de un período de práctica de pruebas, en el que se accedió a la
página web del Consejo General de la Abogacía, que contiene el censo de
colegiados de los Colegios de Abogados de toda España, en la que se informa
que “el Censo está sujeto a la Ley Orgánica de Protección de Datos en virtud
de la cual estos datos no podrán usarse para fines comerciales, publicidad o
prospección comercial de los datos de contacto, se requiere el consentimiento
expreso de los colegiados, salvo los supuestos recogidos en la ley”. Se
constató que el acceso a los datos contenidos en el referido Censo se realiza
de forma individualizada, introduciendo previamente los datos de nombre y
apellidos del colegiado, así mismo se constató que introduciendo los datos de
nombre y apellidos del denunciante se accede al registro que contiene sus
datos personales.
Se solicitó información al Consejo Andaluz de Colegios de Abogados, que
señaló que el Consejo ha editado un único listado de profesionales en el año
1997 y que dicho listado no está actualizado ni se encontraba vigente en los
años 2003 y 2004. Asimismo aportó la citada lista en cuya página 932 figuran
los datos del denunciante como colegiado no ejerciente.
Durante el período probatorio del procedimiento el denunciante ratificó lo
alegado por el Colegio en relación al acuerdo de inicio, declarando que facilitó
al Colegio su consentimiento expreso para el tratamiento de sus datos
personales en todos sus términos, lo que incluye la remisión de las cartas que
recibió en su domicilio. Asimismo, declaró que le consta que se encuentra
disponible al público en la sede del Colegio un listado de colegiados, que
contiene sus datos personales, y que nunca solicitó al Colegio que se incluyera
en el referido listado la indicación de que sus datos no fueran utilizados con
fines publicitarios.
NOVENO: Concluido el período probatorio se inició el trámite de audiencia, de
conformidad con lo establecido en el artículo 18.4 del citado Real Decreto
1332/1994, en el que Domca formuló alegaciones en las que manifestó que los
datos del denunciante figuran en fuentes accesibles al público.
Por su parte, Tecnocredit manifestó, en resumen, que la cesión de datos se
encontraba consentida por el denunciante.
El Colegio no formuló alegaciones al respecto.
DÉCIMO: Con fecha 07/09/2006, se formuló propuesta de resolución en el
sentido de que por el Director de la Agencia Española de Protección de Datos
se exonere de responsabilidad al Ilustre Colegio de Abogados de Huelva, a
Página 109 de 353
Tecnocredit, S.A. y a Domca Investigadores, S.L. de los hechos que se imputan
en el presente procedimiento, dándose traslado para alegaciones, sin que se
hayan formulado alegaciones al respecto.
HECHOS PROBADOS
PRIMERO: D. S.M.S. se encuentra colegiado en el Colegio de Abogados de
Hueva desde 1996 (folio 120).
SEGUNDO: D. S.M.S. recibió en su domicilio postal dos envíos publicitarios,
uno de Tecnocredit, S.A., conteniendo un escrito, datado en noviembre de
2004, en el que se promociona el crédito “BS Crediopen”, y otro de Domca
Investigadores, S.L. conteniendo información sobre la apertura de un nuevo
despacho profesional en (.....) y sobre las actividades de la empresa,
consistentes en labores de investigación y peritaje (folios 2 a 11).
TERCERO: El Colegio de Abogados de Huelva facilitó a Tecnocredit, S.A. los
datos de D. S.M.S., en virtud del convenio de colaboración firmado entre
ambas entidades, con fecha 14/05/2003 (folios 35 a 42).
CUARTO: El Colegio de Abogados de Huelva facilitó a Domca Investigadores,
S.L. los datos de D. S.M.S., en virtud de la solicitud realizada por ésta con
fecha 25/10/2004 (folio 56).
QUINTO: Durante el período probatorio del procedimiento el denunciante
ratificó lo declarado por el Colegio en relación al acuerdo de inicio, declarando
que facilitó al Colegio su consentimiento expreso para el tratamiento de sus
datos personales en todos sus términos, lo que incluye la remisión de las cartas
que recibió en su domicilio. Asimismo, declaró que le consta que se encuentra
disponible al público en la sede del Colegio un listado de colegiados, que
contiene sus datos personales, y que nunca solicitó al Colegio que se incluyera
en el referido listado la indicación de que sus datos no fueran utilizados con
fines publicitarios (folios 170 a 172 y 190).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
El artículo 11, 1 y 2, de la LOPD dispone lo siguiente:
“1. Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el
previo consentimiento del interesado”.
“2. El consentimiento exigido en el apartado anterior no será preciso:
Página 110 de 353
a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros. En
este caso la comunicación sólo será legítima en cuanto se limite a la finalidad
que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será
preciso el consentimiento cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por
objeto el tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o
para realizar los estudios epidemiológicos en los términos establecidos en la
legislación sobre sanidad estatal o autonómica” (el subrayado es de la Agencia
Española de Protección de Datos).
El artículo 6.1 y 2 de la LOPD, dispone:
”1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa”.
“2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones
Públicas en el ámbito de sus competencias; cuando se refieran a las partes de
un contrato o precontrato de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento
de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos
figuren en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o por
el del tercero a quien se comuniquen los datos, siempre que no se vulneren los
derechos y libertades fundamentales del interesado” (el subrayado es de la
Agencia Española de Protección de Datos).
El tratamiento de datos sin consentimiento de los afectados constituye un límite
al derecho fundamental a la protección de datos. Este derecho, en palabras del
Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre,
Fundamento Jurídico 7 primer párrafo, “(...) consiste en un poder de disposición
y de control sobre los datos personales que faculta a la persona para decidir
cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o
cuáles puede este tercero recabar, y que también permite al individuo saber
quién posee esos datos personales y para qué, pudiendo oponerse a esa
posesión o uso. Estos poderes de disposición y control sobre los datos
personales, que constituyen parte del contenido del derecho fundamental a la
protección de datos se concretan jurídicamente en la facultad de consentir la
recogida, la obtención y el acceso a los datos personales, su posterior
Página 111 de 353
almacenamiento y tratamiento, así como su uso o usos posibles, por un
tercero, sea el estado o un particular (...).
Son pues elementos característicos del derecho fundamental a la protección de
datos personales, los derechos del afectado a consentir sobre la recogida y uso
de sus datos personales y a saber de los mismos.
El tratamiento de datos de carácter personal tiene que contar con el
consentimiento del afectado o, en su defecto, debe acreditarse que los datos
provienen de fuentes accesibles al público, que existe una Ley que ampara ese
tratamiento o una relación contractual o negocial entre el titular de los datos y el
responsable del tratamiento que sea necesaria para el mantenimiento del
contrato.
La LOPD señala en su artículo 3.c) e i) lo siguiente:
“c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias”.
“i) Cesión o comunicación de datos: toda revelación de datos realizada a una
persona distinta del interesado” (el subrayado es de la Agencia Española de
Protección de Datos).
El citado Real Decreto 1332/1994 considera cesión de datos “toda obtención de
datos resultante de la consulta de un fichero, su interconexión con otros
ficheros y la comunicación de datos realizada por una persona distinta de la
afectada”.
La Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de
1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos, se
refiere en su artículo 2.b) a la cesión dentro de la definición del tratamiento de
datos, y la define como “comunicación por transmisión, difusión o cualquier otra
forma que facilite el acceso de los datos, cotejo o interconexión.”
III
En el caso examinado, ha quedado acreditado que el Colegio cedió los datos
del denunciante a Tecnocredit y a Domca, sin embargo también ha quedado
acreditado que el denunciante facilitó su consentimiento para que el Colegio
tratara y pudiera facilitar sus datos personales, por lo que la cesión de datos
que el Colegio realizó a Tecnocredit y a Domca para la remisión de los envíos
publicitarios al denunciante contaban con su consentimiento inequívoco.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: EXONERAR de responsabilidad al COLEGIO DE ABOGADOS DE
HUELVA, a TECNOCREDIT, S.A. y a DOMCA INVESTIGADORES, S.L. por
los hechos que se imputan en el presente procedimiento.
Página 112 de 353
SEGUNDO: NOTIFICAR la presente resolución a TECNOCRÉDIT, S.A.,
(C/...........................................),
DOMCA
INVESTIGADORES,
S.L.,
(C/...........................................), ILUSTRE COLEGIO DE ABOGADOS DE
HUELVA,
(C/...........................................),
y
a
D.
S.M.S.,
(C/...........................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 27 de septiembre de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Página 113 de 353
Procedimiento Nº PS/00071/2006
RESOLUCIÓN: R/00845/2006
En el procedimiento sancionador PS/00071/2006, instruido por la Agencia
Española de Protección de Datos a D. A.V.R., D. A.V.P., D. F.Y.H., D. M.B.S. y
al bufete de abogados “J.Y.H.-C.” , vista la denuncia presentada por D. T.P.L.,
y en base a los siguientes,
ANTECEDENTES
PRIMERO: En fecha 31/05/2004, tuvo entrada en esta Agencia un escrito
remitido por D. T.P.L. (en lo sucesivo el denunciante), en el que manifiesta lo
siguiente:
El denunciante adquirió un determinado número de acciones de la sociedad
Artscapital Investment, S.A. (en lo sucesivo Artscapital), entidad de la que era a
su vez también accionista, a otros cuatro accionistas de la misma. La
compraventa de las citadas acciones se formalizó en contrato privado, de fecha
23/01/2004.
Los vendedores, que se desprendieron en la citada operación de compraventa
de la totalidad de las acciones de Artscapital, fueron D. A.V.R., D. A.V.P., D.
F.Y.H. y D. M.B.S..
Suscitadas con posterioridad controversias sobre las circunstancias de la
compraventa de acciones, los vendedores, a través del bufete de abogados
“J.Y.H.-C.” , informaron de los detalles de la compraventa, así como de las
acciones jurídicas a tomar en defensa de sus derechos al resto de accionistas
de la citada sociedad, utilizando, a tal efecto, la dirección electrónica de cada
uno de ellos entre la que figuraba la correspondiente al denunciante, en
concreto “.....A...@.......”. Dicho correo electrónico se envió en fecha
27/05/2004.
Según manifiesta el denunciante, nunca ha autorizado a los vendedores el
tratamiento de su dirección de correo electrónico.
SEGUNDO: Iniciadas actuaciones previas de investigación con el fin de aclarar
los hechos denunciados, la Inspección de Datos requirió a “J.Y.H.-C.” para que
justificara la procedencia de los datos del denunciante y su consentimiento para
el tratamiento de los mismos, llevado a cabo para el envío del citado correo
electrónico de fecha 27/05/2004.
En fecha 21/01/2005, “J.Y.H.-C.” contesta a esta Agencia, que las acciones
objeto de compraventa tienen el carácter nominativo y, por lo tanto, se hallan
sujetas a lo establecido en los artículos 55 y 56 de la Ley de Sociedades
Anónimas, Texto Refundido aprobado por Real Decreto Legislativo 1564/1989,
de 22 de diciembre (en lo sucesivo L.S.A). Asimismo, el artículo 11.2 de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (en lo sucesivo LOPD), dispone que “el consentimiento exigido en el
apartado anterior no será preciso : a) cuando la cesión esté autorizada en una
Ley” .
En este sentido, manifiestan que el denunciante tiene la condición de accionista
de Artscapital, por lo que el contenido del correo enviado al resto de accionistas
informando, entre otros aspectos, sobre la compra de las citadas acciones y el
ejercicio de sus derechos en sede judicial, está amparada en los citados
artículos de la L.S.A.
Página 114 de 353
Por otra parte, “J.Y.H.-C.” manifiesta que el artículo 6.2 de la LOPD exime del
consentimiento para el tratamiento de datos de carácter personal “cuando ... se
refieran a las partes de un contrato ... y sean necesarios para su mantenimiento
o cumplimiento”. En el presente caso, los datos del denunciante y los de los
accionistas, vendedores de las acciones nominativas de Artscapital, se refieren
o afectan a las partes de una doble relación contractual : la constituida por la
compraventa de las acciones que es objeto de comunicación y la representada
por el contrato de sociedad constitutivo de la propia Artscapital. De este último,
se derivan un conjunto de principios, normas reguladoras, acciones y
obligaciones para las partes del mismo, que se denuncian como infringidos, y
que los vendedores, clientes y representados por el bufete “J.Y.H.-C.” ,
trataban de hacer valer.
En cuanto al origen de los datos del correo electrónico del denunciante,
manifiestan que el correo electrónico constituye la forma de comunicación
habitual y aceptada por los accionistas de Artscapital. En este sentido, los
destinatarios del correo electrónico objeto de denuncia proceden de los
mensajes que Artscapital ha venido dirigiendo a éstos, entre ellos el del
denunciante, y, concretamente, en el mensaje de fecha 15/04/2004, enviado
por el “Cargo 1” del Consejo de Administración de Artscapital a todos los
accionistas convocándolos para la celebración de la Junta General Ordinaria de
fecha 30/04/2004.
TERCERO : En fecha 14/02/2006, se requiere a “J.Y.H.-C.” que aporte
documentación acreditativa del mandato de sus clientes para realizar el envío
del citado correo electrónico, de fecha 27/05/2004, a todos los accionistas de
Artscapital o, en su caso, aporten el consentimiento del denunciante para el
tratamiento de sus datos relativos a la dirección de correo electrónico.
Asimismo, se requiere a “J.Y.H.-C.” para que informe de la dirección postal a
efectos de notificaciones de sus clientes.
En fecha 3/03/2006 y 26/04/2006, “J.Y.H.-C.” contesta que los datos solicitados
son objeto de especial protección por el ordenamiento jurídico imponiendo al
“Abogado” el deber estricto de secreto profesional.
“J.Y.H.-C.” aporta contestación del Ilustre Colegio de Abogados de Madrid, en
el sentido anteriormente indicado, a la pregunta del citado bufete relativa a la
idoneidad de dar respuesta al requerimiento de esta Agencia.
CUARTO : No consta acreditado que D. A.V.R., D. A.V.P., D. F.Y.H. y D.
M.B.S., tuvieran consentimiento del denunciante para el tratamiento de sus
datos personales llevado a cabo, en principio, a través del mandatario “J.Y.H.C.” , para el envío del correo electrónico de fecha 27/05/2004, ni que dicho
tratamiento se encuentre amparado en alguno de los supuestos contemplados
en el artículo 6.2 de la LOPD.
QUINTO : En fecha 22/05/2006, el Director de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a D. A.V.R., D.
A.V.P., D. F.Y.H., D. M.B.S. y “J.Y.H.-C.” , por la posible infracción del artículo
6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma.
SEXTO : En fecha 24/05/2006, se notificó el acuerdo de inicio a “J.Y.H.-C.” y al
denunciante.
En relación con el resto de los imputados, desconociéndose la dirección de los
mismos, se procedió a la notificación del citado acuerdo de inicio a su
representante “J.Y.H.-C.” , resultando devueltos por el Servicio de Correos con
la anotación “desconocido en dichas señas”.
Página 115 de 353
En fecha 2/06/2006, “J.Y.H.-C.” manifiesta que, en fecha 24/06/2006, se
rechazaron cuatro envíos postales remitidos por esta Agencia a nombre de “D.
A.V.R.”, “D. A.V.P.”, “D. F.Y.H.” y “D. M.B.S.”, por no constituir su domicilio, al
considerar que no ostenta la condición de representante de los mismos a los
efectos de hacerse cargo de las notificaciones a ellos dirigidas.
En fecha 23/06/2006, se procedió a la publicación del acuerdo de inicio en el
tablón de edictos del Ayuntamiento de ......, permaneciendo hasta el
11/07/2006. Asimismo, dicho acuerdo de inicio se publicó en el Boletín Oficial
del Estado (en lo sucesivo B.O.E.) de fecha 24/06/2006.
SÉPTIMO : En fecha 9/06/2006, “J.Y.H.-C.” formuló alegaciones al acuerdo de
inicio, en las que argumenta, en síntesis, lo siguiente :
1º .- La persona inicialmente imputada no corresponde al remitente del correo
electrónico objeto del presente procedimiento sancionador. En dicho correo
figura como remitente “.........B..@...........” y en el acuerdo de inicio consta como
imputado y responsable del envío el bufete de abogados “J.Y.H.-C.” , siendo,
por tanto, personas distintas toda vez que fue uno de los abogados que
integran el bufete, actuando en el marco del principio de independencia, quien
envió el citado correo.
2º .- Incompetencia de esta Agencia para el enjuiciamiento del presente
procedimiento sancionador al no ser aplicable la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo
LOPD), habida cuenta de que en el artículo 2.2.a) dispone que no será de
aplicación a los ficheros mantenidos por personas físicas en el ejercicio de
actividades exclusivamente personales o domésticas, y, en el presente caso,
consta que el tratamiento del dato personal del denunciante consistente en su
dirección de correo electrónico se realizó en el ejercicio de actividades
exclusivamente personales.
3º .- El tratamiento del dato personal del denunciante consistente en su
dirección de correo electrónico no requiere consentimiento del mismo, en virtud
de lo dispuesto en el artículo 6.2 de la LOPD, que señala que no será preciso el
consentimiento cuando los datos de carácter personal se refieran a las partes
de un contrato o precontrato de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento. En este sentido, es
evidente que el contrato de compraventa de valores perfeccionado y
consumado con el denunciante y al que se hace especial referencia en la
comunicación remitida en fecha 27/05/2004, se encuentra en el marco del
mantenimiento o cumplimiento del citado contrato dadas las irregularidades
habidas en la venta de las acciones.
Además, el dato personal del denunciante, consistente en su dirección de
correo electrónico, tiene su origen en las comunicaciones habituales y
aceptadas por los accionistas para el intercambio de información referente a la
citada sociedad, obrando, en consecuencia, en poder de todos y cada uno de
los accionistas. En este sentido, consta en el expediente copia del correo
electrónico que el administrador de la sociedad Artcapital envió a todos los
accionistas, en fecha 15/04/2004, convocando la Junta General Ordinaria.
4º .- La supuesta infracción no es imputable al bufete de abogados “J.Y.H.-C.”
al haber actuado, en la condición de encargado del tratamiento, conforme a las
instrucciones de los clientes. En este sentido, “J.Y.H.-C.” aporta copia del
contrato de prestación de servicios, en el que se especifica como objeto del
Página 116 de 353
mismo : “... siguiendo vuestras instrucciones, se va a remitir una comunicación
a los Accionistas de la referida Entidad advirtiéndoles de las irregularidades
producidas con motivo de dichas ventas, utilizando las direcciones de correo
electrónico que obran en vuestro poder, dada vuestra condición de accionistas
de la Sociedad ...”, figurando, además de las instrucciones del responsable del
tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho
contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
Constan también las medidas de seguridad a que se refiere el artículo 9 de la
LOPD que el encargado del tratamiento está obligado a implementar y que una
vez cumplida la prestación contractual, los datos de carácter personal deberán
ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier
soporte o documentos en que conste algún dato de carácter personal objeto del
tratamiento.
5º .- La utilización por parte de los abogados de los datos de carácter personal
de la parte contraria exime a aquellos de la obligación de recabar su
consentimiento, al estar amparada por el derecho fundamental a la asistencia
letrada detallado en el artículo 24.2 de la Constitución Española (en lo sucesivo
C.E.).
6º.- Subsidiariamente, solicita la aplicación de lo dispuesto en el artículo 45.5
de la LOPD, al concurrir una cualificada disminución de la culpabilidad.
OCTAVO : En fecha 16/06/2006, se acordó iniciar el período de práctica de
pruebas y, finalizado el mismo, se dio vista y copia de la documentación que
obra en el expediente al objeto de formular alegaciones y presentar cuantos
documentos se consideren necesarios.
Entre las pruebas practicadas, se requirió a la sociedad Artcapital a que
comunicara a esta Agencia el domicilio de D. A.V.P., D. A.V.R., D. F.Y.H., D.
A.B.S., o en su caso, motive las causas por las que no procede su entrega. Sin
embargo no consta contestación.
NOVENO : En fecha 4/08/2006, “J.Y.H.-C.” presenta alegaciones en las que
reitera, en síntesis, las ya formuladas.
DÉCIMO : En fecha 9/10/2006, se emitió Propuesta de Resolución en el
sentido de que por el Director de la Agencia Española de Protección de Datos
sancione a D. A.V.R., con multa de 60.101,21 € (sesenta mil ciento un euros
con veintiún céntimos) por la infracción del artículo 4.2 de la LOPD, tipificada
como grave en el artículo 44.3.d) de dicha norma, y se acuerde el archivo de
las presentes actuaciones en relación con D. A.V.P., D. F.Y.H., D. M.B.S. y el
bufete de abogados “J.Y.H.-C.”.
La notificación de la Propuesta de Resolución al bufete de abogados “J.Y.H.C.” se realizó en fecha 9/10/2006. Sin embargo, las notificaciones al resto de
personas imputadas fueron devueltas con la anotación “no es la dirección”.
En fecha 10/10/2006, ante el desconocimiento del domicilio actual del
imputado, se procedió a la publicación de la Propuesta de Resolución en el
tablón de edictos del Ayuntamiento de ....... Asimismo, dicha Propuesta se
publicó en el B.O.E. de fecha 11/10/2006, página 11.072.
UNDÉCIMO : Transcurrido el plazo para presentar alegaciones, el bufete de
abogados “J.Y.H.-C.” presenta ante esta Agencia un escrito en el que
manifiesta que las Propuestas de Resolución, enviadas a su dirección postal,
destinadas al resto de los imputados han sido devueltas al considerar que no
ostentan la condición de representante de los mismos a los efectos de hacerse
cargo de las notificaciones a ellos dirigidas.
Página 117 de 353
Por su parte, D. A.V.P., D. F.Y.H. y D. M.B.S. no formulan alegaciones.
DUODÉCIMO : En fecha 13/11/2006, D. A.V.R. presenta escrito de alegaciones
en el que manifiesta tener el domicilio en (.................................), y argumenta,
en síntesis, que por el B.O.E., a través de Internet, ha tenido conocimiento de
la Propuesta de Resolución en la que se propone que se le imponga una
sanción de multa de 60.101,21 €, por una supuesta infracción del artículo 4.2
de la LOPD.
Añade, que el hecho que ha dado origen al presente procedimiento
sancionador está constituido por la comunicación por correo electrónico que, en
fecha 27/05/2004, el bufete de abogados de ........ “J.Y.H.-C.” dirigió a una serie
de personas, accionistas de la sociedad española Artscapital, en relación con la
venta de acciones de dicha sociedad.
Manifiesta que no ha recibido notificación personal alguna del acuerdo de inicio
del citado procedimiento sancionador, sino que tuvo conocimiento de ello a
través del B.O.E. de fecha 24/06/2006, en el que se indicaba que se acudía a
ese medio de notificación al desconocer el domicilio actual de las personas
imputadas. En dicho acuerdo de inicio se imputaba una sanción tipificada como
grave. En consecuencia, alega que notificado el citado acuerdo de inicio en
dicho B.O.E., y fechándose el hecho imputado el 27/05/2004, la infracción ha
prescrito toda vez que ha transcurrido el plazo de dos años, conforme a lo
dispuesto en el artículo 47 de la citada LOPD.
HECHOS PROBADOS
PRIMERO : En fecha 31/05/2004, tuvo entrada en esta Agencia un escrito
remitido por D. T.P.L. en el que manifiesta que adquirió un paquete de acciones
(folio 10) de la sociedad Artscapital, entidad de la que era a su vez también
accionista, a otros cuatro accionistas de la misma. La compraventa de las
citadas acciones se formalizó en contrato privado de fecha 23/01/2004 (folios 3
a 8).
Los vendedores, que se desprendieron de la totalidad de las acciones de la
sociedad Artscapital, fueron D. A.V.R., D. A.V.P., D. F.Y.H. y D. M.B.S. (folios 3
a 8 y 11).
Los citados vendedores, a través de su representante (folios 11 y 13), el bufete
de abogados “J.Y.H.-C.” , informaron de las supuestas irregularidades en la
compraventa de las citadas acciones al resto de accionistas, utilizando, a tal
efecto, la dirección electrónica de cada uno de ellos, entre la que figuraba la
correspondiente al denunciante, en concreto “.....A...@.......”. Dicho correo
electrónico se envió en fecha 27/05/2004 constando como remitente
“.........B..@...........” (folio 9).
SEGUNDO : El envío del correo electrónico se realizó en virtud del contrato de
prestación de servicios suscrito entre el bufete de abogados “J.Y.H.-C.” y uno
de los vendedores, “D. A.V.R.”. El objeto de dicho contrato consiste en “...
siguiendo vuestras instrucciones, se va a remitir una comunicación a los
Accionistas de la referida Entidad advirtiéndoles de las irregularidades
producidas con motivo de dichas ventas, utilizando las direcciones de correo
electrónico que obran en vuestro poder, dada vuestra condición de accionistas
Página 118 de 353
de la Sociedad ...”, figurando, además de las instrucciones del responsable del
tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho
contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
Constan también las medidas de seguridad a que se refiere el artículo 9 de la
LOPD que el encargado del tratamiento está obligado a implementar y que una
vez cumplida la prestación contractual, los datos de carácter personal deberán
ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier
soporte o documentos en que conste algún dato de carácter personal objeto del
tratamiento.
TERCERO : No consta que D. T.P.L. haya autorizado el tratamiento de su
dirección de correo electrónico para el envío de la citada comunicación.
CUARTO : Consta que el correo electrónico enviado por “.........B..@...........” a
los accionistas de Artscapital en fecha 27/05/2004, se llevó a cabo en la
condición de encargado del tratamiento, conforme a las instrucciones de “D.
A.V.R.” (folios 159 y 160).
QUINTO : Consta acreditado que la notificación del acuerdo de inicio del
presente procedimiento sancionador, se realizó a D. A.V.R. mediante
publicación en el B.O.E. de fecha 24/06/2006 (folio 171).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
El artículo 4.2 de la LOPD dispone lo siguiente :
“Los datos de carácter personal objeto de tratamiento no podrán usarse para
finalidades incompatibles con aquellas para las que los datos hubieran sido
recogidos. No se considerará incompatible el tratamiento posterior de éstos con
fines históricos, estadísticos o científicos.”.
Por su parte, el artículo 6 de la LOPD dispone lo siguiente :
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones
Públicas en el ámbito de sus competencias; cuando se refieran a las partes de
un contrato o precontrato de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento
de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos
figuren en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o por
el del tercero a quien se comuniquen los datos, siempre que no se vulneren los
derechos y libertades fundamentales del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando
exista causa justificada para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado
para el tratamiento de los datos de carácter personal, y siempre que una Ley
no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan
motivos fundados y legítimos relativos a una concreta situación personal. En tal
Página 119 de 353
supuesto, el responsable del fichero excluirá del tratamiento los datos relativos
al afectado”.
III
El artículo 44.3.d) de la LOPD, dispone lo siguiente :
“3. Son infracciones graves:”
“d) Tratar los datos de carácter personal o usarlos posteriormente con
conculcación de los principios y garantías establecidos en la presente Ley o
con incumplimiento de los preceptos de protección que impongan las
disposiciones reglamentarias de desarrollo, cuando no constituya infracción
muy grave” (el subrayado es de la Agencia Española de Protección de Datos).
La infracción del artículo 6 de la LOPD imputada en el acuerdo de inicio, y la
del artículo 4.2 de la propuesta de resolución, tipificadas como graves, suponen
una clara vulneración de los principios del consentimiento y de calidad de datos
recogidos en la citada Ley.
IV
El artículo 47.1 y 2 de la LOPD, dispone lo siguiente :
“1. Las infracciones muy graves prescribirán a los tres años, las graves a los
dos años y las leves al año.
2. El plazo de prescripción comenzará a contarse desde el día en que la
infracción se hubiera cometido”.
De conformidad con el citado artículo, la infracción del artículo 6 de la LOPD
imputada en el acuerdo de inicio, y la del artículo 4.2 de la propuesta de
resolución, tipificadas como graves, han prescrito, toda vez que entre la
notificación del acuerdo de inicio, que se realizó a través del B.O.E. de fecha
24/06/2006, y la comisión del hecho imputado, que data del 27/05/2004, ha
transcurrido más de dos años
V
En la presente resolución, procede, antes de entrar a analizar, en su caso, la
posible infracción del artículo 4.2 de la LOPD, determinar si, tal y como alega el
imputado la infracción, tipificada como grave, estaría prescrita al haber
transcurrido más de dos años entre la fecha de la infracción, 27/05/2004, y la
notificación del acuerdo de inicio del presente procedimiento sancionador a
través de su publicación en el B.O.E. del 24/06/2006.
En este sentido, se debe señalar que, durante las actuaciones previas de
investigación, se requirió al bufete de abogados “J.Y.H.-C.” para que informara
a esta Agencia sobre el domicilio del resto de imputados. Sin embargo, el
citado bufete contestó, en fechas 3/03/2006 y 26/04/2006, que los datos
solicitados son objeto de especial protección por el ordenamiento jurídico
imponiendo al “Abogado” el deber estricto de secreto profesional, tal y como
ratificó el Ilustre Colegio de Abogados de Madrid, en contestación a la consulta
formulada por el citado bufete.
Iniciado el presente procedimiento sancionador, se procedió a notificar el
mismo a los imputados en la dirección postal correspondiente al bufete de
abogados “J.Y.H.-C.”, toda vez que los hechos denunciados hacían suponer la
representación suficiente de éste, para hacerse cargo de las notificaciones al
Página 120 de 353
resto de los imputados. Sin embargo, las citadas notificaciones resultaron
devueltas por el Servicio de Correos con la anotación “desconocido en dichas
señas. 24/05/2006” .
Ante tal situación, en fecha 23/06/2006, se publicó el acuerdo de inicio en el
tablón de edictos del Ayuntamiento de ......, permaneciendo hasta el
11/07/2006, y se publicó en el B.O.E. de fecha 24/06/2006.
En fecha 9/10/2006, se emitió Propuesta de Resolución notificándose a la
dirección postal del bufete de abogados “J.Y.H.-C.”. Sin embargo, las
notificaciones al resto de personas imputadas fueron devueltas por el Servicio
de Correos con la anotación “no es la dirección”.
En fecha 10/10/2006, ante el desconocimiento del domicilio actual del
imputado, se procedió a la publicación de la Propuesta de Resolución en el
tablón de edictos del Ayuntamiento de ...... y en el B.O.E. de fecha 11/10/2006,
página 11.072.
Finalmente, con fecha 13/11/2006, el imputado se dirige a esta Agencia desde
......, haciendo constar la prescripción de la infracción imputada. Sobre este
particular, consta acreditado que entre la notificación del acuerdo de inicio, que
se realizó a través del B.O.E. de fecha 24/06/2006, y la comisión del hecho
imputado, que data del 27/05/2004, ha transcurrido más de dos años, por lo
que procede declarar la prescripción de la infracción imputada y acordar el
archivo de las presentes actuaciones.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ARCHIVAR las presentes actuaciones.
SEGUNDO : NOTIFICAR la presente resolución al bufete de abogados “J.Y H.C.", (C/................................................), y a D. A.V.P., D. F.Y.H. y a D. M.B.S.,
mediante publicación de extracto de la presente resolución en el tablón de
anuncios del Ayuntamiento de ....... y en el B.O.E., y a D. A.V.R.,
(C/.................................),
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
Página 121 de 353
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 17 de noviembre de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Página 122 de 353
Procedimiento Nº PS/00213/2006
RESOLUCIÓN: R/00972/2006
En el procedimiento sancionador PS/00213/2006, instruido por la Agencia
Española de Protección de Datos a la entidad M.-C.-ABOGADOS, vista la
denuncia presentada por D. J.O.F., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 4/01/2005, tuvo entrada en esta Agencia un escrito de D.
J.O.F. (en lo sucesivo el denunciante), en el que denuncia a la entidad M.-C.
ABOGADOS por haberle remitido una carta, el 24/11/2004, en la que le
reclamaba el pago de una deuda de 13,92 €, correspondiente al teléfono
##########, en representación de Telefónica de España, S.A.U. (en lo
sucesivo Telefónica), cuando la había abonado el 4/09/2003.
SEGUNDO: El Director de la Agencia Española de Protección de Datos acordó,
tras la realización de las correspondientes actuaciones previas de
investigación, mediante Resolución de 14/11/2006 el inicio de procedimiento
sancionador, por la posible comisión por parte de M.-C. ABOGADOS de una
infracción del artículo 4.3 de Ley Orgánica 15/1999, de 13/12, de Protección de
los Datos de Carácter Personal (en lo sucesivo LOPD), , que señala que “Los
datos de carácter personal serán exactos y puestos al día de forma que
respondan con veracidad a la situación actual del afectado”, tipificada como
grave en el artículo 44.3.f) de dicha norma, que considera como tal “Mantener
datos de carácter personal inexactos o no efectuar las rectificaciones o
cancelaciones de los mismos que legalmente procedan cuando resulten
afectados los derechos de las personas que la presente Ley ampara“, pudiendo
ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el
artículo 45.2 de la citada Ley Orgánica.
TERCERO: El citado acuerdo de inicio fue notificado a M.-C. ABOGADOS, el
20/11/2006.
CUARTO: Durante la tramitación del citado procedimiento y, a tenor del artículo
43.1 de la LOPD, se ha apreciado falta de legitimación pasiva de la entidad M.C. ABOGADOS, en la posible comisión de la infracción que se le imputa, lo que
implica que dicha entidad no pueda ser responsable de la infracción imputada,
y, por ello la imposibilidad de seguir el procedimiento contra la citada entidad
por lo que procede acordar el archivo del presente procedimiento sancionador
al objeto de dictar nuevo acuerdo de inicio contra las entidades presuntamente
responsables de la posible infracción.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
El artículo 130. 1 de la Ley 30/1992, de 26/11, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común (en lo
sucesivo LRJPAC), señala;
Página 123 de 353
“Sólo podrán ser sancionadas por hechos constitutivos de infracción
administrativa las personas físicas y jurídicas que resulten responsables de los
mismos aun a título de simple inobservancia.”
III
El artículo 42. 1 de la LRJPAC determina que;
“1. La Administración está obligada a dictar resolución expresa en todos los
procedimientos y a notificarla cualquiera que sea su forma de iniciación.
En los casos de prescripción, renuncia del derecho, caducidad del
procedimiento o desistimiento de la solicitud, así como la desaparición
sobrevenida del objeto del procedimiento, la resolución consistirá en la
declaración de la circunstancia que concurra en cada caso, con indicación de
los hechos producidos y las normas aplicables.
Se exceptúan de la obligación, a que se refiere el párrafo primero, los
supuestos de terminación del procedimiento por pacto o convenio, así como los
procedimientos relativos al ejercicio de derechos sometidos únicamente al
deber de comunicación previa a la Administración”.
IV
El artículo 43. 1 de la LOPD establece lo siguiente:
“1. Los responsables de los ficheros y los encargados de los tratamientos
estarán sujetos al régimen sancionador establecido en la presente Ley.”
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
PRIMERO: ARCHIVAR el procedimiento sancionador iniciado contra M.-C.
ABOGADOS.
SEGUNDO: NOTIFICAR el presente Acuerdo a M.-C. ABOGADOS,
(C/.......................................................),
y
a
D.
J.O.F,
(C/……......……………………………..).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la LRJPAC,
los interesados podrán interponer, potestativamente, recurso de reposición ante
el Director de la Agencia Española de Protección de Datos en el plazo de un
mes a contar desde el día siguiente a la notificación de esta resolución, o,
directamente recurso contencioso administrativo ante la Sala de lo
Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto
en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Página 124 de 353
Madrid, 20 de diciembre de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Página 125 de 353
Procedimiento Nº PS/00053/2007
RESOLUCIÓN: R/00698/2007
En el procedimiento sancionador PS/00053/2007, instruido por la Agencia
Española de Protección de Datos a la entidad CENTRO DE ESTUDIOS
FINANCIEROS S.L., vista la denuncia presentada por Dª. M.M.V., y en base a
los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 16/05/2005, tuvo entrada en esta Agencia un escrito
remitido por Dª. M.M.V. (en lo sucesivo la denunciante), en el que manifestó
que, el día 16/03/2005, recibió en su buzón de correo electrónico “...A..@......”
un mensaje publicitario sobre el inicio de los cursos y seminarios que se
impartirían durante el mes de abril de 2005 por el CENTRO DE ESTUDIOS
FINANCIEROS, S.L. (en lo sucesivo C.E.F.). La dirección de correo del
remitente era “...B..@......”, que corresponde a C.E.F.
La denunciante manifestó que no había facilitado a la citada entidad ninguno de
sus datos personales ni profesionales, incluida su dirección de correo
electrónico. Además, la dirección electrónica es la que utiliza como abogada
colegiada en el Ilustre Colegio de Abogados de (.........). Esa dirección,
“...A..@......”, es la que aparece publicada, junto a sus datos personales y
profesionales, en la guía virtual de la página web del citado colegio profesional,
“www....C....”. En dicha guía, figuran publicados los datos personales de la
denunciante con la siguiente anotación “este colegiado ha indicado que sus
datos no pueden ser utilizados para finalidades publicitarias o de prospección
comercial”.
SEGUNDO : Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos :
1º.- C.E.F. manifestó que la denunciante, en fecha 1/03/2004, facilitó sus datos
personales mediante llamada telefónica realizada al teléfono de información de
la entidad al objeto de que se le facilitara información por cualquier medio.
C.E.F. aportó, como medio de acreditar la citada llamada telefónica, un listado
impreso en el que consta un único registro de llamadas, que correspondiente a
una entrante realizada desde el número de teléfono “########”,
correspondiente al despacho donde trabaja la denunciante.
C.E.F. manifestó haber identificado dicho número de teléfono entrante, porque
así consta en la página web, que corresponde al citado despacho donde
trabaja la denunciante.
2º.- Realizando una búsqueda en Internet de datos asociados a la denunciante,
utilizando como buscador “Google”, se encuentra una entrada titulada
“Despacho” donde consta el número de teléfono “########2”, que no coincide
con el aportado por C.E.F.
Accediendo a la página web del “Bufete M.”, figura como teléfono asociado el
indicado por C.E.F. en sus alegaciones, en concreto el número “ ########”.
Página 126 de 353
El número de teléfono de la denunciante que aparece en la “Guía del Colegio
de Abogados de (.........)” es el “########3”, que no coincide con el indicado
por C.E.F.. Además, en la citada guía electrónica, figura una leyenda indicando
que “este colegiado ha indicado que sus datos personales no pueden utilizarse
para finalidades publicitarias o de prospección comercial”.
3º.- En fecha 9/11/2005, se requirió a la denunciante a que portara copia de las
facturas telefónicas con el detalle de las llamadas realizadas relativas al
número de teléfono “########”, que contestó que el titular de dicho número es
su hermano, sin aportar más información.
TERCERO : En fecha 5/03/2007, el Director de la Agencia Española de
Protección de Datos, acordó iniciar procedimiento sancionador al CENTRO DE
ESTUDIOS FINANCIEROS, S.L., por la presunta infracción del artículo 6.1 de
la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo
44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a
300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.
CUARTO : En fecha 21/03/2007, la denunciante se personó como parte
interesada en el presente procedimiento, y solicitó copia de la documentación
que obra en el mismo. Con fecha 21/03/2007, se procedió al envío de la
documentación solicitada a la dirección postal indicada.
QUINTO : En fecha 3/04/2007, C.E.F. formuló alegaciones al acuerdo de inicio,
argumentando, en síntesis, lo siguiente :
1º.- Fue la propia denunciante la que aportó su dirección de correo electrónico,
mediante una llamada a C.E.F. en fecha 1/03/2004, a las 12h 22m 36 s, y
desde el número ########, según consta en el registro de llamadas entrante
de la entidad.
2º.- El citado número de teléfono, se corresponde con el despacho en el que
presta sus servicios profesionales la denunciante, tal y como consta acreditado
en las actuaciones previas de investigación llevadas a cabo por la Inspección
de Datos de esta Agencia.
3º.- El hecho de que C.E.F. enviara a la denunciante un correo electrónico
publicitando sus servicios tras la recepción de la citada llamada telefónica,
permite considerar la existencia de una duda más que razonable de que tal
envío lo realizó siguiendo las indicaciones recibidas por la denunciante.
4º.- Subsidiariamente, C.E.F. solicita la aplicación de lo dispuesto en el artículo
45.5 de la LOPD, toda vez que se cumplen los requisitos exigidos.
En fecha 14/06/2007, C.E.F. presentó escrito de alegaciones en el que reiteró
las ya formuladas.
SEXTO : En fecha 14/06/2007, la denunciante presentó escrito de alegaciones
al acuerdo de inicio, argumentando, en síntesis, lo siguiente :
1º.- Reitera las alegaciones formuladas durante las actuaciones previas de
investigación llevadas a cabo por la Inspección de Datos de esta Agencia.
2º.- Tras ejercitar la denunciante del derecho de acceso ante C.E.F., éste
contestó que disponía de los siguientes datos sobre la denunciante : “nombre y
apellidos y condición de abogado de (.........)”. Informó, asimismo, que el origen
de los datos era de “fuentes de acceso público”, sin concretar cuales.
Página 127 de 353
3º.- Consta acreditado que, en fecha 16/03/2005, recibió un correo electrónico
en la dirección ...A..@......, de contenido publicitario sobre los productos
ofertados para abril de 2005. Tal correo electrónico se envió desde la siguiente
dirección electrónica ...B..@......, cuya titularidad corresponde al C.E.F.
4º.- La denunciante manifiesta que no ha facilitado sus datos personales ni ha
prestado su consentimiento a CEF para el tratamiento de los mismos, ya que ,
frente a la alegación de C.E.F., no consta acreditado que la llamada telefónica
a la que alude, la haya realizado la denunciante y consta acreditado su
contenido.
SÉPTIMO : En fecha 13/04/2007, se acordó iniciar un período de práctica de
pruebas, llevándose a cabo las siguientes :
“1. Incorporar al procedimiento arriba indicado la documentación recabada en
actuaciones previas de investigación.
2.- Requerir a Telefónica de España S.A.U, a que compruebe e informe a esta
Agencia, si desde el nº de línea ######## se realizó una llamada al nº
########4, el día 1/03/2004, sobre las 12h 22 m. y, en caso afirmativo, indique
la dirección postal y titular en la que se encuentra instalada la línea llamante.
En su caso, informe sobre la operadora de telefonía que en esa fecha era
responsable del citado numero llamante”.
En fecha 27/04/2007, Telefónica de España, S.A.U., contestó que sólo dispone
de información relativa al titular de la línea del número “########”, que
corresponde a “D. J.M.V.”, con domicilio en “(C/...........................)”.
OCTAVO: En fecha 17/04/2007, se inició el trámite de audiencia, poniendo
disposición de las partes interesadas vista de la documentación obrante en el
procedimiento y envío de copia del mismo a sus respectivos domicilios
aportados.
NOVENO : En fecha 15/06/2007, se emitió Propuesta de Resolución en el
sentido de que por el Director de la Agencia Española de Protección de Datos
se archiven las presentes actuaciones.
Transcurrido el plazo para formular alegaciones, las partes interesadas no
contestaron.
HECHOS PROBADOS
1º.- Dª. M.M.V., en fecha 16/03/2005, recibió en su buzón de correo electrónico
“...A..@......” un mensaje publicitario sobre el inicio de los cursos y seminarios
que se impartirían durante el mes de abril de 2005 por el C.E.F.. La dirección
de correo del remitente era “...B..@......”, cuyo titular corresponde a C.E.F (folio
8 y ss.).
2º.- No consta acreditado que Dª. M.M.V. haya facilitado a C.E.F. la dirección
de correo electrónica “...A..@......”.
3º.- Los datos personales relativos a “nombre, apellidos y condición de
abogado de (.........)”, figuran en fuente accesible al público como es la “Guía
del Colegio de Abogados de (.........)” (folios 10, 11 y 56). Dichos datos fueron
objeto de tratamiento por C.E.F., según consta en la contestación al ejercicio
del derecho de acceso de fecha 15/04/2005 (folio 15).
Página 128 de 353
4º.-l C.E.F. recibió una llamada telefónica, en fecha 1/03/2004, a las 12h 22m
36 s, y desde el número “########” (folio 52). El titular del citado número
telefónico es “D. J.M.V.”, con domicilio en “(C/...........................)” (folio 56).
5º.- Según consta en la “Guía del Colegio de Abogados de (.........)” la dirección
postal
donde
presta
servicios
profesionales
Dª.
M.M.V.
es
“(C/...........................)”. Asimismo, consta acreditado que el número de teléfono
“########”, corresponde al despacho en donde presta sus servicios
profesionales (folio 54).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
En primer lugar, se debe señalar que las alegaciones formuladas por las partes
interesadas se limitan a confirmar los hechos considerados probados en la
presente Propuesta de Resolución que coinciden con los expuestos en el
acuerdo de inicio, a excepción del contenido de la conversación telefónica
recibida en C.E.F. desde el número “########”, que no consta acreditado. En
tal sentido, dicha alegación formulada por C.E.F. debe ser rechazada.
Sin embargo, en el presente caso, se debe analizar el fondo del asunto, toda
vez que procede la recalificación de los hechos imputados por los motivos que
a continuación se exponen.
En primer lugar, consta acreditado que los datos de la denunciante que
dispone C.E.F., que son el “nombre, apellidos y su condición de abogado de
(.........)”, figuran en fuentes de acceso público, como es la “Guía del Colegio de
Abogados de (.........)”, de conformidad con lo dispuesto en el artículo 3.j) de la
LOPD, que define lo siguiente :
“Artículo 3. Definiciones
j) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser
realizada por cualquier persona, no impedida por una norma limitativa, o sin
más exigencia que, en su caso, el abono de una contraprestación. Tienen la
consideración de fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de su pertenencia al grupo.
Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y
Boletines oficiales y los medios de comunicación” (el subrayado es de la
Agencia Española de Protección de Datos).
El artículo 6.2 de la LOPD, señala lo siguiente :
“2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones
Públicas en el ámbito de sus competencias; cuando se refieran a las partes de
un contrato o precontrato de una relación negocial, laboral o administrativa y
Página 129 de 353
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento
de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos
figuren en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o por
el del tercero a quien se comuniquen los datos, siempre que no se vulneren los
derechos y libertades fundamentales del interesado” (el subrayado es de la
Agencia Española de Protección de Datos).
En consecuencia, el tratamiento de los citados datos de la denunciante por
C.E.F., encuentra su habilitación legal en el artículo 6.2 de la LOPD.
En segundo lugar, no consta acreditado que el dato personal de la denunciante
relativo a su dirección de correo electrónica “...A..@......” haya sido tratado por
el C.E.F. para una finalidad diferente a la de enviar, en fecha 16/03/2005, el
citado correo electrónico, de contenido publicitario, ya que ofertaba productos
comercializados para el mes de abril de 2005 por el citado centro. En
consecuencia, dicho tratamiento es el único llevado a cabo por el C.E.F. sin
consentimiento de la denunciante.
En tercer lugar, tal tratamiento de datos, se encuentra regulado en dos
normas legales diferentes. En el artículo 6 de la LOPD, al consistir en el
tratamiento un dato de carácter personal de una persona física identificable
como es la dirección del correo electrónico, y en el artículo 21 de la Ley
34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y
Comercio Electrónico (en lo sucesivo LSSI), toda vez que el contenido del
citado correo electrónico es publicitario y no consta consentimiento del
destinatario para tratarlo en ese contexto.
Dada la doble regulación normativa de los hechos imputados objeto del
presente procedimiento sancionador, los mismos deben ser analizados desde
la perspectiva más favorable para la parte imputada, que en este caso es la
LSSI que, además, de conformidad con el principio de especialidad, es donde
encuentra su regulación específica, motivo por el que debe ser tipificada la
infracción desde esta última norma. No así desde la LOPD, que regula, en
general, los tratamientos de datos de carácter personal, quedando, en
consecuencia, desplazada su aplicación como consecuencia de la específica
tipificación de la infracción imputada dispuesta en la LSSI.
En consecuencia, procede recalificar los hechos imputados en el acuerdo de
inicio del presente procedimiento sancionador, e imputar a C.E.F. una
infracción artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de
dicha norma.
III
La LSSI prohíbe las comunicaciones comerciales no solicitadas, partiendo de
un concepto de comunicación comercial que califica como servicio de la
sociedad de la información y que se define en su Anexo como:
“f) Comunicación comercial: toda forma de comunicación dirigida a la
promoción, directa o indirecta, de la imagen o de los bienes o servicios de una
empresa, organización o persona que realice una actividad comercial,
industrial, artesanal o profesional.
Página 130 de 353
A efectos de esta Ley, no tendrán la consideración de comunicación comercial
los datos que permitan acceder directamente a la actividad de una persona,
empresa u organización, tales como el nombre de dominio o la dirección de
correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o
la imagen que se ofrezca cuando sean elaboradas por un tercero y sin
contraprestación económica”.
El artículo 21 de la citada LSSI, establece lo siguiente :
“Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de
correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales
por correo electrónico u otro medio de comunicación electrónica equivalente
que previamente no hubieran sido solicitadas o expresamente autorizadas por
los destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una
relación contractual previa, siempre que el prestador hubiera obtenido de forma
lícita los datos de contacto del destinatario y los empleara para el envío de
comunicaciones comerciales referentes a productos o servicios de su propia
empresa que sean similares a los que inicialmente fueron objeto de
contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de
oponerse al tratamiento de sus datos con fines promocionales mediante un
procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos
como en cada una de las comunicaciones comerciales que le dirija”.
Por tanto, el envío de mensajes publicitarios o promocionales por correo
electrónico debe haberse solicitado o autorizado expresamente por los
destinatarios de los mismos, salvo que se trate de comunicaciones comerciales
referentes a productos o servicios de la propia empresa que sean similares a
los que inicialmente hubiesen sido objeto de contratación.
Atendiendo al enunciado de esta disposición, resulta esencial delimitar el
sentido aplicado por la citada normativa a la exigencia de consentimiento previo
y expresamente manifestado por el destinatario del mensaje para que pueda
admitirse su envío.
La LSSI, que tiene por objeto, entre otras materias, la regulación de las
comunicaciones comerciales por vía electrónica, establece expresamente en su
artículo 1.2 que las disposiciones contenidas en la misma se entenderán sin
perjuicio de lo dispuesto en las normas que tengan como finalidad la protección
de datos personales.
Al referirse a las comunicaciones comerciales por vía electrónica, el artículo 19,
“Régimen jurídico”, de la LSSI declara igualmente aplicable la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en
lo sucesivo LOPD) y su normativa de desarrollo, en especial, en lo que se
refiere a la obtención de datos personales, la información a los interesados y la
creación y mantenimiento de ficheros de datos personales. Esta rotunda
previsión legal permite afirmar que, al margen de lo establecido en la LSSI,
serán exigibles en el tratamiento de datos personales para la realización de
Página 131 de 353
comunicaciones comerciales por medios electrónicos el conjunto de principios,
garantías y derechos contemplados en la LOPD.
En el presente caso, C.E.F. llevó a cabo un único tratamiento de datos sin
consentimiento, que consistió en tratar el dato personal de la denunciante
relativo a su dirección de correo electrónico para el envío de publicidad por
medios electrónicos, infracción que se encuentra específicamente tipificada en
al LSSI.
En relación con los otros tratamientos llevados a cabo por C.E.F. de los datos
personales de la denunciante, como son el nombre y apellidos, los mismos
encuentran habilitación legal en el artículo 6.2 de la citada LOPD.
IV
El párrafo primero del artículo 37 de la citada LSSI, establece lo siguiente:
“Los prestadores de servicios de la sociedad de la información están sujetos al
régimen sancionador establecido en este Título cuando la presente Ley les sea
de aplicación”.
La LSSI define, en el apartado a) y c) de su Anexo, como :
“a) Servicios de la sociedad de la información o servicios todo servicio prestado
normalmente a título oneroso, a distancia, por vía electrónica y a petición
individual del destinatario.
El concepto de servicio de la sociedad de la información comprende también
los servicios no remunerados por sus destinatarios, en la medida en que
constituyan una actividad económica para el prestador de servicios.
Son servicios de la sociedad de la información, entre otros y siempre que
representen una actividad económica, los siguientes:”
“ 4.- El envío de comunicaciones comerciales”.
“c) Prestador de servicios o prestador : persona física o jurídica que
proporciona un servicio de la sociedad de la información” (el subrayado es de la
Agencia Española de Protección de Datos).
Por lo tanto, el ámbito subjetivo de aplicación de la LSSI se circunscribe
exclusivamente al prestador del servicio de la sociedad de la información que,
en el presente caso, consta acreditado que fue C.E.F.
V
De conformidad con lo establecido en el artículo 38.4.d) de la LSSI, se
considera infracción leve :
“d) El envío de comunicaciones comerciales por correo electrónico u otro medio
de comunicación electrónica equivalente cuando en dichos envíos no se
cumplan los requisitos establecidos en el artículo 21 y no constituya infracción
grave”.
En consecuencia, el envío de comunicaciones comerciales no solicitadas, en
los términos indicados por el citado artículo 38.4.d) de la LSSI se califica como
infracción leve, con el agravante de que, si se produce un envío masivo de
comunicaciones comerciales no solicitadas a diferentes destinatarios o más de
Página 132 de 353
tres a un mismo destinatario en el plazo de un año, en los términos que se
indican el también citado artículo 38.3.c), se producirá una infracción grave a
los efectos de dicha Ley.
El presente supuesto se ajusta al tipo de infracción establecido en el artículo
38.4.d), calificado como infracción leve, al tratarse del envío por correo
electrónico de una sola comunicación publicitaria o promocional.
VI
El artículo 45 de la citada LSSI, señala lo siguiente :
“Las infracciones muy graves prescribirán a los tres años, las graves a los dos
años y las leves a los seis meses, las sanciones impuestas por faltas muy
graves prescribirán a los tres años, las impuestas por faltas graves a los dos
años y las impuestas por faltas leves al año”.
En el presente caso, según consta en la documentación que obra en el
expediente, el envío publicitario realizado por C.E.F. a la dirección del correo
electrónico de la denunciante se realizó el 16/03/2005. Asimismo, consta que la
notificación a C.E.F. del acuerdo de inicio del presente procedimiento es de
fecha 7/03/2007. En consecuencia, se ha producido la prescripción de la
infracción leve imputada, toda vez que las infracciones leves prescriben a los
seis meses desde que queda acreditada su comisión.
VII
En el supuesto examinado, ha quedado acreditado que, C.E.F., en la condición
de prestador de un servicio de la sociedad de la información, remitió, en fecha
16/03/2004, una comunicación publicitaria o promocional desde la dirección
electrónica “...B..@......” a la dirección electrónica “...A..@......” que corresponde
con la de la denunciante. Sin embargo, no consta acreditada solicitud o
autorización expresa y previa de la denunciante ni que existiera relación
contractual anterior que habilite a C.E.F. a enviar el citado correo electrónico,
de conformidad con lo dispuesto en el artículo 21.2 de la LSSI.
Por lo tanto, procede declarar la comisión de la infracción del artículo 21 de la
LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, sin que la
misma pueda ser sancionada, toda vez que se encuentra prescrita al tiempo
del inicio del presente procedimiento sancionador.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ARCHIVAR las presentes actuaciones.
SEGUNDO: NOTIFICAR la presente resolución a CENTRO DE ESTUDIOS
FINANCIEROS S.L., con domicilio en (C/............................................), y a Dª.
M.M.V., con domicilio en (C/.....................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
Página 133 de 353
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 23 de julio de 2007
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 134 de 353
Procedimiento Nº PS/00311/2007
RESOLUCIÓN: R/00209/2008
En el procedimiento sancionador PS/00311/2007, instruido por la Agencia
Española de Protección de Datos a D. I.I.I., vista la denuncia presentada por D.
G.G.G. y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 03/08/2004, tuvo entrada en esta Agencia un escrito de
D.G.G.G. en el que denuncia que el abogado D. I.I.I. (en lo sucesivo el
denunciado) posee en su despacho profesional un fichero automatizado que no
ha sido inscrito en el Registro General de Protección de Datos ni cumple las
medidas de seguridad.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
1.- Con fecha 05/10/2005, se realizó por el Servicio de Inspección de esta
Agencia una inspección en el despacho profesional del denunciado en la que
se comprobó que dispone para el desempeño de su actividad profesional de un
fichero automatizado que contiene datos relativos a nombre, apellidos y
número de teléfono de sus clientes, y ,en algunos casos, dirección postal y/o
electrónica y número de fax. Asimismo se encuentra registrada información
acerca de las actuaciones realizadas. También posee un fichero de
expedientes en soporte papel.
2.- Según manifestó el denunciado, su fichero no dispone de documento de
seguridad y, según constataron los inspectores actuantes, el acceso al fichero
no se encuentra protegido mediante la introducción de un código o contraseña.
3.- El fichero denominado “Ficheros Jurídicos Iurisvox” fue inscrito en el
Registro General de Protección de Datos, con fecha dd/mm/aaaa, a solicitud
del denunciado.
TERCERO: Con fecha 13/01/2008, el Director de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador al denunciado,
con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de
20 de junio, por el que se desarrollan determinados aspectos de la Ley
Orgánica 5/1992, que continua en vigor de conformidad con lo establecido en la
disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), por las
presuntas infracciones del artículo 9 de la citada Ley Orgánica, en relación con
los artículos 8.1 y 11.1 del Real Decreto 994/1999, de 11 de junio, por el que se
aprueba el Reglamento de Medidas de Seguridad de los ficheros
automatizados que contengan datos de carácter personal, tipificada como
grave en el artículo 44.3.h), pudiendo ser sancionada con multa de 60.101,21 €
a 300.506,05, de acuerdo con el artículo 45. 2 de la LOPD.
CUARTO: Notificado el citado acuerdo de inicio del procedimiento sancionador,
el denunciado formuló alegaciones en las que adujo que la infracción imputada
Página 135 de 353
se encuentra prescrita; que no se ha ocasionado ningún perjuicio ya que el
denunciante no es cliente suyo, que el titular del fichero es Iurisvox, S.L., que
los empleados firman un compromiso de confidencialidad, que el bufete cuenta
con sistemas de alarma, puerta blindada, cerradura de seguridad, cerradura en
el cuarto de archivo y seguridad en su despacho y que el sistema de
información posee un antivirus,; y que procede aplicar el principio de
proporcionalidad en la graduación de la sanción que en su caso se imponga.
QUINTO: En fecha 16/08/2007, se acordó por la instructora del procedimiento
la
apertura de un período de práctica de pruebas, durante el cual el denunciado
aportó el documento de seguridad de su fichero que contiene normas sobre el
ámbito de aplicación del documento; normas y procedimientos para garantizar
el nivel de seguridad exigido; funciones y obligaciones del personal; estructura
del fichero; procedimiento de notificación, gestión y respuesta ante las
incidencias; procedimientos de realización de copias de respaldo y de
recuperación de datos; procedimientos de revisión y actualización; relación de
usuarios con acceso a datos, que incluye un procedimiento de identificación y
autenticación de usuarios; registro de incidencias, normas sobre copia de
respaldo y recuperación de datos y gestión de soportes.
SEXTO: Concluido el período probatorio se inició el trámite de audiencia, de
conformidad con lo establecido en el artículo 18.4 del citado Real Decreto
1332/1994, en el que el denunciado obtuvo copia de documentos obrantes en
el procedimiento y manifestó que reitera sus anteriores alegaciones.
SÉPTIMO: Con fecha 15/01/2008, se formuló propuesta de resolución en el
sentido de que por el Director de la Agencia Española de Protección de Datos
se sancione al denunciado con multa de 601,01 € (seiscientos un euros con un
céntimo) por la infracción del artículo 9 de la LOPD, en relación con los
artículos 8.1 y 11.1 del Real Decreto 994/1999, tipificada como grave en el
artículo 44.3.h) de dicha norma, dándose traslado para alegaciones.
OCTAVO: Con fecha 29/01/2008, tuvo entrada en esta Agencia escrito de
alegaciones del denunciado en el que muestra su conformidad con la
propuesta de resolución.
HECHOS PROBADOS
PRIMERO: Con fecha 05/10/2005, en el despacho profesional de D. I.I.I. se
encontraba ubicado un fichero automatizado para el desempeño de su trabajo
profesional conteniendo datos relativos a nombre, apellidos y número de
teléfono de sus clientes, y ,en algunos casos, dirección postal y/o electrónica y
número de fax. Asimismo se encuentra registrada información acerca de las
actuaciones realizadas. Así como un fichero de expedientes en soporte papel
(folios 12 a 14).
SEGUNDO: Según las declaraciones D. I.I.I., incorporadas al Acta de
inspección E/623/2004-I/1/05, el citado fichero no dispone de documento de
seguridad (folios 12 a 14).
Página 136 de 353
TERCERO: El acceso al fichero no se encuentra protegido mediante la
introducción de un código o contraseña (folios 12 a 14).
CUARTO: El fichero denominado “Ficheros Jurídicos Iurisvox” fue inscrito en el
Registro General de Protección de Datos, con fecha dd/mm/aaaa. Consta en el
asiento de inscripción del referido fichero que su responsable es D. I.I.I. (folios
5 a 10).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
Se imputa en el presente procedimiento al denunciado una infracción del
artículo 9 de la LOPD, que dispone:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento,
deberán adoptar las medidas de índole técnica y organizativas necesarias que
garanticen la seguridad de los datos de carácter personal y eviten su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las
condiciones que se determinen por vía reglamentaria con respecto a su
integridad y seguridad y a las de los centros de tratamiento, locales, equipos,
sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban
reunir los ficheros y las personas que intervengan en el tratamiento de los
datos a que se refiere el artículo 7 de esta Ley”.
El citado artículo 9 de la LOPD establece el “principio de seguridad de los
datos” imponiendo la obligación de adoptar las medidas de índole técnica y
organizativa que garanticen aquella, añadiendo que tales medidas tienen como
finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de
terceros. La LOPD impone al responsable del fichero la adopción de medidas
de seguridad, cuyo detalle se refiere a normas reglamentarias.
El Real Decreto 994/1998, de 11 de junio, por el que se aprueba el Reglamento
de medidas de seguridad de los ficheros automatizados que contengan datos
de carácter personal, que continúa en vigor de acuerdo con lo estipulado en la
disposición transitoria tercera de la LOPD, prevé en su artículo 4.1 que “todos
los ficheros que contengan datos de carácter personal deberán adoptar las
medidas de seguridad calificadas como de nivel básico” y añade en el artículo
4.3 que “los ficheros que contengan datos de ideología, religión creencias,
origen racial, salud o vida sexual así como los que contengan datos recabados
para fines policiales, sin consentimiento de las personas afectadas deberán
reunir, además de las medidas de nivel básico y medio, las calificadas de nivel
alto”.
Página 137 de 353
El artículo 8.1 y 2 del citado Reglamento dispone lo siguiente:
“1. El responsable del fichero elaborará e implantará la normativa de seguridad
mediante un documento de obligado cumplimiento para el personal con acceso
a los datos automatizados de carácter personal y a los sistemas de
información”.
“2. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los
recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estándares encaminados a
garantizar el nivel de seguridad exigido en este Reglamento.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros con datos de carácter personal y descripción de
los sistemas de información que los tratan.
e) Procedimientos de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación
de datos”.
El artículo 11.1 del citado Real Decreto señala que “el responsable del fichero
se encargará de que exista una relación actualizada de usuarios que tengan
acceso autorizado al sistema de información y de establecer procedimientos de
identificación y autenticación para dicho acceso.”.
III
En este caso, en la inspección realizada con fecha 05/10/2005, por el Servicio
de Inspección de esta Agencia, se comprobó que en el despacho profesional
del denunciado se encontraba ubicado un fichero automatizado conteniendo
datos relativos a nombre, apellidos y número de teléfono de sus clientes, y, en
algunos casos, dirección postal y/o electrónica y número de fax. Asimismo se
constató que el acceso al fichero no se encontraba protegido mediante la
introducción de un código o contraseña.
Según manifestó el denunciado en el curso de la citada inspección, su fichero
no disponía de documento de seguridad. La conclusión que se extrae de tales
hechos es que, en este caso, deben entenderse incumplidas las garantías que
exigen los artículos 8 y 11 del citado Real Decreto 994/1998 y, en
consecuencia, vulnerado el artículo 9 de la LOPD.
IV
Alega el denunciado en su defensa la prescripción de la infracción imputada.
No mantener los ficheros con datos de carácter personal con las medidas de
seguridad exigidas vulnera el artículo 9 de la LOPD constituyendo tal
incumplimiento una infracción de carácter grave recogida en el articulo 44.3.h)
de la LOPD.
El artículo 47.2 de la LOPD preceptúa en cuanto al plazo de prescripción de las
infracciones graves que prescribirán a los dos años. Y añade en su punto 3 que
“Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del
procedimiento sancionador, reanudándose el plazo de prescripción si el
Página 138 de 353
expediente sancionador estuviese paralizado durante más de seis meses por
causas no imputables al presunto infractor”.
Respecto a la prescripción del citado artículo 9, debe señalarse que se trata de
una infracción permanente pues los efectos de la falta de documento de
seguridad permanecen mientras no se elabore el mismo. De lo que se
desprende que el “dies a quo”, en cuanto al cómputo del plazo de la
prescripción, es el día en que cesa la lesión al citado artículo 9, es decir el día
en que se dota al fichero del documento de seguridad y se implementan las
medidas que exige el Real Decreto 994/1998. Con lo cual la prescripción
alegada no se ha producido, toda vez que con fecha 05/10/2005 el fichero del
denunciado no disponía de documento de seguridad ni el acceso al mismo se
encontraba protegido con contraseñas, por lo que 13/09/2007, notificado el
18/09/2007, no ha transcurrido el plazo de dos años y la prescripción alegada
no se ha producido.
V
El artículo 44.3.h) de la LOPD, considera infracción grave:
“Mantener los ficheros, locales, programas o equipos que contengan datos de
carácter personal sin las debidas condiciones de seguridad que por vía
reglamentaria se determinen”.
Dado que ha existido vulneración del “principio de seguridad de los datos”,
recogido en el artículo 9 de la LOPD, se considera que el denunciado ha
incurrido en la infracción grave descrita.
El artículo 45. 2, 4 y 5 de la LOPD establece:
“2. las infracciones graves serán sancionadas con multa de 60.101,21 € a
300.506,05 €”.
“4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los
derechos personales afectados, al volumen de los tratamientos efectuados, a
los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los
daños y perjuicios causados a las personas interesadas y a terceras personas,
y a cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.”
“5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada
disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el
órgano sancionador establecerá la cuantía de la sanción aplicando la escala
relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate.”
La Audiencia Nacional, en sus Sentencias de 24/05/2002 y 16/02/2005, ha
señalado en cuanto a la aplicación del apartado 5 del citado precepto que “... la
presente regla debe aplicarse con exquisita ponderación y solo en los casos en
los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas
atendidas las circunstancias del caso concreto, de forma que repugne a la
sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la
sanción correspondiente al grado. Lo cual insistimos puede darse, por
excepción, en casos muy extremos y concretos. Circunstancias que no
apreciamos concurran en el caso de autos en el que la entidad bancaria debió
Página 139 de 353
adoptar una diligencia mayor y optar por una interpretación en defensa de los
intereses del titular del dato, pues no se olvida que este es titular de un derecho
fundamental a la libertad informática –STS 202/1999- y las entidades que
operan en el mercado de datos y obtienen con ello determinadas ventajas
deben siempre obrar con exquisita diligencia y procurar siempre la perfecta
comunicación entre el dato y la realidad”.
En el supuesto examinado, una vez analizadas las circunstancias concurrentes,
procede la aplicación del citado precepto tomando en consideración que el
denunciado ha aportado el documento de seguridad de su fichero, que incluye
una relación de usuarios con acceso a datos y un procedimiento de
identificación y autenticación de usuarios, y que en el lugar en que se
encuentra ubicado el fichero existen medidas de seguridad tendentes a evitar el
acceso no autorizado de los datos, se aprecia una disminución cualificada de la
culpabilidad, aunque no una ausencia total de la misma pues el denunciado no
implementó las medidas de seguridad exigibles al crear un fichero y no dotarlo
de documento de seguridad.
De acuerdo con lo anteriormente expuesto y teniendo en cuenta los criterios de
graduación de las sanciones recogidos en el citado artículo 45.4 de la LOPD y,
en especial, a la ausencia de intencionalidad observada en el presente
procedimiento, de reincidencia y de perjuicios causados, se impone la sanción
correspondiente a las infracciones leves en su cuantía mínima.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. I.I.I., por una infracción del artículo 9 de la LOPD,
tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de
601,01 €
(seiscientos un euros con un céntimo) de conformidad con lo establecido en el
artículo
45.2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO: NOTIFICAR la presente resolución a D. I.I.I. con domicilio en
(C/………………………………..) y a D. G.G.G. con domicilio en
(C/………………………………..)
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla
efectiva en el plazo de pago voluntario que señala el artículo 68 del
Reglamento General de Recaudación, aprobado por Real Decreto 939/2005,
de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre,
mediante su ingreso en la cuenta restringida nº 0000 0000 00
000000000abierta a nombre de la Agencia Española de Protección de Datos en
el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su
recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15
de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la
Página 140 de 353
notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo
del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 28 de febrero de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 141 de 353
Procedimiento Nº PS/00525/2007
RESOLUCIÓN: R/00383/2008
En el procedimiento sancionador PS/00525/2007, instruido por la Agencia
Española de Protección de Datos a la entidad GENERAL OPTICA, S.A., vista
la denuncia presentada por DOÑA R.R.R., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 22 de abril de 2005, ha tenido entrada el escrito
presentado por Doña R.R.R., en representación de Doña O.O.O., en el que
denuncia que, en el transcurso de un juicio oral que tuvo lugar con motivo de
una agresión sufrida por su madre, Doña O.O.O., el abogado de la parte
contraria presentó como prueba una copia de la factura de dos audífonos
comprados por la afectada en un establecimiento de General Óptica en (......).
Asimismo denuncia que el citado abogado presentó documentación con
relación al historial auditivo de la Sra. O.O.O.. Aporta un vídeo del juicio sobre
agresiones sufridas por su madre.
SEGUNDO: Dentro de las actuaciones previas de investigación realizadas por
la Inspección de Datos con objeto de aclarar los hechos demandados, se
verificaron los siguientes extremos:
- Según consta en la Diligencia que se incorpora a estas Actuación previas de
inspección, del visionado del vídeo remitido por la denunciante se desprende
que el abogado de la parte contraria presenta un documento que le es
entregado al juez, aportando datos relativos a fechas en que la afectada realizó
distintas compras de audífonos.
- Según consta en el escrito remitido por General Óptica, S.A., tras ser
investigados los hechos la entidad ha podido constatar las siguientes
circunstancias con relación a la documentación presentada en el juicio:
1.1 “Según parece, en virtud de una sentencia dictada en un juicio de faltas, la
parte condenada a indemnizar a Dña. O.O.O. presentó al Juzgado, como
prueba documental acreditativa de la valoración de la responsabilidad civil a
que había sido condenado, el citado documento”.
1.2 “La citada factura aparece impresa en papel con membrete de General
Óptica y presenta identificativos de que dicho documento fue enviado en
febrero de 2005 por medio de Fax desde la Tienda de General Óptica de
(......................), al número de teléfono de (......) ########”.
1.3 “En esas mismas fechas, el personal que trabaja en (......) que atiende a la
Sra. O.O.O., nos ha confirmado que recibieron la visita de una persona que
solicitaba obtener una copia de la documentación correspondiente a la compra
de audífonos que la Sra. O.O.O. había realizado en la misma. El personal de
(......) se negó a acceder a la solicitud........sin embargo a la vista de la negativa,
el abogado de dicha persona, D. G.G.G., ejerciente en (......), manifestó a su
cliente posibilidad de obtener el citado documento por otra vía”.
1.4 Consultado los archivos electrónicos que controlan el acceso al fichero de
Clientes, hemos podido comprobar que el 28 de febrero de 2005, Don A.A.A.
realizó 7 accesos a la ficha correspondiente a la Sra. O.O.O., desde la tienda
de (......................)”.
1.5 “Ante estar circunstancias, concluye General Óptica que cabe deducir que
el Sr. G.G.G.,....,conoce al “Cargo 1” de la Oficina de (......) y, abusando de su
Página 142 de 353
amistad, logró que este violara la política de protección de la información de la
empresa, extrajera una copia del citado documento y se la remitiera por fax,
según puede comprobarse en el documento”.
1.6 Asimismo, General Óptica aportó junto al citado escrito, una carta firmada
por el Director de la Tienda de (......), Don A.A.A., en el que declara haber
facilitado el citado documento que contenía los datos existentes en los ficheros
de la entidad relativos a Doña O.O.O. Ochoa.
TERCERO: Con fecha 24 de enero de 2008, el Director de la Agencia Española
de Protección de Datos acordó iniciar procedimiento sancionador a General
Óptica, S.A., con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto
1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de
la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo
establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de carácter personal (en lo sucesivo
LOPD), por la presunta infracción del artículo 10 de la citada norma, tipificada
como muy grave en el artículo 44.4.g), pudiendo ser sancionadas con multa de
a 300.506,05 € a 601.012,10 €, de acuerdo con el artículo 45.3 de la citada Ley
Orgánica.
CUARTO: Notificado el citado acuerdo de inicio de procedimiento sancionador,
a General Óptica, S.A., adujo lo siguiente: la entidad es una de las principales
empresas de prestación de servicios de óptica y audiometría de España, con
centros especializados en toda España, teniendo acceso desde los
establecimientos a los datos de los clientes. Los hechos acaecidos fueron
consecuencia de la aportación de un documento de General Óptica sobre el
precio de unos audífonos de la denunciante. Realizadas las investigaciones
oportunas, por parte de General Óptica se comprobó que el Director del
establecimiento de (......................), accedió a los datos de la denunciante el día
28 de febrero de 2005, remitiendo un fax con esos datos a un amigo suyo de
(......), que lo utilizó en juicio, vulnerando la política de protección de datos de la
empresa. General Óptica exigió la dimisión del “Cargo 1” del establecimiento de
(......) y ofreció una colaboración total con la Agencia Española de Protección
de Datos. General Óptica mantiene una política estricta de protección de datos,
ha impartido formación entre el personal, implantó las medidas de seguridad
conforme a los datos que se tratan. El hecho denunciado no es un hecho
aislado sino único. General Óptica ha denunciado al abogado que uso su
relación de amistad para que el Director del centro de (......) incumpliera las
normas de protección de datos. Los hechos sucedidos son irrefutables,
debiendo destacarse que General Óptica ha investigado en profundidad lo
sucedido, pidió responsabilidad al trabajador que incumplió la normativa de
protección de datos, tal y como impone la empresa, y reconoce la
responsabilidad. Sin perjuicio de ello, considera que es de aplicación lo
dispuesto en el artículo 45.5 de la LOPD, ya que no hubo intención para que
ocurriera lo que sucedió, a lo que se debe añadir que General Óptica ha
invertido grandes esfuerzos para impedir estos hechos. Mantiene unas
medidas de seguridad que consiguieron aclarar lo sucedido en un plazo
brevísimo. General Óptica mantiene a su personal responsabilizado de la
trascendencia de la protección de datos, no pudiendo evitar que un trabajador
facilitara un documento que contenía información confidencial a un amigo,
Página 143 de 353
trabajador que dimitió de forma inmediata tras prestar servicios en la empresa
durante más de 20 años, lo que evitó que se tomaran medidas disciplinarias.
Se pidió disculpas inmediatamente a la denunciante.
QUINTO: Al haberse reconocido la responsabilidad por la imputada, procede la
aplicación de lo dispuesto en el artículo 8.1 de Real Decreto 1398/1993, de 4
de agosto, por el que se aprueba el Reglamento del Procedimiento para el
Ejercicio de la Potestad Sancionadora, que dispone que “Iniciado un
procedimiento sancionador, si el infractor reconoce su responsabilidad, se
podrá resolver el procedimiento, con la imposición de la sanción que proceda”,
por lo que se eleva al Director de la Agencia Española de Protección de Datos
a los efectos de que dicte resolución al respecto.
HECHOS PROBADOS
PRIMERO: Doña O.O.O. es cliente de General Óptica de (......), donde adquirió,
en fecha 30 de octubre de 2003, dos audífonos, con un coste de 1537,80 euros
(folio 2).
SEGUNDO: Con motivo de una agresión sufrida por la Sra. O.O.O. en la que
sufrió la rotura de uno de los audífonos, denuncio los hechos dando lugar a un
Juicio de Faltas, durante el cual el abogado del denunciado aportó copia de la
factura de los audífonos de su madre que tenía General Óptica (folio 3 y 5).
TERCERO: General Óptica comprobó que la factura se había enviado en el
mes de febrero de 2005, a través de fax, desde la tienda situada en (......) en la
calle de la (......), desde la cual el Director había accedido siete veces a la ficha
de la Sra. O.O.O. (folio 31).
CUARTO: El abogado de la persona denunciada por la Sra. O.O.O. obtuvo
copia de la factura de los audífonos a través del Director del establecimiento
General Óptica de (......), sita en la calle de la (......) (folio 31).
QUINTO: El “Cargo 1” del establecimiento General Óptica de (......), sita en la
calle de la (......), empezó a trabajar en dicha empresa en el año (aaaa),
ocupando el cargo de “Cargo 1” desde el dd/mm/aaaa. El “Cargo 1”
mencionado presentó su dimisión de forma inmediata al esclarecimiento de los
hechos, evitando el despido por parte de General Óptica (folios 31 y 32).
SEXTO: General Óptica ha denunciado al abogado del denunciado por mala
praxis profesional y violación de la normativa de protección de datos al Colegio
de Abogados de (......) (folio 69, 76-84).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
El artículo 10 de la LOPD dispone:
“El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
Página 144 de 353
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero o,
en su caso, con el responsable del mismo.”
El deber de secreto profesional que incumbe a los responsables de los
ficheros, recogido en el artículo 10 de la LOPD, comporta que el responsable
de los datos almacenados no pueda revelar ni dar a conocer su contenido
teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de
finalizar sus relaciones con el titular del fichero o, en su caso, con el
responsable del mismo”. Este deber es una exigencia elemental y anterior al
propio reconocimiento del derecho fundamental a la libertad informática a que
se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de
noviembre, y por lo que ahora interesa, comporta que los datos tratados
automatizadamente no pueden ser conocidos por ninguna persona o entidad
ajena fuera de los casos autorizados por la Ley, pues en eso consiste
precisamente el secreto.
Este deber de secreto resulta esencial en las sociedades actuales cada vez
más complejas, en las que los avances de la técnica sitúan a la persona en
zonas de riesgo para la protección de derechos fundamentales, como la
intimidad o el derecho a la protección de los datos que recoge el artículo 18.4
de la Constitución Española. En efecto, este precepto contiene un “instituto de
garantía de los derechos de los ciudadanos que, además, es en sí mismo un
derecho o libertad fundamental, el derecho a la libertad frente a las potenciales
agresiones a la dignidad y a la libertad de la persona provenientes de un uso
ilegítimo del tratamiento mecanizado de datos” (Sentencia del Tribunal
Constitucional 292/2000). Este derecho fundamental a la protección de datos
persigue garantizar a esa persona un poder de control sobre sus datos
personales, sobre su uso y destino, que impida que se produzcan situaciones
atentatorias con la dignidad de la persona, es decir, el poder de resguardar su
vida privada de una publicidad no querida.
III
La Agencia Española de Protección de Datos ha resuelto numerosos
procedimientos sancionadores, por infracción del artículo 10 de la LOPD, por
incumplir el deber de secreto sobre los datos de carácter personal incorporados
a ficheros.
En el presente procedimiento, se imputa a General Óptica, S.A. la vulneración
del deber de guardar secreto sobre datos de salud de una clienta.
El artículo 7 de la LOPD establece un régimen específicamente protector
diseñado por el Legislador para aquellos datos personales que proporcionan
una información de esferas más íntimas del individuo, a los que se califica en el
citado artículo como “Datos especialmente protegidos”. Para las diversas
categorías de éstos, el precepto citado establece específicas medidas para su
protección. En el supuesto de los datos de salud, el Legislador español,
siguiendo al Consejo de Europa (artículo 6 del Convenio 108/81, de 28 de
enero, del Consejo de Europa, para la protección de las personas con respecto
al tratamiento automatizado de datos de carácter personal) y al Derecho
Comunitario (artículo 8 Directiva 95/46/CEE, del Parlamento y del Consejo, de
24 de octubre relativa a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos), los
Página 145 de 353
considera como especialmente protegidos y prevé que sólo puedan ser
recabados, tratados y cedidos, cuando por razones de interés general así lo
disponga una Ley o el afectado consienta expresamente. Ello quiere decir que,
solamente en estos supuestos específicos, dichos datos podrán ser tratados.
El artículo 7.2 de la LOPD, para el tratamiento de datos especialmente
protegidos que revelen la ideología, afiliación sindical, religión y creencias,
exige el consentimiento expreso y por escrito del afectado. Por su parte, el
artículo 7.3 señala, para el tratamiento de los datos de salud, la exigencia de
consentimiento expreso del afectado, pero no la relativa a que deba constar por
escrito. Cabe, en consecuencia, admitir la posibilidad de que la manifestación
del consentimiento expreso no conste por escrito. Sin embargo, esta posibilidad
debe ponerse en relación con los elementos que integran la definición de
consentimiento recogida en el artículo 3. h) de la LOPD, que dispone que lo
será “Toda manifestación de voluntad, libre, inequívoca, específica e
informada, mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen”. De la citada definición resulta particularmente
relevante el extremo de que la manifestación de voluntad haya de ser
informada, pues sin él difícilmente concurrirán los otros, en especial que sea
inequívoca y específica.
La letra a) del artículo 5.1 de la LOPD menciona específicamente que debe
informarse de las finalidades de la recogida de los datos, las cuales, según el
artículo 4.1 de la misma norma deben ser “determinadas, explícitas y
legítimas”.
En consecuencia, la posibilidad de admitir un consentimiento expreso que no
conste por escrito para el tratamiento de los datos de salud, se encuentra
condicionada a que pueda acreditarse que es una manifestación de voluntad
libre, inequívoca y específica, que se presta una vez que se ha tenido
conocimiento de una concreta información entre la que, necesariamente, ha de
constar la finalidad determinada, explícita y legítima del tratamiento que se va a
realizar sobre los datos personales del afectado. Lógicamente, la concurrencia
de los extremos expuestos deberá constatarse en cada caso concreto.
En el presente caso, ha quedado acreditado que el “Cargo 1” del
establecimiento de General Óptica en la calle (......) de (......) accedió a una
factura de unos audífonos, a nombre de la denunciante, facilitándola a un
abogado de (......) que la aportó como prueba en un juicio de faltas, sin el
consentimiento de la afectada y sin que tuviese ninguna habilitación legal para
facilitar la información de sus pacientes sin disociar.
Dado que ha quedado acreditado que un trabajador de General Óptica ha
facilitado un documento con datos de salud de la denunciante, y se ha
constatado que un abogado tuvo acceso al mismo, es evidente la vulneración
del deber de secreto por parte de dicha entidad, que es responsable de la
custodia de los ficheros de clientes, en los que constan datos de salud de las
personas que acuden al mismo.
IV
La LOPD califica la vulneración del deber de secreto como infracción leve,
grave o muy grave, dependiendo del contenido de la información facilitada al
tercero. Así, el artículo 44.4.g), califica como muy grave: “La vulneración del
deber de guardar secreto sobre los datos de carácter personal a que hacen
Página 146 de 353
referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido
recabados para fines policiales sin consentimiento de las personas afectadas.”
Ha quedado acreditado en el presente procedimiento sancionador que se
accedió a los datos incluidos en una factura y se facilitó dicha información a
una persona distinta de la interesada sin su consentimiento, por lo que se
realizó un tratamiento de datos de salud incluidos en el artículo 7.3 de la LOPD.
De acuerdo con lo señalado, se considera que General Óptica, S.A. ha
incurrido en la infracción muy grave tipificada en el artículo 44.4.g) de la LOPD.
V
El artículo 45.3, 4 y 5 de la LOPD señala lo siguiente:
“3. las infracciones muy graves serán sancionadas con multas de 300.506,05 €
a 601.012,10 €”.
“4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los
derechos personales afectados, al volumen de los tratamientos efectuados, a
los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los
daños y perjuicios causados a las personas interesadas y a terceras personas,
y a cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.”
“5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada
disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el
órgano sancionador establecerá la cuantía de la sanción aplicando la escala
relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate.”
La Audiencia Nacional, en la Sentencia de fecha 9 de octubre de 2006, en el
Recurso 271/2005, con relación a los criterios de aplicación de lo establecido
en el artículo 45.5 indicaba, en el Fundamento de Derecho Cuarto, lo siguiente:
“En el presente caso, a juicio de la Sala, concurren circunstancias que mitigan
el juicio de reproche dirigido a la entidad actora por la trasgresión de la normas
antes invocada. Esta menor culpabilidad se sustenta en los siguientes hechos:
1. XXXX había aprobado un Documento de Seguridad siguiendo las
prescripciones legales.
2. En la organización se habían implantado con arreglo a dicho Documento de
Seguridad diversas medidas de seguridad.
3. La vulnerabilidad de las medidas de seguridad implantadas, según se
acreditó en el proceso judicial seguido por estos hechos en el Juzgado de
Instrucción núm. 3 de León, vino determinada fundamentalmente por la
actuación de un empleado de la entidad que se prevalió de su condición de
directivo.
4. XXXX actuó de forma inmediata una vez conocidos los hechos
abriendo una investigación que permitió conocer la forma en que había sido
vulnerada la obligada confidencialidad de los datos personales.
5. XXXX procedió al despido del directivo que accedió indebidamente a los
datos personales de los compromisarios.
Cuando se aprecia una cualificada disminución de la culpabilidad el art. 45.5 de
la LOPD (RCL 1999\3058) ordena que se aplique la sanción que preceda en
gravedad en la escala correspondiente a la clase de infracciones...”
Página 147 de 353
En el procedimiento presente se producen las mismas circunstancias, ya que
General Óptica tiene un Documento de Seguridad conforme al tipo de datos
que contienen sus ficheros; mantiene una política de confidencialidad en
cuanto al tratamiento y cesión de los datos personales que tratan, dando
cursos de formación en la materia a sus empleados; la vulneración del deber
de secreto se produjo por la actuación de un Directivo de la sociedad, que
inmediatamente dimitió para evitar el despido; en el momento en que se
constataron los hechos, pidió disculpas a la denunciante. En consecuencia,
conforme a dicha doctrina, procede aplicar el artículo 45.5 por estos motivos
señalados.
General Óptica, S.A. no ha obtenido beneficio alguno, no ha existido
reincidencia, lo que ha de ser tenido en cuenta a tenor de los criterios de
graduación de las sanciones recogidos en el artículo 45.4 de la LOPD, por lo
que procede la imposición de la sanción en su cuantía mínima.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GENERAL OPTICA, S.A., por una infracción
del artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de
dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con
veintiún céntimos), de conformidad con lo establecido en el artículo 45. 3, 4 y 5
de la citada Ley Orgánica.
SEGUNDO: NOTIFICAR la presente resolución a GENERAL OPTICA, S.A.,
con domicilio en (c/……………………………), y a DOÑA R.R.R. con domicilio
en (c/………………………...).
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla
efectiva en el plazo de pago voluntario que señala el artículo 68 del
Reglamento General de Recaudación, aprobado por Real Decreto 939/2005,
de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre,
mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000
abierta a nombre de la Agencia Española de Protección de Datos en el Banco
Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su
recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15
de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la
notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo
del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Página 148 de 353
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 14 de abril de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 149 de 353
Procedimiento Nº PS/00039/2008
RESOLUCIÓN: R/00957/2008
En el procedimiento sancionador PS/00039/2008, instruido por la Agencia
Española de Protección de Datos a D. S.S.S., vista la denuncia presentada por
D.
M.M.M. y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha de 10/11/06 tuvo entrada en esta Agencia un escrito
remitido por D. M.M.M. (en lo sucesivo el denunciante) en el que manifiesta que
el abogado D. S.S.S. le llevó diversos asuntos para lo cual le facilitó sus datos
y papeles, sin que le informase sobre el tratamiento informatizado, ni de la
posibilidad de ejercer los derechos de acceso, rectificación y cancelación. Esta
es la práctica habitual con todos los clientes del despacho profesional.
Manifiesta también que los datos personales de los clientes son incluidos en un
fichero automatizado ubicado en un ordenador que carece de contraseña de
entrada, y que dicho fichero no se encuentra inscrito en la Agencia.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, girándose visita de
inspección al despacho profesional de D. S.S.S. y teniendo conocimiento de los
siguientes extremos:
1. D. S.S.S. manifestó que el denunciante fue colaborador independiente y
esporádico del citado despacho durante unos cinco años, cesando a voluntad
propia en su actividad el 31/08/06.
2. El despacho guarda los datos relativos a sus clientes en el fichero
denominado “CLIENTES“, al cual tienen acceso una de las administrativas y
siempre a solicitud de D. S.S.S.. Este fichero únicamente guarda la referencia
al asunto tratado y sirve como referencia para localizar el expediente en
soporte papel. Los datos de este fichero se eliminan cuando han transcurrido
entre tres y seis meses desde que el asunto ha finalizado, no conservándose
ningún tipo de registro. Por otra parte, en relación con los expedientes en papel
de los asuntos acabados, se procede de la siguiente manera:
o Se llama a los clientes para que recojan los documentos originales
incluidos en el expediente y se les informa que se va a destruir el mismo.
o Las copias de los documentos en papel se depositan en una caja que
suministra el Ayuntamiento de (...........). Una vez que se ha llenado la caja, se
llama al Ayuntamiento que es el encargado de recoger la bolsa con el papel
para proceder a su destrucción. No existe ningún tipo de documentación
contractual que regule el servicio que presta ya que actúa a petición de los
interesados.
o Los expedientes en papel se encuentran ubicados en una habitación que
permanece cerrada con llave.
Página 150 de 353
3. Los clientes no son informados conforme a las especificaciones del artículo 5
de la LOPD ya que se trata de asuntos de estricta confidencialidad de los
clientes.
4. En cuanto a la inscripción del fichero en el Registro General de Protección
de Datos, se encuentra en trámites de consulta al respecto al Colegio de
Abogados de Madrid.
5. La aplicación informática que gestiona el fichero es mantenida por el
personal del propio despacho.
6. Aunque el despacho dispone de algunas medidas de seguridad tales como
el acceso a los sistemas informáticos mediante contraseña o la instalación de
cámaras de vídeo vigilancia, éstas no se encuentran recogidas en un
documento específico.
7. Los empleados del despacho han firmado un compromiso de
confidencialidad entre los que se encuentra el que en su día firmó el
denunciante como empleado del citado despacho.
8. El acceso al ordenador que contiene el fichero denominado “CLIENTES“ ,se
realiza sin necesidad de introducir ningún tipo de contraseña. En el escritorio
(pantalla acceso) existe un acceso directo al fichero de clientes sin necesidad
de introducir una contraseña.
9. El fichero contiene 3.381 registros correspondientes a los asuntos que se
siguen en el despacho y contiene los siguientes campos: apellidos, nombre,
dirección, teléfonos, asunto y expediente.
10. En el citado fichero consta un asunto con número *+*+ correspondiente a
información relativa al denunciante. Según manifestaciones de D. S.S.S., esta
información no se ha destruido porque se trata de un asunto que éste llevaba
directamente referido a un tema familiar que el mismo dio de alta en el fichero,
al igual que todos sus propios asuntos, no habiendo comunicado al despacho
la finalización del mismo para proceder a su destrucción.
TERCERO: Con fecha 11/02/08, el Director de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador al denunciado,
con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de
20 de junio, por el que se desarrollan determinados aspectos de la Ley
Orgánica 5/1992, que continua en vigor de conformidad con lo establecido en la
disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), por las
presuntas infracciones de los artículos 9 y 26.1 de la citada Ley Orgánica,
tipificadas como grave y leve respectivamente en los artículos 44.3.h) y 44.2.c)
de dicha norma, pudiendo ser sancionado con multa de 60.101,21 € a
300.506,05 por la comisión de la infracción grave, y de 601,01 € a 60.101,21 €
por la comisión de la infracción leve, de acuerdo con el artículo 45.1 y 2 de la
LOPD.
CUARTO: Notificado el citado acuerdo de inicio del procedimiento sancionador,
el denunciado formuló alegaciones en las que solicita el archivo del
procedimiento por caducidad, al tiempo que manifiesta que se ha procedido a
la inscripción del fichero. Adjunta resolución de fecha 06/07/07 del Director de
la Agencia de inscripción del fichero “CLIENTES Y/O PROVEEDORES”.
QUINTO: En fecha 24/03/08, se acordó por el instructor del procedimiento la
apertura de un período de práctica de pruebas, en el que se dieron por
Página 151 de 353
reproducidos a efectos probatorios la denuncia interpuesta por D. M.M.M. y su
documentación, los documentos obtenidos y generados por los Servicios de
Inspección ante D. S.S.S., el informe de actuaciones previas de inspección y
las alegaciones y prueba presentadas por D. S.S.S. al acuerdo de inicio del
presente procedimiento.
SEXTO: Con fecha 10/04/08 tuvo entrada en esta Agencia escrito de D.
M.M.M. solicitando la personación en el procedimiento.
SÉPTIMO: Concluido el período probatorio se inició el trámite de audiencia, de
conformidad con lo establecido en el artículo 18.4 del citado Real Decreto
1332/1994, en el que el denunciante obtuvo copia de documentos obrantes en
el procedimiento, así como D. S.S.S. que solicitó y obtuvo una ampliación del
plazo de alegaciones.
OCTAVO: Con fecha 05/06/08 se emitió Propuesta de Resolución en el sentido
de que por el Director de la Agencia Española de Protección de Datos se
sancionase a D. S.S.S. con multas de 60.101,21 € (sesenta mil ciento un euros
con veintiún céntimos) y 601,01 € (seiscientos un euro con un céntimo) por las
infracciones de los artículos 9 y 26.1 de la LOPD, tipificadas como grave y leve,
respectivamente, en los artículos 44.3.h) y 44.2.c) de dicha norma.
NOVENO: Notificada dicha propuesta D. S.S.S. reiteró sus anteriores
alegaciones, aportó copia de documento de seguridad implementado en su
despacho profesional, y solicitó la aplicación del artículo 45.5 de la LOPD.
HECHOS PROBADOS
PRIMERO: Con fecha 20/02/07, en el despacho profesional de D. S.S.S. se
encontraba ubicado, en un ordenador, un fichero automatizado para el
desempeño de su profesión de abogado, conteniendo datos relativos a nombre,
apellidos, dirección, y número de teléfono de sus clientes. Asimismo se
encuentra registrada información acerca del tipo de asunto y expediente. Dicho
fichero contiene en tal fecha 3.381 registros correspondientes a los asuntos
que se siguen en el despacho (folios 43-45).
SEGUNDO: En el citado fichero consta un asunto con número *+*+ con el
nombre y apellidos, dirección del denunciante y asunto tramitado por el
despacho (folio 48)
TERCERO: El acceso al ordenador que contiene el fichero denominado
“CLIENTES“ se realiza sin necesidad de introducir ningún tipo de contraseña.
En el escritorio (pantalla acceso) existe un acceso directo al fichero de clientes
sin necesidad de introducir una contraseña o código (folios 43-45)
CUARTO: Según las declaraciones de D. S.S.S., incorporadas al Acta de
inspección E/60/2007-I/1/2005, el despacho guarda los datos relativos a sus
clientes en el fichero denominado “CLIENTES” que únicamente guarda
referencia al asunto tratado y sirve de referencia para localizar el expediente en
soporte papel, y el despacho no dispone de documento de seguridad (folios 4345).
QUINTO: El fichero denominado “CLIENTES Y/O PROVEEDORES” fue inscrito
en el Registro General de Protección de Datos con código ######## según
resolución de fecha 06/07/07 del Director de la Agencia Española de Protección
de Datos (folio 167).
Página 152 de 353
SEXTO: Consta en el expediente “Documento de Seguridad” de ficheros con
datos de carácter personal implementado en el despacho profesional de D.
S.S.S. (folios 214-248, 251-253, 260-338).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
Con carácter previo debe resolverse la caducidad de las actuaciones previas
de investigación alegada por D. S.S.S.. En este sentido el artículo 112 del Real
Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento
de desarrollo de la LOPD, vigente desde el 19/04/08, dispone:
“1. Con anterioridad a la iniciación del procedimiento sancionador, se podrán
realizar actuaciones previas con objeto de determinar si concurren
circunstancias que justifiquen tal iniciación. En especial, estas actuaciones se
orientarán a determinar, con la mayor precisión posible, los hechos que
pudieran justificar la incoación del procedimiento, identificar la persona u
órgano que pudiera resultar responsable y fijar las circunstancias relevantes
que pudieran concurrir en el caso.
2. Las actuaciones previas se llevarán a cabo de oficio por la Agencia Española
de Protección de Datos, bien por iniciativa propia o como consecuencia de la
existencia de una denuncia o una petición razonada de otro órgano.
3. Cuando las actuaciones se lleven a cabo como consecuencia de la
existencia de una denuncia o de una petición razonada de otro órgano, la
Agencia Española de Protección de Datos acusará recibo de la denuncia o
petición, pudiendo solicitar cuanta documentación se estime oportuna para
poder comprobar los hechos susceptibles de motivar la incoación del
procedimiento sancionador.
4. Estas actuaciones previas tendrán una duración máxima de doce meses a
contar desde la fecha en la que la denuncia o petición razonada a las que se
refiere el apartado 2 hubieran tenido entrada en la Agencia Española de
Protección de Datos o, en caso de no existir aquéllas, desde que el Director de
la Agencia acordase la realización de dichas actuaciones.
El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de
inicio de procedimiento sancionador producirá la caducidad de las actuaciones
previas.” Por su parte su Disposición Transitoria Quinta “Régimen transitorio de
las actuaciones previas” establece:
“A las actuaciones previas iniciadas con anterioridad a la entrada en vigor del
presente real decreto, no les será de aplicación el mismo, rigiéndose por la
normativa anterior.
El presente real decreto se aplicará a las actuaciones previas que se inicien
después de su entrada en vigor.”
Atendiendo a la citada normativa debe rechazarse la caducidad de actuaciones
alegadas por el denunciado habida cuenta de que las actuaciones previas de
inspección del presente procedimiento sancionador se verificaron con
anterioridad a la entrada en vigor del citado Real Decreto 1720/2007.
Página 153 de 353
III
Se imputa en el presente procedimiento a D. S.S.S. una infracción del artículo 9
de la LOPD, que dispone:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento,
deberán adoptar las medidas de índole técnica y organizativas necesarias que
garanticen la seguridad de los datos de carácter personal y eviten su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las
condiciones que se determinen por vía reglamentaria con respecto a su
integridad y seguridad y a las de los centros de tratamiento, locales, equipos,
sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban
reunir los ficheros y las personas que intervengan en el tratamiento de los
datos a que se refire el artículo 7 de esta Ley”.
El citado artículo 9 de la LOPD establece el “principio de seguridad de los
datos” imponiendo la obligación de adoptar las medidas de índole técnica y
organizativa que garanticen aquella, añadiendo que tales medidas tienen como
finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de
terceros.
La LOPD impone al responsable del fichero la adopción de medidas de
seguridad, cuyo detalle se refiere a normas reglamentarias.
El Real Decreto 994/1998, de 11 de junio, por el que se aprueba el Reglamento
de medidas de seguridad de los ficheros automatizados que contengan datos
de carácter personal, que continúa en vigor de acuerdo con lo estipulado en la
disposición transitoria tercera de la LOPD, prevé en su artículo 4.1 que “todos
los ficheros que contengan datos de carácter personal deberán adoptar las
medidas de seguridad calificadas como de nivel básico” y añade en el artículo
4.3 que “los ficheros que contengan datos de ideología, religión creencias,
origen racial, salud o vida sexual así como los que contengan datos recabados
para fines policiales, sin consentimiento de las personas afectadas deberán
reunir, además de las medidas de nivel básico y medio, las calificadas de nivel
alto”.
El artículo 8.1 y 2 del citado Reglamento dispone lo siguiente:
“1. El responsable del fichero elaborará e implantará la normativa de seguridad
mediante un documento de obligado cumplimiento para el personal con acceso
a los datos automatizados de carácter personal y a los sistemas de
información”.
“2. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los
recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estándares encaminados a
garantizar el nivel de seguridad exigido en este Reglamento.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros con datos de carácter personal y descripción
de los sistemas de información que los tratan.
e) Procedimientos de notificación, gestión y respuesta ante las incidencias. f)
Los procedimientos de realización de copias de respaldo y de recuperación de
datos”.
Página 154 de 353
El artículo 11.1 del citado Real Decreto señala que “el responsable del fichero
se encargará de que exista una relación actualizada de usuarios que tengan
acceso autorizado al sistema de información y de establecer procedimientos de
identificación y autenticación para dicho acceso.”.
IV
En este caso, en la inspección realizada con fecha 20/02/07, por el Servicio de
Inspección de esta Agencia, se comprobó que en el despacho profesional de D.
S.S.S. se encontraba ubicado un fichero automatizado conteniendo datos
relativos a nombre, apellidos, número de teléfono de sus clientes, el asunto
despachado.
Asimismo se constató que el acceso al fichero no se encontraba protegido
mediante la introducción de un código o contraseña.
Según manifestó el denunciado en el curso de la citada inspección, su fichero
no disponía de documento de seguridad.
La conclusión que se extrae de tales hechos es que, en este caso, deben
entenderse incumplidas las garantías que exigen los artículos 8 y 11 del citado
Real Decreto 994/1998 y, en consecuencia, vulnerado el artículo 9 de la LOPD.
V
El artículo 44.3.h) de la LOPD, considera infracción grave: “Mantener los
ficheros, locales, programas o equipos que contengan datos de carácter
personal sin las debidas condiciones de seguridad que por vía reglamentaria se
determinen”.
Dado que ha existido vulneración del “principio de seguridad de los datos”,
recogido en el artículo 9 de la LOPD, se considera que el denunciado ha
incurrido en la infracción grave descrita.
VI
El artículo 26.1 de la LOPD establece: “1. Toda persona o entidad que proceda
a la creación de ficheros de datos de carácter personal lo notificará
previamente a la Agencia de Protección de Datos.”
En el presente caso, ha quedado acreditado que D. S.S.S. procedió a la
creación de un fichero de datos de carácter personal “CLIENTES” sin haberlo
notificado previamente a esta Agencia, habiéndose constatado que con
posterioridad, el 06/07/07, procedió a la notificación e inscripción del mismo en
el Registro General de Protección de Datos de esta Agencia.
VII
El artículo 44.2.c) de la LOPD considera infracción leve: “No solicitar la
inscripción del fichero de datos de carácter personal en el Registro General de
Protección de Datos, cuando no sea constitutivo de infracción grave” D. S.S.S.
ha incurrido en la infracción del artículo 26.1 de la LOPD al no acreditar la
notificación e inscripción del referido fichero, con anterioridad a su creación, en
el Registro General de Protección de Datos, que encuentra su tipificación en el
artículo 44.2.c) de la citada Ley Orgánica.
VIII
Página 155 de 353
El artículo 45.1, 2, 4 y 5 de la LOPD, establece: “1. Las infracciones leves
serán sancionadas con multa de 601,01 € a 60.101,21 €. 2. Las infracciones
graves serán sancionadas con multa de 60.101,21 a 300.506,05 €.
4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los
derechos personales afectados, al volumen de los tratamientos efectuados, a
los beneficios obtenidos, al grado de intencionalidad, a la reincidiencia, a los
daños y perjuicios causados a las personas interesadas y a terceras personas,
y a cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada
disminución de la culpabilidad del imputado o de la antijuricidad del hecho, el
órgano sancionador establecerá la cuantía de la sanción aplicando la escala
relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate.”
La aplicación con carácter excepcional del citado artículo 45.5 de la LOPD,
exige la concurrencia de, al menos, uno de los siguientes requisitos: a)
Disminución de la culpabilidad del imputado y b) Disminución de la antijuricidad
del hecho.
Dicho artículo, que no es sino la manifestación del llamado principio de
proporcionalidad (art. 131 de la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo
Común), incluido en el más general de prohibición de exceso reconocido por la
Jurisprudencia como Principio General del Derecho (Sentencia del Tribunal
Constitucional 62/1982), y es consecuencia del valor justicia que informa
nuestro Ordenamiento Jurídico (Art. 1 de la Constitución Española), sin
embargo debe aplicarse con exquisita ponderación, y sólo en los casos en los
que la culpabilidad resulte sustancialmente atenuada atendidas las
circunstancias del caso concreto.
En el presente caso, no consta acreditada intencionalidad ni reincidencia en la
conducta imputada a D. S.S.S. consistente en vulnerar las medidas de
seguridad en relación con los datos de carácter personal de sus clientes,
apreciándose una cualificada disminución de la culpabilidad. En consecuencia,
teniendo en cuenta la rapidez para corregir la infracción cometida una vez tuvo
conocimiento de la misma, y las medidas adoptadas tales como la implantación
de un documento de seguridad, procede imponer a D. S.S.S. una sanción de
3.000 € por la infracción del artículo 44.3.h) de la LOPD en aplicación de lo
dispuesto en el trascrito artículo 45.5 de la LOPD.
Por otra parte y atendiendo a los criterios de graduación de las sanciones
recogidos en el artículo 45.4, y en concreto la ausencia de beneficios y daños a
perjuicios, que no se acredita, causados a terceras personas, procede imponer
una sanción de 601,01 € por la infracción del artículo 44.2.c) de la LOPD.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. S.S.S., por una infracción del artículo 9 de la LOPD,
Página 156 de 353
tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 3.000
€ (tres mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de
la citada Ley Orgánica.
SEGUNDO: IMPONER a D. S.S.S., por una infracción del artículo 26.1 de la
LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de
601,01 € (seiscientos un euros con un céntimo) de conformidad con lo
establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
TERCERO: NOTIFICAR la presente resolución a D. S.S.S. con domicilio en
(C/……………………………..........) y a D. M.M.M. con domicilio en
(C/…………………………………..).
CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla
efectiva en el plazo de pago voluntario que señala el artículo 68 del
Reglamento General de Recaudación, aprobado por Real Decreto 939/2005,
de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre,
mediante su ingreso en la cuenta restringida nº 0000 0000 00 000000000
abierta a nombre de la Agencia Española de Protección de Datos en el Banco
Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su
recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15
de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la
notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo
del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso
administrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 22 de julio de 2008
Página 157 de 353
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 158 de 353
Procedimiento Nº PS/00371/2009
RESOLUCIÓN: R/02085/2009
En el procedimiento sancionador PS/00371/2009, instruido por la Agencia
Española de Protección de Datos a la entidad ADVANCED PROMOTIONS S.L.
vista la denuncia presentada por C.C.C. ABOGADOS, S.A.P.U. y en base a los
siguientes,
ANTECEDENTES
PRIMERO: Con fecha 11 de marzo de 2009 tuvo entrada en esta Agencia
escrito del Administrador Único del despacho de abogados C.C.C.
ABOGADOS, S.A.P.U. (en lo sucesivo el denunciante) comunicando la
recepción, vía fax, de publicidad no consentida.
Anexado al escrito de denuncia enviado por correo electrónico se remitía
archivo adjunto con, según se indicaba, “el último fax recibido”.
SEGUNDO: En el marco de las actuaciones previas de investigación llevadas a
cabo por la Inspección de Datos de la Agencia Española de Protección de
Datos (en lo sucesivo AEPD) para el esclarecimiento de los hechos
denunciados, se ha tenido conocimiento de los siguientes hechos:
1. Con fecha 21 de diciembre de 2008 se recibió en el fax del despacho de
abogados C.C.C. ABOGADOS, S.A.P.U. una transmisión publicitando los libros
“El abogado eficaz” y “Turno de Oficio y Justicia Gratuita”, incluyendo en su
texto una pequeña reseña de los mismos así como su precio de venta en
promoción, teléfono de contacto para la realización de pedidos y una dirección
de correo electrónico y sitio web de difusión de los libros.
2. En la cabecera del reseñado Fax aparece como origen del mismo la entidad
ADVANCED PROMOTIONS S.L. y el número de línea Fax #######.
3. En el pie de página del Fax consta la siguiente indicación: “P.D. Si desea
que cancelemos nuestros envíos publicitarios. Por favor indíquenos su número
de fax.”
4. El Administrador único de la entidad receptora del fax ha denunciado que
dicha transmisión publicitaria no contaba con su consentimiento al tratarse de
publicidad no deseada.
5. El día 28 de mayo de 2009 tuvo entrada en esta agencia un escrito de
FRANCE TELECOM ESPAÑA S.A.U. en el que, en respuesta al requerimiento
de información efectuado, comunicaba que a fecha 21 de diciembre de 2008 el
titular de la línea identificada con el número ####### era la sociedad
PREMIUM NUMBERS, S.L., con C.I.F. *********A, con domicilio en (.......).
Igualmente señalaba que “No obstante, y según nos consta, el servicio se
presta por ADVANCED PROMOTIONS S.L., con CIF *********B, y domicilio en
(C/..................................)”.
6. Se ha verificado, a través de consulta realizada en la página web del el
Registro Mercantil Central, que la entidad ADVANCED PROMOTIONS S.L.
tiene como objeto social la “Distribución y comercialización de libros, revistas,
colecciones o compendios, recopilaciones, normativas, jurisprudenciales, bases
de datos y cualquier publicación, comercialización de material y aparatos
electrónicos.”. Asimismo se ha constatado por la misma vía que el objeto social
de la entidad PREMIUM NUMBERS S.L. es “Servicios, explotación y
mantenimiento de líneas telefónicas 900 para servicios a profesionales”.
Página 159 de 353
TERCERO: Con fecha 16 de junio de 2009 el Director de la Agencia Española
de Protección de Datos acordó iniciar procedimiento sancionador a la entidad
ADVANCED PROMOTIONS S.L., por la presunta infracción del artículo 38.3.h)
de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (en lo
sucesivo LGT), tipificada como leve en el artículo 38.4.d) de la Ley 34/2002, de
11 de julio, de Servicios de la Sociedad de la Información y Comercio
Electrónico (en adelante LSSI), pudiendo ser sancionada con multa de hasta
30.000 euros, de acuerdo con el artículo 39.1.c) de la misma LSSI.
CUARTO: Habiendo resultado infructuoso el intento realizado por el Servicio de
Mensajería MRW para notificar el acuerdo de inicio del presente procedimiento
sancionador a la entidad imputada en la dirección (C/..................................), se
acudió al medio de notificación previsto en el artículo 59.5 de la Ley 30/1992,
de 26 de noviembre, modificado por la Ley 4/1999, de 13 de enero, de
Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común (en adelante LRJPAC) en el modo que prevé el artículo
61 de la citada Ley, constando que con fecha 20 de junio de 2009 en el Boletín
Oficial del Estado nº *** apareció publicado el anuncio relativo al extracto del
acuerdo de inicio del citado procedimiento. Igualmente, con fecha 3 de julio de
2009, se remitió al Ayuntamiento de (.......) escrito de fecha 2 de julio de 2009
enviando extracto del acuerdo de apertura del PS/00371/2009 al objeto de que
se procediera a su publicación en el Tablón de Edictos de dicho Ayuntamiento.
Complementariamente, se intentó la práctica de la notificación del mencionado
acuerdo de iniciación a través de los Servicios de Correos, constando su
recepción por la entidad imputada con fecha 23 de junio de 2009.
QUINTO: Notificado el Acuerdo de inicio de procedimiento sancionador, la
representación legal de ADVANCED presentó con fecha 8 de julio de 2009
escrito de alegaciones al mismo, que fue registrado de entrada el día 9 de julio
de 2009, en el que solicitaba copia de todas las actuaciones obrantes hasta el
momento en el procedimiento y de las pruebas documentales incorporadas al
mismo, así como que se pusiera fin al expediente de conformidad con los
siguientes argumentos:
- Que la falta de indicación en el acuerdo de inicio del número de fax en el que
supuestamente se recibió el mensaje denunciado impide, por tratarse de un
dato imprescindible para establecer los hechos relativos al envío y recepción
del mismo, la verificación de los hechos imputados a ADVANCED, limitando
con ello su defensa en caso de haber cometido la infracción, motivo por el que
se considera que no pueden darse como notificados los hechos ni la infracción,
imputadas toda vez que se ha incumplido lo previsto en el artículo 127.d) del
Real Decreto 1720/2007.
- Que en base a lo anterior se hace constar un defecto de forma en cuanto a la
notificación del procedimiento sancionador y su posible incidencia en el cálculo
de los plazos de prescripción, señalándose también a este respecto que entre
el 21 de diciembre de 2008, fecha que consta como de comisión de la posible
infracción, y la notificación del acuerdo de inicio de fecha 23 de junio de 2009
ha transcurrido un plazo superior a los 6 meses, motivo por el que en el
supuesto de que se hubiera incurrido en la infracción imputado la misma
Página 160 de 353
estaría prescrita en base a lo dispuesto en el artículo 45 de la LSSI y el artículo
132.2 de la LRJPAC.
- La entidad tiene como una actividad la venta de libros jurídicos y técnicos bajo
la marca “Difusión del Libro”, ofertando sus productos “a nuestros clientes que
o bien tienen una relación comercial con nosotros, (alguna factura emitida), o
bien se han puesto en contacto con nosotros para que les enviáramos
información bibliográfica”
- Que los datos del denunciante no aparecen en sus archivos de clientes,
circunstancia que no conlleva que no se mantenga con el mismo una relación
comercial, puesto que a menudo los profesionales indican a efectos de
facturación datos de sociedades mercantiles o personas físicas diferentes a los
propios, utilizándose también por los despachos profesionales recursos
comunes, tales como dirección de correo ordinario, teléfono o Fax. Además, al
desconocer el número de Fax en el que presuntamente fue recibida la
información comercial no puede verificarse la existencia de autorización
informada ni la autenticidad de la propia comunicación vía Fax.
SEXTO: Con fecha 10 de julio de 2009 se acordó por la Instructora del
procedimiento la apertura de un período de práctica de pruebas, en el que se
incorporaron al expediente, a efectos probatorios, la denuncia interpuesta por
C.C.C. ABOGADOS, S.A.P.U. y su documentación ajunta, los documentos
obtenidos y generados por los Servicios de Inspección durante las actuaciones
previas de inspección, y el Informe de actuaciones previas de Inspección que
forman parte del expediente E/01513/2009, las alegaciones presentadas por la
entidad imputada, el resultado de la consulta realizada en el Registro Mercantil
Central en el que D. C.C.C. aparece como Administrador Único de ADVANCED
PROMOTIONS, S.L., acordándose también la solicitud de información y
aportación de documentos relacionados con los hechos objeto del
procedimiento a la entidad denunciada, al denunciante, a France Telecom
España, S.A. y a Premium Numbers, S.L.
Junto al escrito de notificación de pruebas acordadas y solicitud de práctica de
las acordadas enviado a la entidad imputada se adjuntaba copia de los
documentos obrantes en el procedimiento a esa fecha.
SÉPTIMO: Con fecha 28 de julio de 2009 la representación de ADVANCED
contesta a las pruebas cuya práctica ha sido requerida indicando lo siguiente:Que la línea telefónica número ####### sólo dispone capacidad para recibir
faxes, no teniendo capacidad técnica para realizar ninguna llama telefónica con
dicha línea.- Que dado el tiempo transcurrido no disponen de copia de los
mensajes publicitarios enviados por Fax en diciembre de 2008 a los clientes o a
las personas físicas o jurídicas con las que la entidad mantiene una relación
comercial. No obstante, respecto del mensaje denunciado se significa que la
información que aparece en el folio 4 referente al artículo “El abogado eficaz”
coincide con la información bibliográfica que disponen , la cual es compartida
por numerosas librerías al ser la proporcionada por la propia editorial del libro, y
que la información de la parte inferior de dicho folio coincide con la enviada a
los clientes y aparece en la página web de la entidad, puntualizando también
que la información que aparece en el folio 5 referente al artículo “Turno de
oficio y justicia gratuita” no se ha localizado entre la información bibliográfica
Página 161 de 353
manejada, por lo que no se ha realizado ninguna promoción comercial de dicho
artículo. En lo que se refiere al formato al emplearse el programa Microsoft
Word cualquiera podría imitar los mensajes comerciales enviados por
ADVANCED.
- Que la línea telefónica habitualmente utilizada para enviar faxes es la
#######2, no disponiendo de los reportes de actividad de la máquina de fax, si
bien consultada la facturación de dicha línea se observa que el día 21/12/2008,
que fue domingo y se trata de un día en que no se mantiene actividad
comercial), hay una única llamada saliente desde dicha línea al número
#######3, de 25 segundos de duración, que se corresponde con una consulta
al contestador automático.
- Que la sociedad PREMIUM NUMBERS, S.L. proporciona a ADVANCED las
líneas telefónicas #######4 y #######5, las cuales sólo permiten la recepción
de llamadas manuales y de fax, sin posibilitar realizar llamadas salientes.
Con fecha 28 de julio de 2009 PREMIUM NUMBERS, S.L. ha informado que
con fecha 08/06/2007 suscribió contrato de cesión de uso de línea 902, en
virtud del cual fueron activadas para la mercantil ADVANCED las líneas
#######4 y #######5, las cuales están asignadas por la Comisión del
Mercado de las Telecomunicaciones a la mercantil France Telecom SAU, de la
que PREMIUM NUMBERS SL es gestora de líneas, señalando, además, que el
encaminamiento de las líneas 902 gratuitas es directo.
Con fecha 4 de agosto de 2009 France Telecom SAU reiteró que la titular de la
línea #######5 es PREMIUM NUMBERS, S.L., entidad que presta servicios de
telecomunicaciones a terceros, entre los que se encuentran, como en el caso
de ADVANCED, poner a su disposición los números 902 contratados con la
operadora para que dichas entidades presten, a su vez, servicios a sus
clientes. Asimismo, adjunta impresión de los servicios de PREMIUM
NUMBERS, S.L. que aparecen publicitados en la página web
httip://www.....X....... con las líneas 902 .
OCTAVO: No consta que ANDRÉS CERVERA ABOGADOS, S.A.P.U haya
contestado el escrito de solicitud de pruebas a practicar que le fue notificado
con fecha 15 de julio de 2009, según obra en el correspondiente acuse de
recibo del Servicio de Correos. Las pruebas solicitadas fueron las siguientes:
“- Especificación del número de la línea de Fax en que se recibió el mensaje de
Fax de fecha 21/12/2008 denunciado ante esta Agencia por el administrador
único de dicha sociedad, con remisión de documentación que pruebe la
titularidad de dicha empresa o del administrador único de la misma respecto de
la línea de Fax receptora del mensaje.
-Indicación de si ha prestado consentimiento previo y expreso a la sociedad
ADVANCED PROMOTIONS S.L., o en su caso, a persona vinculada a dicha
mercantil o a la marca “Difusión del Libro” para la remisión de mensajes de fax
con fines promocionales, expresando, igualmente si le consta haber facilitado
con motivo de tales contactos, o por otra causa, el número de fax en el que se
recibió el mensaje denunciado al objeto de recibir información comercial
procedente de dicha sociedad vía Fax.
- Aportación del reporte de actividad de la línea de Fax en la que se recibió el
mensaje de Fax de fecha 21 de diciembre de 2008.”
NOVENO: Con fecha 24 de agosto de 2009, se formuló propuesta de
resolución en el sentido de que por el Director de la Agencia Española de
Página 162 de 353
Protección de Datos se archivaran las actuaciones seguidas a la entidad
ADVANCED PROMOTIONS S.L., respecto de la infracción del artículo 38.3.h)
de la LGT, tipificada como leve en el artículo 38.4.d) de la LSSI, de
conformidad con lo establecido en el artículo 39.1.c) y 40 de la citada LSSI.
Dicha propuesta de resolución fue notificada a la entidad imputada con fecha
31 de agosto de 2009, sin que conste se hayan formulado alegaciones a la
misma en el plazo concedido al efecto.
HECHOS PROBADOS
PRIMERO: D. C.C.C. denunció que con fecha 21 de diciembre de 2008 se
recibió en el fax del despacho de abogados C.C.C. ABOGADOS, S.A.P.U., del
que es Administrador único, una transmisión no consentida publicitando los
libros “El abogado eficaz” y “Turno de Oficio y Justicia Gratuita” que no. (Folios
1 al 5)
SEGUNDO: En la cabecera del reseñado Fax aparece como origen del mismo
la entidad ADVANCED PROMOTIONS S.L. y el número de línea Fax #######.
El mensaje de Fax incluía en su texto una pequeña reseña de los libros “El
abogado eficaz” y “Turno de Oficio y Justicia Gratuita, así como su precio de
venta en promoción, el teléfono de contacto #######4 para la realización de
pedidos y la dirección de correo electrónico y sitio web ...Z.@..... y www...Z....,
respectivamente, de “Difusión del Libro” . (Folios 4 y 5)
TERCERO: En el pie de página del Fax consta la siguiente indicación: “P.D. Si
desea que cancelemos nuestros envíos publicitarios. Por favor indíquenos su
número de fax.” (Folios 4 y 5)
CUARTO: En el mensaje aportado por el denunciante no figura el número de
línea del Fax receptor del envío denunciado, ni tampoco ha sido facilitado el
mismo. en el plazo concedido al efecto, por el Administrador del despacho de
abogados C.C.C. ABOGADOS, S.A.P.U. al ser requerido para ello. (Folios 4 y
5, 50 al 53)
QUINTO: FRANCE TELECOM ESPAÑA S.A.U. ha comunicado que el titular de
la línea identificada con el número ####### era la sociedad PREMIUM
NUMBERS, S.L., con C.I.F. *********A, con domicilio en (.......), si bien dicho
número era utilizado por la entidad “ADVANCED PROMOTIONS S.L., con CIF
*********B, y domicilio en (C/..................................)”. (Folios 10 y 11 y 66 y 67)
SEXTO: PREMIUM NUMBERS, S.L., entidad que opera como gestora de
líneas de la mercantil FRANCE TELECOM, S.A.U., ha indicado que con fecha
8 de junio de 2007 suscribió contrato de cesión de uso de las líneas #######4
y #######5 con la entidad ADVANCED PROMOTIONS, S.L., ambas asignadas
por la Comisión del Mercado de las Telecomunicaciones a la reseñada
operadora.
SÉPTIMO: Se ha verificado, a través de consulta realizada en la página web
del el Registro Mercantil Central, que la entidad ADVANCED PROMOTIONS
S.L. tiene como objeto social la “Distribución y comercialización de libros,
revistas,
colecciones
o
compendios,
recopilaciones,
normativas,
jurisprudenciales, bases de datos y cualquier publicación, comercialización de
material y aparatos electrónicos.”. Asimismo se ha constatado por la misma vía
que el objeto social de la entidad PREMIUM NUMBERS S.L. es “Servicios,
explotación y mantenimiento de líneas telefónicas 900 para servicios a
profesionales”. (Folios 7 y 8 y 12 al 14)
Página 163 de 353
FUNDAMENTOS DE DERECHO
I
De conformidad con lo dispuesto en el artículo 58.b de la LGT, se atribuye a la
Agencia Española de Protección de Datos la facultad para imponer las
sanciones establecidas por la vulneración de los derechos reconocidos a los
abonados a los servicios de comunicaciones electrónicas por el artículo 38.3.h)
de la citada LGT.
II
En el ámbito comunitario, el sistema de garantías en el tratamiento de datos
personales en el sector de las telecomunicaciones se articula en torno a una
disposición de naturaleza horizontal, como es la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos, y a una norma sectorial que,
en este momento, es la Directiva 2002/58/CE del Parlamento Europeo y del
Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales
y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
La relación entre ellas aparece claramente delimitada en el artículo 1.2 de la
Directiva 2002/58/CE, en el que se explicita su carácter sectorial y
complementario al señalar que sus disposiciones “especifican y completan la
Directiva 95/46/CE”.
Para el envío de mensajes de fax, en concreto, el considerando (40) de la
Directiva 2002/58/CE indica lo siguiente.
“Deben ofrecerse garantías a los abonados contra la intrusión en su intimidad
mediante comunicaciones no solicitadas con fines de venta directa,
especialmente a través de llamadores automáticos, faxes y mensajes de correo
electrónico, incluidos los SMS. Por una parte, el envío de estas formas de
comunicaciones comerciales no solicitadas puede resultar relativamente
sencillo y económico, y por otra puede conllevar una molestia e incluso un
coste para el receptor. Además, en algunos casos su volumen puede dar lugar
a dificultades en las redes de comunicaciones electrónicas y en los equipos
terminales.
Se justifica, para este tipo de comunicaciones no solicitadas con fines de venta
directa, la exigencia de obtener el consentimiento expreso previo de los
receptores antes de que puedan dirigírseles comunicaciones de esta índole. El
mercado único requiere un planteamiento armonizado que garantice la
existencia de normas sencillas aplicadas a escala comunitaria, tanto para las
empresas como para los usuarios...”.
De acuerdo con lo expuesto, el artículo 13.1 de la Directiva citada establece:
“Sólo se podrá autorizar la utilización de sistemas de llamada automática sin
intervención humana (aparatos de llamada automática), fax o correo electrónico
con fines de venta directa respecto de aquellos abonados que hayan dado su
consentimiento previo”.
El contenido de las citadas Directivas se transpone a nuestro ordenamiento
jurídico mediante la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones (LGT), la Ley 34/2002, de 11 de julio, de Servicios de la
Sociedad de la Información (LSSI) , y la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (LOPD).
III
Página 164 de 353
El artículo 38.3.h) se recoge en el Título III, Capítulo III, de la LGT, dedicado al
“Secreto de las comunicaciones y protección de los datos personales y
derechos y obligaciones de carácter público vinculados con las redes y
servicios de comunicaciones electrónicas”. Dicho artículo dispone:
“En particular, los abonados a los servicios de comunicaciones electrónicas
tendrán los siguientes derechos:...”
“h) A no recibir llamadas automáticas sin intervención humana o mensajes de
fax, con fines de venta directa sin haber prestado su consentimiento previo e
informado para ello.”
Por su parte, el Real Decreto 424/2005, de 15 de abril, por el que se aprueba el
reglamento sobre las condiciones para la prestación de servicios de
comunicaciones electrónicas, al servicio universal y la protección de los
usuarios, dispone en su artículo 69.1 sobre las “Llamadas no solicitadas para
fines de venta directa”:
“Las llamadas no solicitadas por los abonados con fines de venta directa que
se efectúen mediante sistemas de llamada automática, a través de servicios de
comunicaciones electrónicas, sin intervención humana (aparatos de llamada
automática) o facsímil (fax), sólo podrán realizarse a aquellos que hayan dado
su consentimiento previo, expreso e informado.
El incumplimiento de lo establecido en el párrafo anterior será sancionado de
acuerdo con lo establecido en el artículo 38.3.c), o en el artículo 38.4.d) de la
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de
comercio electrónico.”
La responsabilidad por el incumplimiento de lo dispuesto en el artículo 38.3.h)
de la LGT puede atribuirse a cualquier persona física o jurídica, conforme a lo
dispuesto en el artículo 51.c) de la LGT, según el cual “la responsabilidad
administrativa por las infracciones de las normas reguladoras de las
telecomunicaciones será exigible:...”
“c) En las cometidas por los usuarios o por otras personas que, sin estar
comprendidas en los párrafos anteriores, realicen actividades reguladas en la
normativa sobre telecomunicaciones, a la persona física o jurídica cuya
actuación se halle tipificada por el precepto infringido o a la que las normas
correspondientes atribuyen específicamente la responsabilidad”
IV
La vulneración del derecho reconocido en el artículo 38.3.h) de la LGT se halla
tipificada en los artículos 53.z) y 54.r), respectivamente, de la citada LGT. No
obstante, los citados artículos establecen que la infracción que resulta de la
vulneración del artículo 38.3.h) de la LGT se rige por el régimen sancionador
previsto por la LSSI.
En el mismo sentido, el trascrito artículo 69.1 del citado Real Decreto 424/2005,
establece que el régimen sancionador aplicable será el previsto en los artículos
38.3.c) o en el artículo 38.4.d) de la LSSI.
De acuerdo con la remisión que hace el legislador en la LGT al régimen
sancionador de la LSSI, la conducta que vulnere el derecho de los abonados a
los servicios de comunicaciones electrónicas recogido en el artículo 38.3.h) de
la LGT debe tipificarse conforme a lo previsto en el artículo 38 de la LSSI. A
tenor del citado artículo, los únicos supuestos en los que cabe tipificar la citada
conducta, son los previstos en los artículo 38.3.c) y 38.4.d) de la LSSI.
Página 165 de 353
El artículo 38.3.c) de la LSSI dispone que es infracción grave: “El envío masivo
de comunicaciones comerciales por correo electrónico u otro medio de
comunicación electrónica equivalente o el envío, en el plazo de un año, de más
de tres comunicaciones comerciales por los medios aludidos a un mismo
destinatario, cuando en dichos envíos no se cumplan los requisitos
establecidos en el artículo 21.”
El artículo 38.4.d) de la LSSI califica como infracción leve: “El envío de
comunicaciones comerciales por correo electrónico u otro medio de
comunicación electrónica equivalente cuando en dichos envíos no se cumplan
los requisitos establecidos en el artículo 21 y no constituya infracción grave.”
Por su parte los requisitos establecidos en el artículo 21 de la LSSI, que regula
la “Prohibición de comunicaciones comerciales realizadas a través de correo
electrónico o medios de comunicación electrónica equivalentes”, son:
“1. Queda prohibido el envío de comunicaciones publicitarias o promociónales
por correo electrónico u otro medio de comunicación electrónica equivalente
que previamente no hubieran sido solicitadas o expresamente autorizadas por
los destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una
relación contractual previa, siempre que el prestador hubiera obtenido de forma
lícita los datos de contacto del destinatario y los empleara para el envío de
comunicaciones comerciales referentes a productos o servicios de su propia
empresa que sean similares a los que inicialmente fueron objeto de
contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario, la posibilidad de
oponerse al tratamiento de sus datos con fines promocionales mediante un
procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos
como en cada una de las comunicaciones comerciales que le dirija”.
A la vista de su contenido, el citado artículo 21 prohíbe el envío de
comunicaciones publicitarias o promocionales por correo electrónico u otro
medio de publicación equivalente que no hubieran sido previamente solicitadas
o expresamente autorizadas por los destinatarios de las mismas, salvo que se
trate de comunicaciones comerciales referentes a productos o servicios de la
propia empresa que sean similares a los que inicialmente hubiesen sido objeto
de contratación. Es decir, el reseñado precepto exige respecto de las
comunicaciones publicitarias o promocionales por correo electrónico, el
consentimiento previo del destinatario de los envíos al igual que hace el artículo
38.3.h) de la LGT respecto de los mensajes de venta directa por fax.
En este caso, el envío de una comunicación comercial no solicitada vía fax, en
los términos indicados por el citado artículo 38.4.d) de la LSSI, se ha de
calificar como infracción leve, al tratarse de un envío en el plazo de un año sin
que la entidad destinataria hubiera prestado su consentimiento expreso, previo
e informado para ello.
V
Con carácter previo al análisis de otras cuestiones de fondo relacionadas con la
instrucción del presente procedimiento sancionador debe analizarse la cuestión
planteada por la entidad imputada relativa a la afirmación de que la infracción
que pudiera derivarse de los hechos objeto de denuncia se encuentra prescrita
Página 166 de 353
al haber transcurrido más de seis meses desde su presunta comisión, el día
21/12/2008, y su notificación a ADVANCED, el día 23/06/2009.
A este respecto debe indicarse que al resultar devuelto el intento de notificación
del acuerdo de iniciación realizado a través del servicio de mensajería MRW,
se acudió al medio de notificación previsto en el artículo 59.5 de la Ley
30/1992, de 26 de noviembre, modificado por la Ley 4/1999, de 13 de enero, de
Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común (en adelante LRJPAC), en el modo que prevé el artículo
61 de la citada Ley, siendo el tenor literal de ambos preceptos el siguiente:
Artículo 59. 5, sobre práctica de la notificación
“59. 5. Cuando los interesados en un procedimiento sean desconocidos, se
ignore el lugar de la notificación o el medio a que se refiere el punto 1 de este
artículo, o bien, intentada la notificación, no se hubiese podido practicar, la
notificación se hará por medio de anuncios en el tablón de edictos del
Ayuntamiento en su último domicilio, en el «Boletín Oficial del Estado», de la
Comunidad Autónoma o de la Provincia, según cual sea la Administración de la
que se proceda el acto a notificar, y el ámbito territorial del órgano que lo dictó.
En el caso de que el último domicilio conocido radicara en un país extranjero, la
notificación se efectuará mediante su publicación en el tablón de anuncios del
Consulado o Sección Consular de la Embajada correspondiente.
Las Administraciones públicas podrán establecer otras formas de notificación
complementarias a través de los restantes medios de difusión, que no excluirán
la obligación de notificar conforme a los dos párrafos anteriores.”
Art. 61, sobre indicación de notificaciones y publicaciones.
“Si el órgano competente apreciase que la notificación por medio de anuncios o
la publicación de un acto lesiona derechos o intereses legítimos, se limitará a
publicar en el diario oficial que corresponda una somera indicación del
contenido del acto y del lugar donde los interesados podrán comparecer, en el
plazo que se establezca, para conocimiento del contenido íntegro del
mencionado acto y constancia de tal conocimiento.”
En el expediente obra que la notificación del acuerdo de inicio del
PS/00371/2009 se llevó a cabo con fecha 20 de junio de 2009 en el Boletín
Oficial del Estado nº ***, al aparecer publicado en el mismo el anuncio relativo
al extracto del mencionado acuerdo de inicio, instándose al Ayuntamiento de
(........) mediante escrito de fecha 02/07/2009, la exposición de extracto de
dicho acuerdo de inicio en el Tablón de Edictos de dicho Ayuntamiento, todo
ello conforme a los artículos 59.5 y 61 de la LRJPAC antes citados,
Por consiguiente, dicho acuerdo de inicio se considera como notificado el día
20 de junio de 2009, siendo dicha fecha la que debe tenerse en cuenta a los
efectos del cómputo de la prescripción, y no la posterior del 23/06/2009
invocada por esa entidad como la fecha en que se notificó dicho acto a través
del Servicio de Correos.
En este supuesto, teniendo en cuenta que el artículo 58.b) de la LGT otorga la
competencia sancionadora a la AEPD cuando se trate de infracciones muy
graves comprendidas en el párrafo z) del artículo 53 y de infracciones graves
previstas por el párrafo r) del artículo 54, y atendido que ambos artículos
remiten al régimen sancionador previsto en la LSSI en los casos de vulneración
del derecho recogido en el artículo 38.3.h) de la LGT, debe aplicarse la
prescripción establecida en el régimen sancionador de la LSSI. Así , el artículo
45 de la LSSI, señala:
Página 167 de 353
“Las infracciones muy graves prescribirán a los tres años, las graves a los dos
años y las leves a los seis meses, las sanciones impuestas por faltas muy
graves prescribirán a los tres años, las impuestas por faltas graves a los dos
años y las impuestas por faltas leves al año.”
Por otra parte, como señala el artículo 132.2 de la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común (en lo sucesivo LRJPAC), “El plazo de
prescripción de las infracciones comenzará a contarse desde el día que la
infracción se hubiera cometido. Interrumpirá la prescripción la iniciación, con
conocimiento del interesado, del procedimiento sancionador”.
El presente supuesto tiene por objeto el examen de unos hechos constitutivos
de infracción al artículo 38.3.h) de la LGT, tipificada como leve en el artículo
38.4.d) de la LSSI. Por tanto, de acuerdo con las normas indicadas, la
infracción que se analiza prescribía en el plazo de seis meses contados desde
el día en que la infracción se hubiera cometido.
Contando que el Fax objeto de estudio consta como remitido con fecha 21 de
diciembre de 2008 y que la notificación de apertura del procedimiento
sancionador a la entidad imputada tiene lugar en fecha 20 de junio de 2009,
resulta que no habían transcurrido los seis meses establecidos para que opere
el instituto de la prescripción, de modo que la infracción que se imputa no había
prescrito el día en que fue publicado el anuncio del inicio del presente
procedimiento sancionador en el Boletín Oficial del Estado nº *** de dicha
fecha, debiendo, en consecuencia, ser desestimada la alegación relativa a la
prescripción de la infracción.
VI
En el caso que nos ocupa la entidad imputada considera que para poder fijar
los hechos imputados resulta imprescindible conocer el número de línea
correspondiente al Fax transmisor del envío denunciado, dato que no figura en
el acuerdo de iniciación del procedimiento sancionador que le fue notificado y
cuya ausencia no sólo le impide verificar si, efectivamente, dicha transmisión
fue efectuada desde el número de Fax #######2 habitualmente utilizado para
ello, sino que también le limita sustancialmente el ejercicio del derecho a su
defensa.
A la vista de tales alegaciones, en el trámite de práctica de pruebas se solicitó
a C.C.C. ABOGADOS, S.A.P.U. que especificara el número de línea de Fax en
que se recibió el mensaje de fecha 21/12/2008 denunciado y que aportara el
reporte de actividad correspondiente a dicha línea, sin que a fecha de hoy
dicha información conste como contestada por parte del denunciante en el
plazo concedido al efecto por la Instructora del procedimiento en el escrito de
fecha 10 de julio de 2009, el cual fue notificado al denunciante con fecha
15/07/2009.
Es decir, en la documentación obrante en el procedimiento sancionador no
figuran ni los datos relativos a las líneas de Fax de origen ni de destino del
mensaje denunciado, puesto que los números 902 que aparecen en el mensaje
se utilizan únicamente para la recepción de llamadas por parte de la entidad
imputada, la cual, según ha alegado, usa otro número de Fax para el envío de
publicidad, ni tampoco consta el número de Fax en el que se recibió el mensaje
objeto de análisis, dato, por otra parte, tampoco ha sido facilitado por el
denunciante al ser requerido para ello. Por lo tanto, como consecuencia de las
Página 168 de 353
actuaciones practicadas no sólo no ha podido constatarse fehacientemente
que el citado mensaje de fax, de carácter comercial y publicitario, hubiera sido
remitido al denunciante por la entidad imputada desde una línea titularidad o
utilizada por ADVANCED el día 21/12/2008, sino que tampoco se ha probado el
denunciante lo recibiera al no aparecer en el mensaje de Fax ninguna
indicación relativa al número de Fax receptor del mencionado envío.
Asimismo, ADVANCED alega que la información que aparece en el mensaje
denunciado respecto del artículo “El Abogado Eficaz”, si bien coincide con la
información bibliográfica con la que dispone, puede haber sido enviado por
cualquiera que pueda imitar el formato utilizado por ADVANCED para la
remisión de mensajes de Fax, dado que se trata de una información común
para numerosas librerías nacionales al ser la proporcionada por la propia
editorial del libro, cuestionando también que la información promocional relativa
al artículo “Turno de Oficio y Justicia Gratuita” haya podido ser realizada por su
parte al no haber localizado entre la información bibliográfica manejada datos
referentes a dicho libro.
A mayor abundamiento, debe también valorarse que en el procedimiento
tampoco obran los reportes de actividad referentes al día 21/12/2008 de las
líneas de origen y de destino del señalado envío de Fax, a través de las cuales
podrían conocerse las transmisiones enviadas por la entidad denunciada y las
recibidas por el denunciante en esa fecha.
En consecuencia, debe indicarse que no existen elementos de cargo
suficientes que permitan acreditar que dicho mensaje se remitiera por
ADVANCED al número de fax del despacho de abogados denunciante al
ignorarse la línea destinataria del mensaje, sin que el hecho relativo a que el
contenido de la publicidad del mensaje aportado por el denunciante coincida
con la actividad de distribución y comercialización de libros desarrollada por
ADVANCED y sin que la circunstancia derivada del uso de los números 902 de
contacto que figuran en el mismo, contratados por ADVANCED con Premium
Numbers, S.L., puedan ser considerados más que meros indicios de prueba
que no cuentan con entidad suficiente como para demostrar la realización del
mencionado envío por parte de la entidad imputada.
En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990 considera que
el derecho a la presunción de inocencia comporta “que la sanción esté basada
en actos o medios probatorios de cargo o incriminadores de la conducta
reprochada; que la carga de la prueba corresponda a quien acusa, sin que
nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia
en el resultado de las pruebas practicadas, libremente valorado por el órgano
sancionador, debe traducirse en un pronunciamiento absolutorio”. De acuerdo
con este planteamiento, el artículo 130.1 de la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común en lo sucesivo LRJPAC), establece que
“Sólo podrán ser sancionados por hechos constitutivos de infracción
administrativa las personas físicas y jurídicas que resulten responsables de los
mismos aún a título de simple inobservancia.”
Conforme señala el Tribunal Supremo, en Sentencia de 26 de octubre de 1998,
el derecho a la presunción de inocencia “no se opone a que la convicción
judicial en un proceso pueda formarse sobre la base de una prueba indiciaria,
Página 169 de 353
pero para que esta prueba pueda desvirtuar dicha presunción debe satisfacer
las siguientes exigencias constitucionales: los indicios han de estar plenamente
probados – no puede tratarse de meras sospechas – y tiene que explicitar el
razonamiento en virtud del cual, partiendo de los indicios probados, ha llegado
a la conclusión de que el imputado realizó la conducta infractora, pues, de otro
modo, ni la subsunción estaría fundada en Derecho ni habría manera de
determinar si el proceso deductivo es arbitrario, irracional o absurdo, es decir,
si se ha vulnerado el derecho a la presunción de inocencia al estimar que la
actividad probatoria pueda entenderse de cargo.”
La Sentencia del Tribunal Constitucional de 20/02/1989 indica que “Nuestra
doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos
puedan considerarse como manifestaciones de un genérico favor rei, existe
una diferencia sustancial entre el derecho a la presunción de inocencia, que
desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando
las practicadas no reúnen las garantías procesales y el principio jurisprudencial
in dubio pro reo que pertenece al momento de la valoración o apreciación
probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria
indispensable, exista una duda racional sobre la real concurrencia de los
elementos objetivos y subjetivos que integran el tipo penal de que se trate.”
En este orden de ideas, debe tenerse en cuenta que en el ámbito
administrativo sancionador son de aplicación, con alguna matización pero sin
excepciones, los principios inspiradores del orden penal, resultando clara la
plena virtualidad de los principios de presunción de inocencia. La presunción de
inocencia debe regir sin excepciones en el ordenamiento sancionador y ha de
ser respetada en la imposición de cualesquiera sanciones, pues el ejercicio del
ius puniendi en sus diversas manifestaciones está condicionado al juego de la
prueba y a un procedimiento contradictorio en el que puedan defenderse las
propias posiciones.
En definitiva, aquellos principios impiden imputar una infracción administrativa
cuando no se haya obtenido y constatado una prueba de cargo acreditativa de
los hechos que motivan esta imputación o de la intervención en los mismos del
presunto infractor, aplicando el principio “in dubio pro reo” en caso de duda
respecto de un hecho concreto y determinante, que obliga en todo caso a
resolver dicha duda del modo más favorable al interesado.
Es por ello que en el presente caso resulta de aplicación el principio de
presunción de inocencia ante la ausencia de elementos de cargo que prueben
la autoría del envío del mensaje de Fax de fecha 21/12/2008 por parte de
ADVANCED y al no haberse podido probar, en consecuencia, si ésta disponía,
o no, del consentimiento previo expreso del titular del número de Fax del
denunciante o de terceros vinculados al mencionado despacho de abogados
que pudieran haber facilitado dicho número de Fax al consentir la remisión de
envíos de venta directa por dicha línea, sin que, por otra parte, el resto de
evidencias analizadas permitan atribuirle tal responsabilidad.
A tenor de la doctrina invocada y de la ausencia en el presente procedimiento
sancionador de suficientes pruebas de cargo que permitan imputar, con la
certeza que exigen los principios de la potestad sancionadora y del
procedimiento sancionador, a ADVANCED la responsabilidad en la infracción
imputada, se considera conforme a derecho acordar el archivo de la infracción
del artículo 38.3.h) de la LGT.
Página 170 de 353
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ARCHIVAR las actuaciones practicadas en el presente
procedimiento sancionador instruido a la entidad ADVANCED PROMOTIONS
S.L. por la infracción del artículo 38.3.h) de la Ley 32/2003, de 3 de noviembre,
General de Telecomunicaciones, tipificada como leve en el artículo 38.4.d) de
la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y
Comercio Electrónico.
SEGUNDO: NOTIFICAR la presente resolución a la entidad ADVANCED
PROMOTIONS S.L. y a C.C.C. ABOGADOS, S.A.P.U.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 7 de octubre de 2009
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Fdo.: Artemi Rallo Lombarte
Página 171 de 353
Procedimiento Nº PS/00375/2010
RESOLUCIÓN: R/02495/2010
En el procedimiento sancionador PS/00375/2010, instruido por la Agencia
Española de Protección de Datos a la entidad A.A.A., vista la denuncia
presentada por B.B.B. y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 5/08 y 29/10/2009, tuvieron entrada en esta Agencia dos
denuncias suscritas por DENUNCIANTE 1, y DENUNCIANTE 2 (según anexo
general) en las que ponen de manifiesto que el letrado A.A.A.), que representó
a ambas como codemandadas en el juicio de faltas 475/06, y a las que se
recabaron sus datos personales, no tiene los ficheros inscritos. Aportan copia
de la sentencia de 6/02/2007, y recibos de 15/02/2007 de pago de honorarios.
SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones
previas, por los Servicios de Inspección de esta Agencia se solicitó a la
Subdirección General del Registro General de Protección de Datos que
informara si existía algún fichero inscrito a nombre del denunciado, emitiéndose
nota de 30/11/2009, en la que se declaraba que no figuraba fichero alguno
inscrito cuyo titular sea C.C.C..
TERCERO: Con fecha 7/07/2010, el Director de la Agencia Española de
Protección de Datos acordó iniciar, procedimiento sancionador a C.C.C. , por
presunta infracción del artículo 26 de la LOPD, tipificada como leve en el
artículo 44.2.c) de la citada Ley Orgánicala Ley Orgánica 15/1999, de 13/12, de
Protección de Datos de Carácter Personal ( en lo sucesivo LOPD), pudiendo
ser sancionado con multa de 601,01 € a 60.101,21 €, de acuerdo con el artículo
45.1 de dicha Ley Orgánica.
CUARTO: Con fecha 17/08/2010 tuvieron entrada las alegaciones del
denunciado que señala: 1) De conformidad con lo establecido en el art. 47 de la
LOPD, dicha infracción está prescrita al haber transcurrido más de un año entre
los hechos que se imputan, acaecidos ambos en el año 2007, y las denuncias
que tuvieron entrada en esa Agencia en el año 2009.
2) “Como se desprende de forma clara y terminante en la Sentencia de fecha
6/02/2007, y en el procedimiento de Juicio de Faltas 475/2006, el denunciado
no representó a ninguna de las denunciantes, entre otras razones, porque ni
son clientas de este despacho profesional, ni este Abogado ha asistido a dicho
juicio para efectuar la defensa a que se refiere el hecho primero del acuerdo de
iniciación de este procedimiento”.Aporta copia de la sentencia de 6/02/2007 en
la que no figura su nombre como defensor ni asistente de las denunciantes. 3)
“Como es natural al no haber llevado la representación de las denunciantes,
este Letrado no ha cobrado cantidad alguna, sí lo ha hecho sin embargo el
Letrado que actuó en el acto del juicio, D. F.F.F.. Acompaña copia de minuta de
29/01/2007 de denunciante 1 en la que consta el nombre de F.F.F. en el
margen izquierdo, concepto “asistencia juicio de faltas”, y otra de 15/02/2007
de denunciante 2 “honorarios profesionales recurso apelación”, en la que en el
margen izquierdo consta el nombre del denunciado y otra persona, ambos con
Página 172 de 353
la condición de Abogados. Teniendo en común la primera con la segunda que
figura el mismo domicilio, misma localidad y mismos números de teléfono y fax.
El denunciado manifiesta que las minutas de las denunciantes se las “prestó
este compañero”, refiriéndose a F.F.F.. Se debe reseñar que la copia de la
minuta de denunciante 2, se aprecia que figura firmada P.O., y debajo aparece
el sello con los datos de colegiado de F.F.F..
QUINTO: Con fecha 7/09/2010, se inició el período de práctica de pruebas,
dando por reproducidos a efectos probatorios las actuaciones previas de
Inspección que forman parte del expediente E/03178/2009, y las alegaciones y
documentación presentadas al acuerdo de inicio PS/00375/2010 por el
denunciado. Además se practicó: 1. Se dió traslado a las denunciantes para
que alegaran y aportaran la prueba que considerasen oportuna respecto a las
alegaciones del denunciado, y además, en concreto se les preguntará, 1)
porque saben que el responsable del fichero es la persona denunciada. 2)
Motivo por el que si en el juicio fueron atendidas y defendidas por el letrado Sr.
F.F.F., presentan la denuncia contra el ahora denunciado 3) Que acrediten que
datos proporcionaron, por que letrado fue atendida, a quien/es dieron sus
datos, por que sistema, y si fueron registrados como y donde. 4) A denunciante
2, motivo por el que presenta recibí de pago de 15/02/2007 de denunciante 1,
se envía folio 27. Con fecha 5/10/2010, responde denunciante 2 que “en el
momento en que solicitamos sus servicios profesionales, nos atendió D. A.A.A.
como responsable del despacho de Abogados, quien en apariencia era el
responsable del despacho de Abogados, exponiéndole nuestros problemas
jurídicos. “Una vez entendido el problema nos desvió al Sr. F.F.F., quien en
todo momento se comportó como un subordinado suyo, nos dio la apariencia
en aquel momento de ser empleado suyo, aunque este extremo no nos quedó
acreditado”. En la factura por la provisión de fondos por los servicios
profesionales del recurso de apelación, que fue aportada en mi denuncia,
figuran en el margen superior izquierdo los nombres de “ D.D.D.” y “ E.E.E.”,
“ignorando quién es esta segunda persona, pero no figura en ella nombre del
Sr. F.F.F., por lo que tiene la apariencia de que en aquel momento era un
empleado del H.H.H..” “Durante la visita al despacho de abogados se nos
recabaron datos de carácter personal para poder confeccionar la demanda que
se realizaría en nuestro nombre. Incluso realizaron una fotocopia de mi
documento nacional de identidad que ellos no me entregaron” (la fotocopia).
“Una tercera persona que trabajaba en dicho despacho, de nombre B.B.B., me
pidió mi número de teléfono para poder contactar conmigo. Dada mi relación de
servicios con el despacho de D. A.A.A., dicha información es obvio que pasará
a formar parte más que de un fichero de clientes que, obviamente, contiene
datos de carácter personal.
El primer letrado que nos atendió fue D. A.A.A., quien ordenó al Sr. F.F.F. que
llevase nuestro caso y le puso en antecedentes. Desconozco si la otra persona
de nombre B.B.B. y que en apariencia es empleada del bufete y hace funciones
de secretaria, reúne la condición de letrado.” “El sistema de facilitar los datos
de carácter personal requeridos fue de viva voz en el caso del teléfono y los
otros datos personales (Dirección, Dni, etc.) mediante entrega del DNI que fue
fotocopiado por la Sra. B.B.B., en una fotocopiadora ubicada justo en el interior
de su puesto de trabajo que está delimitado por un mostrador.” “Nunca nos
informaron que iban a formar parte de un fichero, ni quien era la persona
Página 173 de 353
responsable de dicho fichero, ni ante quien podíamos ejercer los derechos de
acceso, rectificación y cancelación. Al no poder hallar la inscripción de los
ficheros en la Web de la Agencia Española de Protección de Datos procedimos
a efectuar la denuncia.” “Desconocemos si los datos facilitados fueron
registrados y en que forma, no pudiendo afirmar ni demostrar categóricamente
si pudieron ser registrados en un sistema informático del que la Sra. B.B.B.
tenía una terminal, pero lo cierto es que esos datos fueron utilizados para
ponerse en contacto con posterioridad conmigo y para realizar la facturación
por los servicios prestados.” Denunciante 1 contesta en términos similares,
incluso el orden y los párrafos así como el contenido coinciden con los de la
declaración de la denunciante 2. Denunciante 1 además, aporta copia del
directorio del edificio en que se ubica el despacho profesional, coincidiendo con
los nombres que constan en el recibí de la minuta de la denunciante 2.
2. Se le solicitó a denunciado que manifieste la relación que tenía con el letrado
Sr. F.F.F., y la forma en que en su caso se integraba en su despacho o en su
organización. En un primer envío, el denunciante no retiró el correo remitido y
fue devuelto, reiterándose en una segunda ocasión y contestó el 16/11/2010
que: “Hace ya varios años, y en determinados y esporádicos momentos, el Sr.
F.F.F. utilizaba un despacho en esta oficina pero sin vinculación alguna con
este Letrado e igualmente sin conexión con los datos de sus posibles clientes.”
3. Se le solicitó a denunciado que informara del motivo por el que consta su
nombre junto con el de otra Abogada en el recibí de la copia de la minuta del
recurso apelación (15/02/2007), (se adjuntó folio 12), así como forma jurídica
de la prestación de sus servicios junto con los que constan de esa otra
Abogada. Contestó que “Tampoco ha existido vinculación alguna con la otra
Abogada, ni con sus posibles clientes. El hecho de que figurase el nombre de
este Letrado junto con el de la Abogada es, sencillamente, porque no había
otro modelo y se justificó con dicho recibo el pago por no estar presente el
Letrado en ese momento. Consecuentemente, no hay ninguna forma jurídica
de prestación de servicios con la expresada Abogada.”
4. Al denunciado, forma de recogida de datos de sus clientes, sistema de
almacenamiento e información que usted les da a sus clientes, datos que se
recogen (obsérvese que se hace referencia a clientes en abstracto, no a las
denunciantes). Si en su despacho, cada Abogado tiene acceso al ordenador
que contiene información de datos de asuntos de otro letrado, etc.
Contestó que hasta hace muy poco tiempo daba clases de Derecho Penal en la
Universidad de La Laguna, ha superado ya con creces la edad de jubilación,
por lo que, y al margen de que pueda cerrar definitivamente su despacho en
breve, su actividad como Abogado es muy limitada y relacionada, casi siempre,
con personas jurídicas, Los distintos expedientes, una vez conclusos, se
devuelven al cliente, no se mantienen datos personales en los ordenadores,
utilizándose única y exclusivamente los mismo para redacción de escritos y,
una vez se imprimen, se destruyen, solo existen expedientes físicos, de cuya
circunstancia se tiene debidamente informado al cliente, tanto de la existencia
del mismo como de los datos que contienen. Los expedientes físicos están bajo
llave, y el único acceso es el de este Letrado.
Página 174 de 353
SEXTO: Mediante diligencia de 25/11/2010, el Instructor consultó en el Registro
General de Protección de Datos los ficheros inscritos a nombre de F.F.F.,
resultando que consta inscrito el fichero “CLIENTES ABOGADO”, desde
15/11/2010, descrito como “Gestión de asuntos encomendados por el cliente”.
SÉPTIMO: Con fecha 30/11/2010, se formuló propuesta de resolución,
proponiendo el archivo del procedimiento iniciado a D. A.A.A. por la infracción
del artículo 26.1 de la LOPD, tipificada como leve en el 44.2.c) de dicha Ley,
propuesta que le fue notificada en fecha 03/12/2010.
HECHOS PROBADOS
1) Las dos denunciantes denuncian al Abogado G.G.G., porque proporcionaron
sus datos para su defensa jurídica en su despacho. Sin embargo, en la
sentencia que aportan, de 6/02/2007 y en la interposición del recurso de
apelación de 16/02/2007, así como en su fallo, su letrado y con el que se
entendieron las actuaciones, fue el Sr. F.F.F., también Abogado Colegiado
(folios 8, 13 y 12, 17- 18).
2) La sede física en que prestan servicios el denunciado y F.F.F. es la misma,
según se deduce del domicilio que este último hace constar y también ha
manifestado el denunciado (folios 12, 13, 80).
3) Las denunciantes proporcionaron sus datos personales, número de teléfono,
copia del DNI que se les efectuó en el despacho del denunciado, necesarios
como datos básicos para formular las peticiones judiciales, siendo esta
precisamente su finalidad (folios 67, 71).
4) F.F.F. inscribió el fichero “CLIENTES ABOGADO”, el 15/11/2010, descrito
como “Gestión de asuntos encomendados por el cliente”, con posterioridad a la
fecha en que las denunciantes proporcionaron sus datos, 2007 (folios 84 a 89).
4) G.G.G. no dispone de fichero inscrito en el Registro de la Agencia (folios 36
y 37).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
El artículo 26 de la LOPD señala: “1. Toda persona o entidad que proceda a la
creación de ficheros de datos de carácter personal lo notificará previamente a
la Agencia de Protección de Datos. 2. Por vía reglamentaria se procederá a la
regulación detallada de los distintos extremos que debe contener la
notificación, entre los cuales figurarán necesariamente el responsable del
fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter
personal que contiene, las medidas de seguridad, con indicación del nivel
básico, medio o alto exigible y las cesiones de datos de carácter personal que
se prevean realizar y, en su caso, las transferencias de datos que se prevean a
países terceros. 3. Deberán comunicarse a la Agencia de Protección de Datos
Página 175 de 353
los cambios que se produzcan en la finalidad del fichero automatizado, en su
responsable y en la dirección de su ubicación. 4. El Registro General de
Protección de Datos inscribirá el fichero si la notificación se ajusta a los
requisitos exigibles. En caso contrario podrá pedir que se completen los datos
que falten o se proceda a su subsanación. 5. Transcurrido un mes desde la
presentación de la solicitud de inscripción sin que la Agencia de Protección de
Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero
automatizado a todos los efectos.”
El artículo 55.2 del Real Decreto 1720/2007, de 21/12, por el que se aprueba el
reglamento de desarrollo de la ley Orgánica 15/1999, de 13/12, de protección
de datos de carácter personal añade: “Los ficheros de datos de carácter
personal de titularidad privada serán notificados a la Agencia Española de
Protección de Datos por la persona o entidad privada que pretenda crearlos,
con carácter previo a su creación. La notificación deberá indicar la identificación
del responsable del fichero, la identificación del fichero, sus finalidades y los
usos previstos, el sistema de tratamiento empleado en su organización, el
colectivo de personas sobre el que se obtienen los datos, el procedimiento y
procedencia de los datos, las categorías de datos, el servicio o unidad de
acceso, la indicación del nivel de medidas de seguridad básico, medio o alto
exigible, y en su caso, la identificación del encargado del tratamiento en donde
se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias
internacionales de datos.”
Evidentemente los datos básicos precisos para la dirección jurídica de las
denunciantes, así como los pagos efectuados por las mismas, y los productos
derivados en forma de sentencias y recursos, son susceptibles de constituir un
fichero, como mínimo en papel, que también tiene la cualidad de fichero según
se deduce del artículo 3.b) de la LOPD, que señala:. “Fichero: todo conjunto
organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso”.
Especificando aun más el artículo 5.k) del Reglamento de la LOPD:
“Fichero: Todo conjunto organizado de datos de carácter personal, que permita
el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere
la forma o modalidad de su creación, almacenamiento, organización y acceso.”
Datos que en este caso se recabaron, y se dieron en el año 2007, y para los
cuales se carece, en este caso por el denunciado de inscripción del fichero. Si
bien, prima facie, la imputación fue hecha al denunciado, en este caso debe
decaer por varios motivos.
1) Básicamente, la dirección letrada es responsabilidad y corre a cuenta de
F.F.F., aunque varios elementos apuntan a que el denunciado pudiera coincidir
con este en la sede física del despacho y/o emitiera una minuta en la que
figuraba su nombre, si bien se indicaba el sello y los datos de colegiado, Sr.
F.F.F..
2) La persona que debe inscribir el fichero es la persona responsable del
fichero y en este caso la que efectúa el tratamiento, que es el Sr. F.F.F..
Página 176 de 353
3) No existe prueba alguna de la que se deduzca ni se tenga que considerar
que la persona que atendió a las denunciantes sea la responsable del fichero,
ni que aunque pudiera parecer jefe del Sr. F.F.F., deba ser responsable del
fichero. Lo habitual es que cada Abogado ejerza por su cuenta la profesión
para la que es precisa su colegiación, siendo responsable pues de los asuntos
que lleva. La excepción que no se acredita en el presente supuesto, sería la
prestación de servicios jurídicos en unidades que agrupen a Abogados bajo
diversas modalidades en su constitución, sociedad civil, o sociedades
profesionales, que derivarían la responsabilidad no a la persona sino a la
Sociedad.
En el presente supuesto, no habiéndose acreditado que los datos
proporcionados se recabaran por el denunciado, y dada la finalidad para la que
fueron empleados, que lo fueron por otra persona, se produce una falla en la
legitimación pasiva para continuar el presente procedimiento, debiéndose
archivar la presente infracción, y proceder a abrir procedimiento frente a F.F.F.,
presunto responsable de la dirección letrada de las denunciantes, y que debió
haber inscrito el fichero antes de recabar los datos, sin olvidar que los datos se
proporcionaron en 2007, y el fichero se inscribió en 2011.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: EXONERAR de responsabilidad a D. A.A.A., de la infracción del
artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c), y acordar el
archivo del procedimiento sancionador PS/00375/2010.
SEGUNDO: NOTIFICAR la presente resolución a D. A.A.A., adjuntando el
Anexo General, a DENUNCIANTE 1 indicado en el Anexo 1, con el Anexo 1, y
a DENUNCIANTE 2 indicado en el Anexo 2 junto al Anexo 2,
TERCERO: De conformidad con lo establecido en el apartado 2 del artículo 37
de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de
diciembre, de medidas fiscales, administrativas y del orden social, la presente
Resolución se hará pública, una vez haya sido notificada a los interesados. La
publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22
de diciembre, de la Agencia Española de Protección de Datos sobre
publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116
del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el
reglamento de desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo ContenciosoPágina 177 de 353
administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 30 de diciembre de 2010
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
ANEXO GENERAL
DENUNCIANTE 1: DENUNCIANTE 1
DENUNCIANTE 2: DENUNCIANTE 2
ANEXO 1
DENUNCIANTE 1: DENUNCIANTE 1
ANEXO 2
DENUNCIANTE 2: DENUNCIANTE 2
II. 2. TUTELA DE DERECHOS
Página 178 de 353
Procedimiento Nº PS/00375/2010
RESOLUCIÓN: R/02495/2010
En el procedimiento sancionador PS/00375/2010, instruido por la Agencia
Española de Protección de Datos a la entidad A.A.A., vista la denuncia
presentada por B.B.B. y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 5/08 y 29/10/2009, tuvieron entrada en esta Agencia dos
denuncias suscritas por DENUNCIANTE 1, y DENUNCIANTE 2 (según anexo
general) en las que ponen de manifiesto que el letrado A.A.A.), que representó
a ambas como codemandadas en el juicio de faltas 475/06, y a las que se
recabaron sus datos personales, no tiene los ficheros inscritos. Aportan copia
de la sentencia de 6/02/2007, y recibos de 15/02/2007 de pago de honorarios.
SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones
previas, por los Servicios de Inspección de esta Agencia se solicitó a la
Subdirección General del Registro General de Protección de Datos que
informara si existía algún fichero inscrito a nombre del denunciado, emitiéndose
nota de 30/11/2009, en la que se declaraba que no figuraba fichero alguno
inscrito cuyo titular sea C.C.C..
TERCERO: Con fecha 7/07/2010, el Director de la Agencia Española de
Protección de Datos acordó iniciar, procedimiento sancionador a C.C.C. , por
presunta infracción del artículo 26 de la LOPD, tipificada como leve en el
artículo 44.2.c) de la citada Ley Orgánicala Ley Orgánica 15/1999, de 13/12, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD), pudiendo ser
sancionado con multa de 601,01 € a 60.101,21 €, de acuerdo con el artículo
45.1 de dicha Ley Orgánica.
CUARTO: Con fecha 17/08/2010 tuvieron entrada las alegaciones del
denunciado que señala:
1) De conformidad con lo establecido en el art. 47 de la LOPD, dicha infracción
está prescrita al haber transcurrido más de un año entre los hechos que se
imputan, acaecidos ambos en el año 2007, y las denuncias que tuvieron
entrada en esa Agencia en el año 2009.
2) “Como se desprende de forma clara y terminante en la Sentencia de fecha
6/02/2007, y en el procedimiento de Juicio de Faltas 475/2006, el denunciado
no representó a ninguna de las denunciantes, entre otras razones, porque ni
son clientas de este despacho profesional, ni este Abogado ha asistido a dicho
juicio para efectuar la defensa a que se refiere el hecho primero del acuerdo de
iniciación de este procedimiento”.Aporta copia de la sentencia de 6/02/2007 en
la que no figura su nombre como defensor ni asistente de las denunciantes.
3) “Como es natural al no haber llevado la representación de las denunciantes,
este Letrado no ha cobrado cantidad alguna, sí lo ha hecho sin embargo el
Letrado que actuó en el acto del juicio, D. F.F.F.. Acompaña copia de minuta de
29/01/2007 de denunciante 1 en la que consta el nombre de F.F.F. en el
margen izquierdo, concepto “asistencia juicio de faltas”, y otra de 15/02/2007
de denunciante 2 “honorarios profesionales recurso apelación”, en la que en el
Página 179 de 353
margen izquierdo consta el nombre del denunciado y otra persona, ambos con
la condición de Abogados. Teniendo en común la primera con la segunda que
figura el mismo domicilio, misma localidad y mismos números de teléfono y fax.
El denunciado manifiesta que las minutas de las denunciantes se las “prestó
este compañero”, refiriéndose a F.F.F.. Se debe reseñar que la copia de la
minuta de denunciante 2, se aprecia que figura firmada P.O., y debajo aparece
el sello con los datos de colegiado de F.F.F.,
QUINTO: Con fecha 7/09/2010, se inició el período de práctica de pruebas,
dando por reproducidos a efectos probatorios las actuaciones previas de
Inspección que forman parte del expediente E/03178/2009, y las alegaciones y
documentación presentadas al acuerdo de inicio PS/00375/2010 por el
denunciado. Además se practicó:
1. Se dió traslado a las denunciantes para que alegaran y aportaran la prueba
que considerasen oportuna respecto a las alegaciones del denunciado, y
además, en concreto se les preguntará, 1) porque saben que el responsable
del fichero es la persona denunciada. 2) Motivo por el que si en el juicio fueron
atendidas y defendidas por el letrado Sr. F.F.F., presentan la denuncia contra el
ahora denunciado 3) Que acrediten que datos proporcionaron, por que letrado
fue atendida, a quien/es dieron sus datos, por que sistema, y si fueron
registrados como y donde. 4) A denunciante 2, motivo por el que presenta
recibí de pago de 15/02/2007 de denunciante 1, se envía folio 27. Con fecha
5/10/2010, responde denunciante 2 que “n el momento en que solicitamos sus
servicios profesionales, nos atendió D. A.A.A. como responsable del despacho
de Abogados, quien en apariencia era el responsable del despacho de
Abogados, exponiéndole nuestros problemas jurídicos. “Una vez entendido el
problema nos desvió al Sr. F.F.F., quien en todo momento se comportó como
un subordinado suyo, nos dio la apariencia en aquel momento de ser empleado
suyo, aunque este extremo no nos quedó acreditado”. En la factura por la
provisión de fondos por los servicios profesionales del recurso de apelación,
que fue aportada en mi denuncia, figuran en el margen superior izquierdo los
nombres de “ D.D.D.” y “ E.E.E.”, “ignorando quién es esta segunda persona,
pero no figura en ella nombre del Sr. F.F.F., por lo que tiene la apariencia de
que en aquel momento era un empleado del H.H.H..” “Durante la visita al
despacho de abogados se nos recabaron datos de carácter personal para
poder confeccionar la demanda que se realizaría en nuestro nombre. Incluso
realizaron una fotocopia de mi documento nacional de identidad que ellos no
me entregaron” (la fotocopia). “Una tercera persona que trabajaba en dicho
despacho, de nombre B.B.B., me pidió mi número de teléfono para poder
contactar conmigo. Dada mi relación de servicios con el despacho de D. A.A.A.,
dicha información es obvio que pasará a formar parte más que de un fichero de
clientes que, obviamente, contiene datos de carácter personal.
El primer letrado que nos atendió fue D. A.A.A., quien ordenó al Sr. F.F.F. que
llevase nuestro caso y le puso en antecedentes. Desconozco si la otra persona
de nombre B.B.B. y ue en apariencia es empleada del bufete y hace funciones
de secretaria, reúne la condición e letrado.”
Página 180 de 353
“El sistema de facilitar los datos de carácter personal requeridos fue de viva voz
en el caso del teléfono y los otros datos personales (Dirección, Dni, etc.)
mediante entrega del DNI que fue totocopiado por la Sra. B.B.B., en una
fotocopiadora ubicada justo en el interior de su puesto e trabajo que está
delimitado por un mostrador.” “Nunca nos informaron que iban a formar arte de
un fichero, ni quien era la persona responsable de dicho fichero, ni ante quien
podíamos ejercer los derechos de acceso, rectificación y cancelación. Al no
poder hallar la inscripción de los ficheros en la Web de la Agencia Española de
Protección de Datos procedimos a efectuar la denuncia.”
“Desconocemos si los datos facilitados fueron registrados y en que forma, no
pudiendo afirmar ni demostrar categóricamente si pudieron ser registrados en
un sistema informático del que la Sra. B.B.B. tenía una terminal, pero lo cierto
es que esos datos fueron utilizados para ponerse en contacto con posterioridad
conmigo y para realizar la facturación por los servicios prestados.” Denunciante
1 contesta en términos similares, incluso el orden y los párrafos así como el
contenido coinciden con los de la declaración de la denunciante 2. Denunciante
1 además, aporta copia del directorio del edificio en que se ubica el despacho
profesional, coincidiendo con los nombres que constan en el recibí de la minuta
de la denunciante 2.
2. Se le solicitó a denunciado que manifieste la relación que tenía con el letrado
Sr. F.F.F., y la forma en que en su caso se integraba en su despacho o en su
organización. En un primer envío, el denunciante no retiró el correo remitido y
fue devuelto, reiterándose en una segunda ocasión y contestó el 16/11/2010
que: “Hace ya varios años, y en determinados y esporádicos momentos, el Sr.
F.F.F. utilizaba un despacho en esta oficina pero sin vinculación alguna con
este Letrado e igualmente sin conexión con los datos de sus posibles clientes.”
3. Se le solicitó a denunciado que informara del motivo por el que consta su
nombre junto con el de otra Abogada en el recibí de la copia de la minuta del
recurso apelación (15/02/2007), (se adjuntó folio 12), así como forma jurídica
de la prestación de sus servicios junto con los que constan de esa otra
Abogada. Contestó que “Tampoco ha existido vinculación alguna con la otra
Abogada, ni con sus posibles clientes. El hecho de que figurase el nombre de
este Letrado junto con el de la Abogada es, sencillamente, porque no había
otro modelo y se justificó con dicho recibo el pago por no estar presente el
Letrado en ese momento. Consecuentemente, no hay ninguna forma jurídica
de prestación de servicios con la expresada Abogada.”
4. Al denunciado, forma de recogida de datos de sus clientes, sistema de
almacenamiento e información que usted les da a sus clientes, datos que se
recogen (obsérvese que se hace referencia a clientes en abstracto, no a las
denunciantes). Si en su despacho, cada Abogado tiene acceso al ordenador
que contiene información de datos de asuntos de otro letrado, etc. Contestó
que hasta hace muy poco tiempo daba clases de Derecho Penal en la
Universidad de La Laguna, ha superado ya con creces la edad de jubilación,
por lo que, y al margen de que pueda cerrar definitivamente su despacho en
breve, su actividad como Abogado es muy limitada y relacionada, casi siempre,
con personas jurídicas, Los distintos expedientes, una vez conclusos, se
Página 181 de 353
devuelven al cliente, no se mantienen datos personales en los ordenadores,
utilizándose única y exclusivamente los mismo para redacción de escritos y,
una vez se imprimen, se destruyen, solo existen expedientes físicos, de cuya
circunstancia se tiene debidamente informado al cliente, tanto de la existencia
del mismo como de los datos que contienen. Los expedientes físicos están bajo
llave, y el único acceso es el de este Letrado.
SEXTO: Mediante diligencia de 25/11/2010, el Instructor consultó en el Registro
General de Protección de Datos los ficheros inscritos a nombre de F.F.F.,
resultando que consta inscrito el fichero “CLIENTES ABOGADO”, desde
15/11/2010, descrito como “Gestión de asuntos encomendados por el cliente”.
SÉPTIMO: Con fecha 30/11/2010, se formuló propuesta de resolución,
proponiendo el archivo del procedimiento iniciado a D. A.A.A. por la infracción
del artículo 26.1 de la LOPD, tipificada como leve en el 44.2.c) de dicha Ley,
propuesta que le fue notificada en fecha 03/12/2010.
HECHOS PROBADOS
1) Las dos denunciantes denuncian al Abogado G.G.G., porque proporcionaron
sus datos para su defensa jurídica en su despacho. Sin embargo, en la
sentencia que aportan, de 6/02/2007 y en la interposición del recurso de
apelación de 16/02/2007, así como en su fallo, su letrado y con el que se
entendieron las actuaciones, fue el Sr. F.F.F., también Abogado Colegiado
(folios 8, 13 y 12, 17- 18).
2) La sede física en que prestan servicios el denunciado y F.F.F. es la misma,
según se deduce del domicilio que este último hace constar y también ha
manifestado el denunciado (folios 12, 13, 80).
3) Las denunciantes proporcionaron sus datos personales, número de teléfono,
copia del DNI que se les efectuó en el despacho del denunciado, necesarios
como datos básicos para formular las peticiones judiciales, siendo esta
precisamente su finalidad (folios 67, 71).
4) F.F.F. inscribió el fichero “CLIENTES ABOGADO”, el 15/11/2010, descrito
como “Gestión de asuntos encomendados por el cliente”, con posterioridad a la
fecha en que las denunciantes proporcionaron sus datos, 2007 (folios 84 a 89).
4) G.G.G. no dispone de fichero inscrito en el Registro de la Agencia (folios 36
y 37).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 37. g) en relación con el artículo 36 de la LOPD.
II
El artículo 26 de la LOPD señala:
Página 182 de 353
“1. Toda persona o entidad que proceda a la creación de ficheros de datos de
carácter personal lo notificará previamente a la Agencia de Protección de
Datos.
2. Por vía reglamentaria se procederá a la regulación detallada de los distintos
extremos que debe contener la notificación, entre los cuales figurarán
necesariamente el responsable del fichero, la finalidad del mismo, su ubicación,
el tipo de datos de carácter personal que contiene, las medidas de seguridad,
con indicación del nivel básico, medio o alto exigible y las cesiones de datos de
carácter personal que se prevean realizar y, en su caso, las transferencias de
datos que se prevean a países terceros.
3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que
se produzcan en la finalidad del fichero automatizado, en su responsable y en
la dirección de su ubicación.
4. El Registro General de Protección de Datos inscribirá el fichero si la
notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir
que se completen los datos que falten o se proceda a su subsanación.
5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin
que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se
entenderá inscrito el fichero automatizado a todos los efectos.”
El artículo 55.2 del Real Decreto 1720/2007, de 21/12, por el que se aprueba el
reglamento de desarrollo de la ley Orgánica 15/1999, de 13/12, de protección
de datos de carácter personal añade: “Los ficheros de datos de carácter
personal de titularidad privada serán notificados a la Agencia Española de
Protección de Datos por la persona o entidad privada que pretenda crearlos,
con carácter previo a su creación. La notificación deberá indicar la identificación
del responsable del fichero, la identificación del fichero, sus finalidades y los
usos previstos, el sistema de tratamiento empleado en su organización, el
colectivo de personas sobre el que se obtienen los datos, el procedimiento y
procedencia de los datos, las categorías de datos, el servicio o unidad de
acceso, la indicación del nivel de medidas de seguridad básico, medio o alto
exigible, y en su caso, la identificación del encargado del tratamiento en donde
se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias
internacionales de datos.”
Evidentemente los datos básicos precisos para la dirección jurídica de las
denunciantes, así como los pagos efectuados por las mismas, y los productos
derivados en forma de sentencias y recursos, son susceptibles de constituir un
fichero, como mínimo en papel, que también tiene la cualidad de fichero según
se deduce del artículo 3.b) de la LOPD, que señala:. “Fichero: todo conjunto
organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso”.
Especificando aun más el artículo 5.k) del Reglamento de la LOPD: “Fichero:
Todo conjunto organizado de datos de carácter personal, que permita el acceso
a los datos con arreglo a criterios determinados, cualquiera que fuere la forma
o modalidad de su creación, almacenamiento, organización y acceso.”
Datos que en este caso se recabaron, y se dieron en el año 2007, y para los
cuales se carece, en este caso por el denunciado de inscripción del fichero. Si
bien, prima facie, la imputación fue hecha al denunciado, en este caso debe
decaer por varios motivos.
1) Básicamente, la dirección letrada es responsabilidad y corre a cuenta de
F.F.F., aunque varios elementos apuntan a que el denunciado pudiera coincidir
Página 183 de 353
con este en la sede física del despacho y/o emitiera una minuta en la que
figuraba su nombre, si bien se indicaba el sello y los datos de colegiado, Sr.
F.F.F..
2) La persona que debe inscribir el fichero es la persona responsable del
fichero y en este caso la que efectúa el tratamiento, que es el Sr. F.F.F..
3) No existe prueba alguna de la que se deduzca ni se tenga que considerar
que la persona que atendió a las denunciantes sea la responsable del fichero,
ni que aunque pudiera parecer jefe del Sr. F.F.F., deba ser responsable del
fichero. Lo habitual es que cada Abogado ejerza por su cuenta la profesión
para la que es precisa su colegiación, siendo responsable pues de los asuntos
que lleva. La excepción que no se acredita en el presente supuesto, sería la
prestación de servicios jurídicos en unidades que agrupen a Abogados bajo
diversas modalidades en su constitución, sociedad civil, o sociedades
profesionales, que derivarían la responsabilidad no a la persona sino a la
Sociedad.
En el presente supuesto, no habiéndose acreditado que los datos
proporcionados se recabaran por el denunciado, y dada la finalidad para la que
fueron empleados, que lo fueron por otra persona, se produce una falla en la
legitimación pasiva para continuar el presente procedimiento, debiéndose
archivar la presente infracción, y proceder a abrir procedimiento frente a F.F.F.,
presunto responsable de la dirección letrada de las denunciantes, y que debió
haber inscrito el fichero antes de recabar los datos, sin olvidar que los datos se
proporcionaron en 2007, y el fichero se inscribió en 2011.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: EXONERAR de responsabilidad a D. A.A.A., de la infracción del
artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c), y acordar el
archivo del procedimiento sancionador PS/00375/2010.
SEGUNDO: NOTIFICAR la presente resolución a D. A.A.A., adjuntando el
Anexo General, a DENUNCIANTE 1 indicado en el Anexo 1, con el Anexo 1, y
a DENUNCIANTE 2 indicado en el Anexo 2 junto al Anexo 2,
TERCERO: De conformidad con lo establecido en el apartado 2 del artículo 37
de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de
diciembre, de medidas fiscales, administrativas y del orden social, la presente
Resolución se hará pública, una vez haya sido notificada a los interesados. La
publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22
de diciembre, de la Agencia Española de Protección de Datos sobre
publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116
del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el
reglamento de desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Página 184 de 353
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 30 de diciembre de 2010
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
ANEXO GENERAL
DENUNCIANTE 1: DENUNCIANTE 1
DENUNCIANTE 2: DENUNCIANTE 2
ANEXO 1
DENUNCIANTE 1: DENUNCIANTE 1
ANEXO 2
DENUNCIANTE 2: DENUNCIANTE 2
Página 185 de 353
Procedimiento Nº: TD/00474/2005
RESOLUCIÓN Nº.: R/00099/2006
Vista la reclamación formulada por D. J.G.A., contra el COLEGIO DE
ABOGADOS DE CÁDIZ, y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 16/09/2005, tuvo entrada en esta Agencia reclamación
formulada por D. J.G.A. (en lo sucesivo el reclamante), por la denegación del
derecho de acceso a sus datos contenidos en los ficheros del Colegio de
Abogados de Cádiz (en lo sucesivo, el Colegio). Alega el reclamante que el
Colegio no le ha comunicado los concretos datos que posee sobre él, ni le ha
facilitado el acceso a su expediente personal, que se le han impuesto
sanciones disciplinarias y no ha sido informado de la cesión de sus datos, al
menos, al Consejo General de la Abogacía Española y a diversos Órganos
Judiciales y que ha solicitado el reconocimiento del derecho a la Asistencia
Jurídica Gratuita, sin que tampoco haya sido informado de los datos existentes
en el Colegio en este sentido.
SEGUNDO: En fecha 24/10/2005, se trasladó dicha reclamación al Colegio,
que presentó las alegaciones que a su derecho estimó convenientes,
manifestando que se informó al reclamante que en los ficheros del Colegio
existían sus datos de nombre y apellidos, NIF, fecha de alta en la Corporación,
si procedía o no de otro Colegio, su cualidad de ejerciente y residente, la fecha
de jura como Abogado, la fecha y el motivo de baja total en el Colegio,
domicilio, teléfono y fax de su despacho, aunque no se concretaron cada uno
de los datos que se poseen sobre el reclamante. Las posibles sanciones
disciplinarias no constan en soporte físico susceptible de tratamiento, y que no
se facilitó al reclamante el acceso a la información relativa a la asistencia
jurídica gratuita al haber solicitado el acceso a sus datos en su condición de
colegiado y no como solicitante del beneficio de justicia gratuita.
TERCERO: Examinadas las alegaciones presentadas por el responsable del
fichero, se dio traslado de las mismas al reclamante, que señaló que el Colegio
no le facilitó la información que manifiesta haberle facilitado, que no se le ha
facilitado el acceso a su expediente personal, que las sanciones disciplinarias
que se le han impuesto constan en su expediente personal y, que, cuando
solicitó el acceso al Colegio, no hizo referencia a su condición de letrado.
Solicita de la Agencia que remita copia del procedimiento a los órganos
jurisdiccionales a fin de que se esclarezca la posible existencia de un delito de
falsedad documental y aporta copia de su expediente personal que fue remitido
por el Colegio al Juzgado de Instrucción nº 0A de ....., con fecha 27/12/2000.
CUARTO: Otorgada audiencia al responsable del fichero, éste adujo que los
documentos que forman el expediente personal del reclamante no están
incorporados a ninguna base de datos ni han sido sometidos a tratamiento y
que se ha remitido un escrito al reclamante informándole de los datos
contenidos en los ficheros del Colegio y de los existentes en su expediente
personal. Aporta copia de un escrito, de fecha 09/02/2006, remitido al
Página 186 de 353
reclamante en el que se indica que se acompaña copia de la información
registrada en los ficheros informatizados del Colegio, que tales datos no han
sido cedidos, que se adjuntan los datos registrados en el fichero de asignación
de turnos de oficio relativos a las peticiones que ha realizado el reclamante,
que tales datos han sido cedidos a la Comisión Provincial de Asistencia
Jurídica Gratuita que es la que conserva materialmente los expedientes, que
los expedientes disciplinarios no se encuentran informatizados y que se remite
al reclamante, únicamente, de la documentación que obra en su expediente
personal aquélla que no consta entre la documentación que fue aportada por el
reclamante al procedimiento de tutela de derechos. Asimismo aporta copia del
documento acreditativo de haber remitido por correo certificado el citado escrito
al reclamante, con fecha 09/02/2006.
HECHOS PROBADOS
PRIMERO: Mediante escrito de 25/07/2005, D. J.G.A. solicitó al Colegio de
Abogados de Cádiz el acceso a sus datos personales, el origen de los mismos
y las comunicaciones realizadas o que se prevean realizar de los mismos.
Dicho escrito lo recibió el Colegio, con fecha 02/08/2005, según consta en el
acuse de recibo.
SEGUNDO: El Colegio de Abogados de Cádiz informó a D. J.G.A., en escrito
de 16/08/2005, que figura en el Colegio dado de baja total, que “los datos que
constan en el archivo “histórico” de este Colegio son los facilitados por usted y
que afectan a su pertenencia al Colegio, a saber: nombre y apellidos, NIF,
fecha de alta en la Corporación y si procedía o no de otro Colegio, su cualidad
de ejerciente y residente, la fecha en que juró como abogado, la fecha de baja
total en el Colegio y el motivo y el domicilio y teléfono-fax de su bufete” y que,
con anterioridad a la fecha de baja, no se cedieron sus datos y que, con
posterioridad a dicha fecha, sólo se comunica tal hecho.
TERCERO: Con fecha 09/02/2006, el Colegio de Abogados de Cádiz remitió a
D. J.G.A. por correo certificado un escrito en el que se indica que se acompaña
copia de la información registrada en los ficheros informatizados del Colegio,
que tales datos no han sido cedidos, que se adjuntan los datos registrados en
el fichero de asignación de turnos de oficio relativos a las peticiones que ha
realizado el reclamante, que tales datos han sido cedidos a la Comisión
Provincial de Asistencia Jurídica Gratuita que es la que conserva materialmente
los expedientes, que los expedientes disciplinarios no se encuentran
informatizados y que se remite al reclamante, únicamente, de la documentación
que obra en su expediente personal aquélla que no consta entre la
documentación que fue aportada por el reclamante al procedimiento de tutela
de derechos.
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la Ley Orgánica
Página 187 de 353
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en
lo sucesivo LOPD).
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá
derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen de dichos datos, así como
las comunicaciones realizadas o que se prevén hacer de los mismos”.
La disposición adicional primera de la LOPD establece que “Los ficheros y
tratamientos automatizados, inscritos o no en el Registro General de Protección
de Datos deberán adecuarse a la presente Ley Orgánica dentro del plazo de
tres años, a contar desde su entrada en vigor. En dicho plazo, los ficheros de
titularidad privada deberán ser comunicados a la Agencia de Protección de
Datos y las Administraciones Públicas, responsables de ficheros de titularidad
pública, deberán aprobar la pertinente disposición de regulación del fichero o
adaptar la existente.
En el supuesto de ficheros y tratamientos no automatizados, su adecuación a
la presente Ley Orgánica y la obligación prevista en el párrafo anterior deberá
cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de
1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y
cancelación por parte de los afectados” (el subrayado es de la Agencia
Española de Protección de Datos).
CUARTO: El artículo 12 del Real Decreto 1332/94, de 20 de junio, por el que se
desarrollan determinados preceptos de la Ley Orgánica 5/1992, que continúa
en vigor de conformidad con lo establecido en la disposición transitoria tercera
de la LOPD, determina en su apartados 1, 3 y 4 que:
“1.- El derecho de acceso se ejercerá mediante petición o solicitud dirigida al
responsable del fichero, formulada por cualquier medio que garantice la
identificación del afectado y en la que conste el fichero o ficheros a consultar.”
“3.- El responsable del fichero resolverá sobre la petición de acceso en el plazo
máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este
plazo sin que de forma expresa se responda a la petición de acceso, ésta
podrá entenderse desestimada a los efectos de la interposición de la
reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18
LOPD).
“4.- Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de
los diez días siguientes a la notificación de aquélla”.
Añadiendo el artículo 13.2 del citado Real Decreto 1332/1994, en cuanto al
contenido del derecho de acceso, que “La información comprenderá los datos
de base del afectado y los resultantes de cualquier elaboración o proceso
informático, así como el origen de los datos, los cesionarios de los mismos y la
especificación de los concretos usos y finalidades para los que se almacenaron
los datos”.
Página 188 de 353
QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia de
Protección de Datos, relativa al ejercicio de los derechos de acceso,
rectificación y cancelación establece en el punto 4 de su Norma Primera, primer
párrafo, que “El responsable del fichero deberá contestar la solicitud que se le
dirija, con independencia de que figuren o no datos personales del afectado en
sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y
la recepción. (el subrayado es de la Agencia Española de Protección de Datos).
Añadiendo el punto 6 de su Norma Segunda que “la información que se
proporcione, cualquiera que se a el soporte en que fuere facilitada, se dará en
forma legible e inteligible, previa transcripción en claro de los datos del fichero,
en su caso, y comprenderá todos los datos de base del afectado, los resultados
de cualquier valoración o proceso informático, así como el origen de los datos,
los cesionarios de los mismos y la especificación de los concretos usos y
finalidades para los que se almacenaron los datos.”
SEXTO: En el supuesto examinado el reclamante solicitó al Colegio, con fecha
02/08/2005, el acceso a sus datos personales, informando el Colegio al
solicitante de acceso, mediante escrito de fecha 16/08/2005, que figura en el
Colegio dado de baja total, que “los datos que constan en el archivo “histórico”
de este Colegio son los facilitados por usted y que afectan a su pertenencia al
Colegio, a saber: nombre y apellidos, NIF, fecha de alta en la Corporación y si
procedía o no de otro Colegio, su cualidad de ejerciente y residente, la fecha en
que juró como abogado, la fecha de baja total en el Colegio y el motivo y el
domicilio y teléfono-fax de su bufete” y que con anterioridad a la fecha de baja
no se cedieron sus datos y que con posterioridad a dicha fecha sólo se
comunica tal hecho.
El Colegio, durante la tramitación del procedimiento, ha manifestado que
completó la información inicialmente facilitada al reclamante, dando así
adecuada respuesta a la solicitud de acceso de aquél y aporta en acreditación
de lo manifestado copia del escrito, de fecha 09/02/2006, en el que se
comunica al reclamante que se adjunta el contenido de la información obrante
en los ficheros del Colegio y copia del justificante de haber remitido al
reclamante por correo certificado el citado escrito.
No obstante, respecto de estas manifestaciones es necesario señalar que de la
documentación aportada por el Colegio no resultan elementos suficientes para
que pueda valorarse si el reclamante ha obtenido adecuada respuesta a su
solicitud de acceso, ni en lo relativo a la recepción de la citada documentación
ni en lo referente a si la respuesta facilitada por el Colegio satisface el derecho
ejercido por el reclamante.
Así las cosas procede analizar, por tanto, si el escrito de fecha 16/08/2005 por
el que el Colegio dio respuesta a la solicitud de acceso del reclamante cumple
con las exigencias de la LOPD y del citado Real Decreto 1332/1994.
El derecho de acceso que reconoce la LOPD se refiere al derecho que asiste al
afectado para obtener información de sus datos de carácter personal sometidos
a tratamiento y dicha información comprende, de acuerdo con lo especificado
en el artículo 13.2 del citado Real Decreto 1332/1994 transcrito, los datos de
base del afectado, el origen de los mismos, los cesionarios y la especificación
de los concretos usos y finalidades para los que se almacenaron.
Página 189 de 353
Del análisis del referido escrito se desprenden las siguiente consideraciones:
1.- En cuanto a la información sobre los datos del afectado, el acceso que el
Colegio facilitó al reclamante no contiene toda la información a que hace
referencia el citado artículo 13.2, pues el deber de informar no puede
entenderse cumplido con una alusión genérica a los
datos que obran en los ficheros de la entidad, sin indicar qué datos en concreto
posee del afectado.
Además en el referido acceso no se informa al reclamante de los datos que
obran en los ficheros no automatizados del Colegio, entendiéndose por fichero,
de acuerdo con en el artículo 3.d) de la LOPD, “todo conjunto organizado de
datos de carácter personal, cualquiera que fuere la forma o modalidad de su
creación, almacenamiento, organización y acceso”.
2. - En cuanto a las cesiones de los datos, el Colegio tampoco informa al
reclamante de a qué entidad se han comunicado sus datos ni cuál es el fichero
en el que se hallaban los datos cedidos.
Por lo tanto, de lo señalado con anterioridad, cabe concluir que la información
facilitada no es suficiente de acuerdo con lo previsto en el artículo 15.1 de la
LOPD.
SÉPTIMO: Por otro lado, en cuanto a la información relativa a las solicitudes de
asistencia jurídica gratuita, argumenta el Colegio que ésta no se facilitó al
reclamante al entender que únicamente fue solicitado el acceso a los datos en
calidad de colegiado.
A este respecto procede traer a colación la Sentencia de la Audiencia Nacional
de fecha 21/04/2004, en la que declara que <<ciertamente de una
interpretación literal del artículo 12 del RD 1332/1994 pudiera desprenderse
que es necesario que la petición de acceso especifique “el fichero o ficheros a
consultar” y que, al no expresarse el mismo, no procede conceder el acceso.
Ahora bien, tal interpretación no se compadece con la finalidad de la norma por
las siguientes razones:
1.- En primer lugar debe partirse del hecho de que el responsable del fichero
utiliza datos del afectado en su beneficio, lo que hace que debe asumir una
serie de cargas en garantía de los derechos del afectado.
2.- Una de estas cargas es el derecho al acceso. Carga que el responsable del
fichero debe asumir con una especial diligencia dada la sensibilidad de los
bienes jurídicos objeto de protección en el tráfico en el que opera.
3.- Ciertamente para que el acceso sea posible es necesario que el afectado
realice una petición que permita al responsable del fichero la búsqueda de tales
datos. Siendo lo esencial no tanto la identificación concreta del fichero como la
facilitación de los datos precisos para su búsqueda. Lo esencial es, por lo tanto,
facilitar los datos de los que dispone el afectado de forma que pueda
razonablemente accederse a su petición (...). Entiende la Sala, por lo tanto, que
lo único que cabe exigir al recurrente es que facilite al responsable del fichero
los datos de que dispone, correspondiendo a éste la carga de buscar tales
datos.>>
En el supuesto examinado, es cierto que la solicitud de acceso del reclamante
no contiene ninguna referencia relativa a que también desea obtener el acceso
a los datos que sobre él obran en el Colegio sobre asistencia jurídica gratuita.
Sin embargo, de acuerdo con la doctrina legal señalada correspondía al
Página 190 de 353
Colegio asumir la carga de buscar los datos en todos sus ficheros, cosa que no
hizo.
OCTAVO: Finalmente, en cuanto a la solicitud que realiza el reclamante en
orden a que se remita copia del procedimiento de tutela de derechos a los
órganos jurisdiccionales, a fin de que se esclarezca la posible existencia de un
delito de falsedad documental, ha de señalarse que esta Agencia no se
encuentra obligada a efectuar dicha remisión y que no le compete valorar si se
ha producido o no tal falsedad documental.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ESTIMAR la reclamación formulada por D. J.G.A. e instar al
COLEGIO DE ABOGADOS DE CÁDIZ para que en el plazo de los diez días
hábiles siguientes a la notificación de la presente resolución, remita al
reclamante certificación en la que se hagan constar todos sus datos personales
contenidos en sus ficheros tanto automatizados como no automatizados, en los
términos previstos en el artículo 15.1 de la LOPD y 13.2 del citado Real
Decreto 1332/1994, pudiendo incurrir en su defecto en una de las infracciones
previstas en el artículo 44 de la LOPD. Las actuaciones realizadas como
consecuencia de la presente resolución deberán ser comunicadas a esta
Agencia en idéntico plazo.
SEGUNDO: NOTIFICAR la presente resolución al COLEGIO DE ABOGADOS
DE CÁDIZ, (C/.......................), y a D. J.G.A., (C/.........................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Página 191 de 353
Madrid, 2 de marzo de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Página 192 de 353
Procedimiento Nº: TD/00112/2006
RESOLUCIÓN Nº.: R/00341/2006
Vista la reclamación formulada por DON J.G.A., contra el CONSEJO
GENERAL DE LA ABOGACÍA ESPAÑOLA, y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 14 de febrero de 2006, tuvo entrada en esta Agencia una
reclamación formulada por Don J.G.A. (en lo sucesivo el reclamante), por la
denegación del derecho de cancelación de sus datos contenidos en los ficheros
del Consejo General de la Abogacía Española (en lo sucesivo CGAE).
SEGUNDO: En fecha 16 de marzo de 2006, se trasladó dicha reclamación al
CGAE, que presentó las alegaciones que a su derecho estimó convenientes,
manifestando que la solicitud del reclamante pretendía la cancelación de la
anotación de varias sanciones inscritas en el Registro de Sanciones de
Letrados, basando su petición en que habían transcurrido más de tres años
desde que fueron cumplidas. En contestación a su reclamación el CGAE le
informó que debía dirigirse al Colegio de Abogados de (.......), que había
impuesto las sanciones, para que dicho Colegio procediera a comunicar al
CGAE la cancelación, en su caso, de la anotación de las mismas.
El CGAE informó que había procedido a la cancelación de la anotación de dos
sanciones, a la vista del informe emitido por el Colegio de Abogados de (.....),
quedando inscritas el resto, impuestas pero no ejecutadas, en el Registro del
CGAE en cumplimiento del artículo 89.2 del Estatuto de esa entidad.
TERCERO: Examinadas las alegaciones presentadas por el responsable del
fichero, se dio traslado de las mismas al reclamante, que señaló que el CGAE
no había cancelado en el Registro de Sanciones de Letrados las sanciones
referidas, a pesar de que el Colegio de Abogados de (.......) le ha expedido un
certificado, con fecha 10 de enero de 2006, cuya fotocopia adjunta, según el
cual se ha procedido a la cancelación de todas las sanciones impuestas.
CUARTO: Otorgada audiencia al reclamante, se dio traslado de sus
alegaciones al responsable del fichero, que señaló, con fecha 19 de mayo de
2006, que el CGAE resolvió motivadamente lo solicitado por el denunciante, de
conformidad con lo dispuesto en el artículo 93 del Estatuto
General de la Abogacía Española (RD 658/2001, de 22 de junio).
Por otro lado manifiesta que el artículo 89.2 establece que “las sanciones
tendrán efectos en el ámbito de todos los Colegios de Abogados de España, a
cuyo fin el Colegio o Consejo Autonómico que las imponga, tendrá
preceptivamente que comunicarlas al CGAE….”. El CGAE alega que “no
procedía la cancelación solicitada de las sanciones firmes que continúan
inscritas en el CGAE, pues dichos datos no son inexactos, incompletos o
inadecuados, sin que haya habido un tratamiento no ajustado a lo dispuesto en
la citada Ley Orgánica”.
Página 193 de 353
En cuanto al certificado emitido por el Colegio de Abogados de Cádiz, en el que
se procede a la cancelación de todas las sanciones, el CGAE manifiesta no
haber tenido noticia de esta circunstancia hasta el momento de su aportación
por el denunciante, dado que, ni el propio Colegio de Abogados ni el mismo
denunciante, le han dado traslado del mismo a los efectos de ser tenidos en
cuenta en el Registro de Sanciones de Letrados, por lo que esa entidad se ha
dirigido al Colegio de Abogados de Cádiz solicitando confirmación de la misma
para proceder conforme a su contenido.
Finaliza manifestando que “una vez que se produzca la comunicación por el
Colegio de Abogados en el sentido establecido en el certificado, se procederá a
la cancelación de las dos únicas sanciones que quedan pendientes de ejecutar
y que están anotadas en el Registro de este Consejo General”.
HECHOS PROBADOS
PRIMERO: Don J.G.A. presentó reclamación de Tutela de Derechos ante la
Agencia Española de Protección de Datos, en fecha 14 de febrero de 2006, por
la denegación del derecho de cancelación de sus datos personales en el
Registro de Sanciones de Letrados del Consejo General de la Abogacía
Española.
SEGUNDO: Don J.G.A. había solicitado la cancelación de sus datos el 5 de
septiembre de 2005, mediante correo certificado, que fue recepcionado por el
Consejo General de la Abogacía Española el 12 de septiembre de 2005.
TERCERO: En fecha 14 de septiembre de 2005, el Consejo General de la
Abogacía Española remite una carta a Don J.G.A., informando que “debe
dirigirse al Colegio de Abogados que hubiera impuesto las sanciones, el objeto
de que procedan a comunicar a la CGAE la cancelación de la anotación de las
mismas”.
CUARTO: En fecha 28 de octubre de 2005, el reclamante interpuso un recurso
de reposición contra la resolución dictada por el Consejo General de la
Abogacía Española.
QUINTO: Con fecha 8 de marzo de 2006, se remite Don J.G.A. la notificación
de la resolución de 13 de febrero de 2006, por la que se resuelve el recurso de
reposición y se estima parcialmente dicho recurso, accediendo a la solicitud de
cancelación de la anotación de dos sanciones, que constan en el Registro del
Consejo General de la Abogacía Española..
SEXTO: En fecha 17 de mayo de 2006, el CGAE se dirige el Colegio de
Abogados de (.....) solicitando la cancelación de todas las sanciones que
quedan pendientes en el Registro de Sanciones de Letrados.
SÉPTIMO: En el escrito de alegaciones remitido a esta Agencia con fecha 19
de mayo de 2005, el CGAE anuncia que “Una vez que se produzca la
comunicación del Colegio de Abogados en el sentido establecido por el
Página 194 de 353
certificado, se procederá a la cancelación de las dos únicas sanciones que
quedan pendientes de ejecutar … y que están anotadas en el Registro …”.
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en
lo sucesivo LOPD).
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 16.1 de la LOPD dispone que “El responsable del
tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o
cancelación del interesado en el plazo de diez días”. Añadiendo el apartado 2
del citado artículo que, “Serán rectificados o cancelados, en su caso, los datos
de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la
presente Ley y, en particular, cuando tales datos resulten inexactos o
incompletos.”
CUARTO: El artículo 15 del Real Decreto 1332/94, de 20 de junio, por el que se
desarrollan determinados preceptos de la Ley Orgánica 5/1992, que continúa
en vigor de conformidad con lo establecido en la disposición transitoria tercera
de la LOPD, determina, en su apartado 3, que, ”En el supuesto de que el
responsable del fichero considere que no procede acceder a lo solicitado por el
afectado, se lo comunicará motivadamente dentro del plazo señalado en el
apartado anterior a fin de que por éste se pueda hacer uso de la reclamación
prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18.1 LOPD).
QUINTO: La Instrucción 1/1998, de 19 de enero, de la Agencia Española de
Protección de Datos, relativa al ejercicio de los derechos de acceso,
rectificación y cancelación, establece en el punto 5 de su Norma Primera:
“5. El responsable del fichero deberá adoptar las medidas oportunas para
garantizar que todas las personas de su organización que tienen acceso a
datos de carácter personal puedan informar del procedimiento a seguir por el
afectado para el ejercicio de sus derechos”.
SEXTO: En el presente caso, ha quedado acreditado que el CGAE contestó en
plazo al reclamante y le informó del procedimiento que debía seguir para el
adecuado ejercicio de su derecho. En consecuencia, no se observa vulneración
alguna de la normativa de protección de datos.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
Página 195 de 353
PRIMERO: DESESTIMAR la reclamación formulada por DON J.G.A. contra el
CONSEJO GENERAL DE LA ABOGACÍA ESPAÑOLA.
SEGUNDO: NOTIFICAR la presente resolución al CONSEJO GENERAL DE
LA ABOGACÍA ESPAÑOLA, (C/..............................), y a DON J.G.A.,
(C/........................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 10 de julio de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Página 196 de 353
Procedimiento Nº: TD/00754/2007
RESOLUCIÓN Nº.: R/00220/2008
Vista la reclamación formulada por DOÑA R.R.R., contra B.F.G. Advocats
Associats, S.L. , y en base a los siguientes ,
HECHOS
PRIMERO: Con fecha 18 de agosto de 2007, Doña R.R.R., ejercitó su derecho
de cancelación de sus datos personales contenidos en los ficheros de la
entidad B.F.G. Advocats Associats, S.L. En su solicitud indicaba que su nombre
y su foto no habían sido retirados de la página web de la entidad denunciada ,
puesto que ya no era miembro de la plantilla de su firma.
SEGUNDO: En fecha 24 de septiembre de 2007, tuvo entrada en esta Agencia
reclamación de Doña R.R.R. contra B.F.G. Advocats Associats, S.L. por no
haber sido debidamente atendido su derecho de cancelación.
TERCERO: Con fecha 13 de noviembre de 2007, se da traslado de la citada
reclamación a B.F.G. Advocats Associats, S.L. para que alegara cuanto
estimara conveniente a su derecho, manifestando, en síntesis, que habían
procedido “a la sustitución de la web en la que aparecía la imagen de la
reclamante, y en consecuencia accediendo a lo solicitado por la misma,
llevándose a efecto en tal sentido”.
CUARTO: Examinadas las alegaciones formuladas por el responsable del
fichero, se dan traslado de las mismas a la reclamante en fecha 9 de enero de
2008, sin que haya atendido dicho trámite de audiencia.
Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real
Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados
aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con
lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo
sucesivo LOPD), se han constatado los siguientes
HECHOS PROBADOS
PRIMERO: En fecha 24 de septiembre de 2007, tuvo entrada en esta Agencia
reclamación de Doña R.R.R. contra B.F.G. Advocats Associats, S.L. por no
haber sido debidamente atendido su derecho de cancelación.
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la LOPD.
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
Página 197 de 353
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 16 de la LOPD dispone que: “1. El responsable del
tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o
cancelación del interesado en el plazo de diez días .
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal
cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular,
cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose
únicamente a disposición de las Administraciones Públicas, Jueces y
Tribunales, para la atención de las posibles responsabilidades nacidas del
tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo
deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados
previamente, el responsable del tratamiento deberá notificar la rectificación o
cancelación efectuada a quien se hayan comunicado, en el caso de que se
mantenga el tratamiento por este último, que deberá también proceder a la
cancelación .
5. Los datos de carácter personal deberán ser conservados durante los plazos
previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado”
CUARTO: El artículo 15.3 del citado Real Decreto 1332/94, determina: ”En el
supuesto de que el responsable del fichero considere que no procede acceder
a lo solicitado por el afectado, se lo comunicará motivadamente dentro del
plazo señalado en el apartado anterior a fin de que por éste se pueda hacer
uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992”
(artículo 18.1 LOPD).
QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia
Española de Protección de Datos, relativa al ejercicio de los derechos de
acceso, rectificación y cancelación establece en el punto 4 de su Norma
Primera: “4. El responsable del fichero deberá contestar la solicitud que se le
dirija, con independencia de que figuren o no datos personales del afectado en
sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y
la recepción. En el caso de que la solicitud no reúna los requisitos
especificados en el apartado tercero, el responsable del fichero deberá solicitar
la subsanación de los mismos.”
SEXTO: En el presente caso, ha quedado acreditado que la reclamante ejercitó
su derecho de cancelación para que eliminaran sus datos personales de la
página web de la firma denunciada. Durante el procedimiento de esta Tutela de
Derechos se nos ha comunicado que los datos de la reclamante fueron
eliminados de la citada página web, pero no se acredita que hayan comunicado
dicho extremo a la denunciante.
La obligación general del responsable del fichero para el ejercicio de cualquier
derecho es contestar expresamente a la solicitud recibida, estimando o
desestimando la petición. Esta obligación de contestación expresa procede
Página 198 de 353
incluso cuando no existen datos registrados relativos al solicitante, debiendo el
responsable informar específicamente d ela inexistencia de datos referentes al
interesado en sus ficheros.
Por todo lo expuesto, procede estimar, por motivos formales, el presente
procedimiento de Tutela de Derechos.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ESTIMAR, por motivos formales, la reclamación formulada por
Doña R.R.R. contra B.F.G. Advocats Associats, S.L. No obstante, procede la
emisión de una certificación por parte de dicha entidad a la reclamante donde
acredite que han sido cancelados sus datos personales.
SEGUNDO: NOTIFICAR la presente resolución a B.F.G. Advocats Associats,
S.L. con domicilio en (C/………………………………..), y a Doña R.R.R. con
domicilio en
(C/…………………………….).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde
el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 del referido texto legal.
Madrid, 3 de marzo de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 199 de 353
Procedimiento Nº: TD/00785/2007
RESOLUCIÓN Nº.: R/00319/2008
Vista la reclamación formulada por Dª C.C.C., contra el Mº DEL INTERIOR. D.
GRAL DE INSTITUCIONES PENITENCIARIAS. S. GRAL. DE T. Y GESTIÓN
PENITENCIARIA, y en base a los siguientes,
HECHOS
PRIMERO: En fecha 4 de octubre de 2007, tuvo entrada en esta Agencia
reclamación de Dª C.C.C. (en lo sucesivo, la reclamante) contra el Mº del
Interior. D. Gral de Instituciones Penitenciarias. S. Gral. de T. y Gestión
Penitenciaria (en lo sucesivo, la Sdg. de T. y G. Penitenciaria) por no haber
sido debidamente atendidos sus derechos de acceso y cancelación de sus
datos personales.
La reclamante estuvo internada en un centro penitenciario de (.....) por espacio
de un mes y salió absuelta de todo el proceso siendo archivado el
procedimiento sin responsabilidad de tipo alguno, tras lo cual, solicitó el acceso
y la cancelación de sus datos personales ante la Sdg. de T. y G. Penitenciaria,
que contestó, una vez transcurrido el plazo legalmente establecido para ello,
señalando que no procedía la cancelación de los datos conforme establece el
artículo 9.2 del Reglamento Penitenciario.
SEGUNDO: Con fecha 21 de noviembre de 2007 se dio traslado de la
reclamación al responsable del fichero, que presentó las alegaciones que, a su
derecho, estimó convenientes, manifestando que, en relación al derecho de
acceso, con esa fecha se procede a dar orden de enviar los datos existentes en
esa Dirección General.
En cuanto a la cancelación solicitada, “la Comisión Calificadora de Documentos
de Documentos Administrativos del Ministerio del Interior, en su reunión del 20
de noviembre de 2002 y tras el procedimiento habitual de valoración de
documentos, ya dictaminó que la serie documental que obra en los centros
penitenciarios con la denominación Expedientes personales de internos era de
conservación permanente, por lo tanto no estaba sujeta a eliminación de
ninguno de los expedientes que la componen, y aprobó el plazo de 52 años
como plazo de permanencia, por razones de gestión, en los archivos de los
centros penitenciarios, a cuya finalización se deben transferir a los Archivos
Históricos Provinciales correspondientes”.
“Respecto a los datos contenidos en los ficheros automatizados, existe la base
de datos denominada Sistema de Información Penitenciaria (SIP), en la que
constan esenciales de cada Expediente Personal de Interno que, en soporte
papel, conserva el centro penitenciario desde el que ha sido excarcelado el
recluso. La base de datos se creó por necesidades de gestión, para localizar
los expedientes n papel dispersos por toda la geografía nacional. Por lo tanto,
se entiende, que si el dictamen recaído sobre los expedientes ha sido la
conservación permanente, las informaciones contenidas en la base de datos
deberían serlo también teniendo en cuenta los fines para los que fue creada.”
(…) “Esta Resolución se basa:
1. La Ley 16/1985, de 25 de junio, de Patrimonio Histórico Español: (…)
Página 200 de 353
2. Orden de 21 de diciembre de 2000 por la que se crea la Comisión
Calificadora de Documentos Administrativos del Ministerio del Interior: (…)
- El ejercicio de los derechos de acceso, rectificación y cancelación, referidos a
los ficheros que contengan datos de carácter personal, inscritos en el Registro
General de Protección de Datos, existentes en los archivos del Ministerio del
Interior, se ajustará a lo dispuesto en la Ley Orgánica 15/1999, y en la Ley
16/1985.”
TERCERO: Examinadas las alegaciones, se dio traslado de las mismas a la
reclamante, que señaló que la propia administración reconoce que no atendió
el derecho de acceso solicitado. En cuanto al derecho de cancelación, “…se
llega a decir que los únicos que pueden eliminar documentos de la DGIP, son
la comisión calificadora de documentos administrativos …”, “la ficha de una
persona, el historial de un ciudadano, que además no ha cometido hecho
punible alguno no representa un documento patrimonial e histórico de
relevancia, al revés su conservación en los registros y su utilización sólo
perjudica al interesado, y no tiene relevancia patrimonial o histórica.”
CUARTO: Otorgada audiencia al responsable del fichero, éste señaló que lo
que se denegó en su día fue la cancelación, en ningún caso el acceso.
Asimismo, se procedería a la rectificación de los datos si fueran inexactos; sin
embargo, la interesada no alega ni prueba en qué sentido son falsos e
inexactos.
Los datos se encuentran en una base histórica inactiva, que únicamente se
activaría si la persona ingresara de nuevo en prisión, luego no se utilizan.
Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real
Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados
aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con
lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo
sucesivo LOPD), se han constatado los siguientes
HECHOS PROBADOS
PRIMERO: Dª C.C.C. estuvo internada en un centro penitenciario de (.....) por
espacio de un mes y salió absuelta de todo el proceso siendo archivado el
procedimiento sin responsabilidad de tipo alguno, tras lo cual, solicitó el acceso
y la cancelación de sus datos personales ante el Mº del Interior. D. Gral de
Instituciones Penitenciarias. S. Gral. de T. y Gestión Penitenciaria.
SEGUNDO: El Mº del Interior. D. Gral de Instituciones Penitenciarias. S. Gral.
de T. y Gestión Penitenciaria contestó a Dª C.C.C., una vez transcurrido el
plazo legalmente establecido para ello, señalando que no procedía la
cancelación de los datos conforme establece el artículo 9.2 del Reglamento
Penitenciario.
TERCERO: En fecha 4 de octubre de 2007, tuvo entrada en esta Agencia
reclamación de Dª C.C.C. contra el Mº del Interior. D. Gral de Instituciones
Penitenciarias. S. Gral. de T. y Gestión Penitenciaria por no haber sido
Página 201 de 353
debidamente atendidos sus derechos de acceso y cancelación de sus datos
personales.
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la LOPD.
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá
derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen de dichos datos, así como
las comunicaciones realizadas o que se prevén hacer de los mismos”.
CUARTO: El artículo 12.3 del citado Real Decreto 1332/1994, determina:
“3. El responsable del fichero resolverá sobre la petición de acceso en el plazo
máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este
plazo sin que de forma expresa se responda a la petición de acceso, ésta
podrá entenderse desestimada a los efectos de la interposición de la
reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo
18.1 LOPD).
QUINTO: El artículo 16 de la LOPD dispone que:
“1. El responsable del tratamiento tendrá la obligación de hacer efectivo el
derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal
cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular,
cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose
únicamente a disposición de las Administraciones Públicas, Jueces y
Tribunales, para la atención de las posibles responsabilidades nacidas del
tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo
deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados
previamente, el responsable del tratamiento deberá notificar la rectificación o
cancelación efectuada a quien se hayan comunicado, en el caso de que se
mantenga el tratamiento por este último, que deberá también proceder a la
cancelación .
5. Los datos de carácter personal deberán ser conservados durante los plazos
previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado”
SEXTO: El artículo 15.3 del citado Real Decreto 1332/1994, determina:
Página 202 de 353
”En el supuesto de que el responsable del fichero considere que no procede
acceder a lo solicitado por el afectado, se lo comunicará motivadamente dentro
del plazo señalado en el apartado anterior a fin de que por éste se pueda hacer
uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992”
(artículo 18.1 LOPD).
SÉPTIMO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia
Española de Protección de Datos, relativa al ejercicio de los derechos de
acceso, rectificación y cancelación establece en el punto 4 de su Norma
Primera:
“4. El responsable del fichero deberá contestar la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en sus
ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la
recepción.
En el caso de que la solicitud no reúna los requisitos especificados en el
apartado tercero, el responsable del fichero deberá solicitar la subsanación de
los mismos.”
OCTAVO: La Ley 15/1985, de 25 de junio, del Patrimonio Histórico Nacional,
establece en su artículo 49.2, que: “Forman parte del Patrimonio Documental
los documentos de cualquier época generados, conservados o reunidos en el
ejercicio de su función por cualquier organismo o entidad de carácter
público...”. Por su parte el artículo 55.1 dispone: “La exclusión o eliminación de
bienes del Patrimonio Documental y Bibliográfico contemplados en el artículo
49.2 y los demás de utilidad pública deberá ser autorizada por la
Administración competente.”
Finalmente el artículo 58 establece que: “El estudio y dictamen de las
cuestiones relativas a la calificación y utilización de los documentos de la
Administración del Estado .... corresponderá a una Comisión Superior
Calificadora de Documentos Administrativos… . Asimismo podrán constituirse
Comisiones Calificadoras en los Organismos públicos que se determine.”
SÉPTIMO: La Orden de 21 de diciembre del 2000 del Ministerio del Interior
establece:
“Primero.- Se crea la Comisión Calificadora de Documentos Administrativos del
Ministerio del Interior, que tiene como finalidad el estudio y dictamen de las
cuestiones relativas a la calificación y utilización de los documentos generados
y conservados en el Ministerio del Interior, así como la integración en los
archivos, y régimen de acceso e inutilidad administrativa”.
“Tercero.- Competencias.
1. La comisión ejercerá las siguientes funciones:
a)Proponer los plazos de permanencia de los documentos en cada uno de los
diferentes tipos de archivos del Ministerio....
Sexto.- Acceso a los documentos”.
“2. El ejercicio de los derechos de acceso, rectificación y cancelación, referidos
a los ficheros que contengan datos de carácter personal, inscritos en el
Registro General de Protección de Datos, existentes en los archivos del
Ministerio del Interior, se ajustará a lo dispuesto en la Ley Orgánica 15/1999...”
Página 203 de 353
OCTAVO: En lo referente a los requisitos formales, en el supuesto presente la
solicitud de acceso y cancelación tuvo entrada en la Dirección General de
Instituciones Penitenciarias el 27 de agosto de 2007 y la contestación al
derecho de cancelación es de fecha del día 12 de septiembre de 2007. Por lo
tanto, una vez transcurrido el plazo legalmente establecido para ello. Respecto
al acceso, no se recibió contestación.
En cuanto al fondo del asunto debe recordarse que el artículo 16.3 de la LOPD
determina que la cancelación dará lugar al bloqueo de datos, conservándose
únicamente a disposición de Administraciones Públicas, Jueces y Tribunales,
para la atención de las posibles responsabilidades nacidas del tratamiento,
durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá
procederse a la supresión de los mismos.
El artículo 1 del Real Decreto 190/1996, de 9 de febrero, por el que se aprueba
el Reglamento Penitenciario, establece el ámbito de su aplicación en el sentido
siguiente:
“1. El presente Reglamento de desarrollo de la Ley Orgánica 1/1979, de 26 de
septiembre, General Penitenciaria, regula la ejecución de las penas y medidas
de seguridad privativas de libertad, así como el régimen de los detenidos a
disposición judicial y de los presos preventivos, siendo de aplicación directa en
todo el territorio del Estado.
2. No obstante, en aquellas Comunidades Autónomas que ejerzan
competencias de ejecución de la legislación penitenciaria estatal, en virtud de
su potestad de autoorganización, será de aplicación supletoria lo dispuesto en
aquellos preceptos de los Títulos XI y XII que regulen cuestiones organizativas
o relativas al régimen económico-administrativo de los establecimientos
penitenciarios, así como aquellas disposiciones contenidas en otros Títulos que
regulen aspectos de la misma naturaleza.
3. El presente Reglamento se aplicará con carácter supletorio a los
establecimientos penitenciarios militares”.
Esto es, sólo se aplicará a las personas privadas de libertad recluidas en
centros penitenciarios, los detenidos a disposición judicial y los presos
preventivos. Ninguna de estas situaciones se da en el caso de la reclamante ya
que no ha sido rebatido que permaneciera privado de libertad provisionalmente
no siendo condenado, por lo que, no puede considerarse una reclusa.
Por otro lado, la Dirección General de Instituciones Penitenciarias justifica el
mantenimiento de los datos porque tienen un valor histórico y estadístico, así
como por necesidades de gestión. Pues bien, el valor histórico debe venir
avalado por lo dispuesto en la Ley 16/1985, de 25 de junio, de Regulación del
Patrimonio Histórico Nacional. Asimismo, el valor estadístico ha de justificarse
en lo dispuesto en la Ley 12/1989, de 9 de mayo, de Función Estadística
Pública. Las remisiones al Reglamento Penitenciario al igual que las contenidas
en la LOPD, referidas al tratamiento de datos con fines históricos o estadísticos
(artículo 4, apartados 2 y 5 de la LOPD) deben interpretarse conforme a las
leyes reguladoras de tales materias y justificarse por los responsables del
tratamiento por referencia a habilitaciones concretas de las mismas, extremos
éstos que no han sido puestos de manifiesto por la Dirección General de
Instituciones Penitenciarias.
Así se desprende de la Sentencia del Tribunal Constitucional 292/2000, de 30
de noviembre, en la cual se recoge expresamente: “El derecho a la protección
Página 204 de 353
de datos atribuye a su titular un haz de facultades consistente en diversos
poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se
contienen en el derecho fundamental a la intimidad, y que sirven a la capital
función que desempeña este derecho fundamental: garantizar a la persona un
poder de control sobre sus datos personales, lo que sólo es posible y efectivo
imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho
a que se requiera el previo consentimiento para la recogida y uso de los datos
personales, el derecho a saber y ser informado sobre el destino y uso de esos
datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el
poder de disposición sobre los datos personales”.
Añadiendo la citada Sentencia, en cuanto al apartado 2 del artículo 24
impugnado, que “en relación con el derecho fundamental a la intimidad hemos
puesto de relieve no sólo la necesidad de que sus posibles limitaciones estén
fundadas en una previsión legal que tenga justificación constitucional y que
sean proporcionadas sino que la Ley que restrinja este derecho debe expresar
con precisión todos y cada uno de los presupuestos materiales de la medida
limitadora. De no ser así, mal cabe entender que la resolución judicial o el acto
administrativo que la aplique estén fundados en la Ley, ya que lo que ésta ha
hecho, haciendo dejación de sus funciones, es apoderar a otros Poderes
Públicos para que sean ellos quienes fijen los límites al derecho fundamental.
De igual modo, respecto al derecho a la protección de datos personales cabe
estimar que la legitimidad constitucional de la restricción de este derecho no
puede estar basada, por sí sola, en la actividad de la Administración Pública. Ni
es suficiente que la Ley apodere a ésta para que precise en cada caso los
límites, limitándose a indicar que deberá hacer tal precisión cuando concurra
algún derecho o bien constitucionalmente protegido. Es el legislador quien
debe determinar cuándo concurre ese bien o derecho que justifica la restricción
del derecho a la protección de datos personales y en qué circunstancias puede
limitarse y además, es él quien debe hacerlo mediante reglas precisas que
hagan previsible al interesado la imposición de tal limitación y sus
consecuencias...
El empleo de en el art. 24.2 LOPD de la expresión “interés público” como
fundamento de la imposición de límites a los derechos fundamentales del art.
18.1 y 4 CE, encierra un grado de incertidumbre aún mayor. Basta reparar en
que toda actividad administrativa, en último término, persigue la salvaguardia
de intereses generales, cuya consecución constituye la finalidad a la que debe
servir con objetividad la Administración con arreglo al art. 103.1 CE ... El
apartado 2 del art. 24 LOPD establece que los derechos de acceso a los datos
(art. 15.1 y 2 LOPD) y los de rectificación y cancelación de los mismos (art.
16.1 LOPD) podrán denegarse también si, “ponderados los intereses en
presencia, resultase que los derechos que dichos preceptos conceden al
afectado hubieran de ceder ante... intereses de terceros más dignos de
protección”. Resulta evidente que tras lo ya dicho, a la vista de que este inciso
permite al responsable del fichero público negar a un interesado el acceso,
rectificación y cancelación de sus datos personales, y al margen de que esos
intereses puedan identificarse con los derechos fundamentales de ese tercero
o con cualquier otro interés que pudiere esgrimirse, semejante negativa
conlleva abandonar a la decisión administrativa la fijación de un límite al
Página 205 de 353
derecho fundamental a la protección de datos de carácter personal sin ni
siquiera establecer cuales puedan ser esos intereses ni las circunstancias en
las que quepa hacerlos valer para restringir de esa forma este derecho
fundamental.” Y concluye declarando inconstitucional el apartado 2 del art.24
LOPD.
En definitiva, la Dirección General de Instituciones Penitenciarias ha justificado
la negativa a cancelar los datos de la reclamante en el Acuerdo de la Comisión
de Clasificación de Documentos del Ministerio del Interior que, en virtud del
valor histórico, estadístico, y las necesidades de gestión, calificó “de
conservación permanente” tanto los expedientes personales de los internos en
centros penitenciarios, como el fichero automatizado denominado “SIPINTERNOS”. No puede admitirse tal habilitación legal, por cuanto ambos
ficheros recogen unos datos que, en el caso de la reclamante, son inexactos y
no se encuentran actualizados, habida cuenta de que ésta no se encuentra
“interna” en ningún institución del sistema penitenciario. Tampoco puede
admitirse como argumento para denegar la cancelación solicitada la referencia
genérica a un “supuesto valor histórico o estadístico” que dichos datos pudieran
llegar a alcanzar, y mucho menos las “necesidades de gestión” propias de la
Administración Penitenciaria, ya que el mantenimiento íntegro de datos con
dichos fines tiene un carácter excepcional regulado por exigencia del artículo
4.5 de la LOPD.
En consecuencia no cabe admitir los motivos esgrimidos por la Dirección
General de Instituciones Penitenciarias para denegar la cancelación de datos
solicitada por la reclamante habida cuenta que no puede motivarse la misma en
una ausencia de regulación por parte del Reglamento Penitenciario, al tiempo
que debe rechazarse que los datos de la afectada continúen en un fichero en el
que constan los datos personales de internos (o personas recluidas) en
Instituciones Penitenciarias, ya que, en el caso de la reclamante, son datos
inexactos.
Por último, debe apuntarse que el vigente Código Penal establece en su
artículo 136 el derecho de los condenados a obtener del Ministerio de Justicia
la cancelación de sus antecedentes penales, una vez cumplidos determinados
requisitos y plazos. En consecuencia y reconocido tal derecho respecto de los
condenados, cabe atender el derecho a la cancelación de los datos de la
reclamante, de los ficheros de la Dirección General de Instituciones
Penitenciarias como en el fichero denominado Sistema de Información
Penitencia (SIP), habida cuenta de que, en su caso, no se trata de una
condenada por los Tribunales de Justicia, sino de una ciudadana que
permaneció privada de libertad provisional sin condena por parte del órgano
judicial correspondiente.
En consecuencia, procede la estimación de la tutela solicitada, debiéndose
llevar a cabo la cancelación y el consiguiente bloqueo de los datos personales
de la reclamante existentes en los ficheros a que se hace referencia en la
presente resolución.
Página 206 de 353
En cuanto al derecho de acceso solicitado, durante la tramitación del
procedimiento, el Mº del Interior. D. Gral de Instituciones Penitenciarias. S.
Gral. de T. y Gestión Penitenciaria señaló que había dado órdenes de enviar
los datos existentes en esa Dirección General. No obstante, no se acredita
dicho extremo. Por lo tanto, procede estimar la presente reclamación de Tutela
de Derechos.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ESTIMAR la reclamación formulada por Dª C.C.C. e instar al Mº
DEL INTERIOR. D. GRAL DE INSTITUCIONES PENITENCIARIAS. S. GRAL.
DE T. Y GESTIÓN PENITENCIARIA para que, en el plazo de los diez días
hábiles siguientes a la notificación de la presente resolución, remita a la
reclamante certificación en la que se facilite el acceso completo a sus datos
ejercido por éste, pudiendo incurrir en su defecto en una de las infracciones
previstas en el artículo 44 de la LOPD. Las actuaciones realizadas como
consecuencia de la presente resolución deberán ser comunicadas a esta
Agencia en idéntico plazo.
SEGUNDO: ESTIMAR la reclamación formulada por Dª C.C.C. e instar al Mº
DEL INTERIOR. D. GRAL DE INSTITUCIONES PENITENCIARIAS. S. GRAL.
DE T. Y GESTIÓN PENITENCIARIA para que, en el plazo de los diez días
hábiles siguientes a la notificación de la presente resolución, remita a la
reclamante certificación en la que se acredite que ha cancelado todos los
datos, pudiendo incurrir en su defecto en una de las infracciones previstas en el
artículo 44 de la LOPD. Las actuaciones realizadas como consecuencia de la
presente resolución deberán ser comunicadas a esta Agencia en idéntico
plazo.
TERCERO: NOTIFICAR la presente resolución al Mº DEL INTERIOR. D. GRAL
DE INSTITUCIONES PENITENCIARIAS. S. GRAL. DE T. Y GESTIÓN
PENITENCIARIA con domicilio en C/ Alcalá. 38 - 28014 Madrid (Madrid), y a Dª
C.C.C. con domicilio en (C/...................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
Página 207 de 353
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde
el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 del referido texto legal.
Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con
el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado
5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en
el artículo 46.1 del referido texto legal.
Madrid, 24 de marzo de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Página 208 de 353
Procedimiento Nº: TD/00813/2007
RESOLUCIÓN Nº.: R/00331/2008
Vista la reclamación formulada por D. H.H.H., contra el Ministerio de Defensa y
en base a los siguientes,
HECHOS
En fecha 15 de octubre de 2007, tuvo entrada en esta Agencia reclamación de
D. H.H.H. contra el Ministerio de Defensa por no haber sido debidamente
atendido su derecho de acceso.
Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real
Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados
aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con
lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo
sucesivo LOPD), se han constatado los siguientes
HECHOS PROBADOS
PRIMERO: Con fecha 17/08/2007, D. H.H.H. se dirigió al Ministerio de
Defensa, solicitando el ejercicio del derecho de acceso a sus datos personales
recogidos en los Informes Personales de Calificación, IPEC, de los años 2001,
2002, 2003, 2004, 2005, y 2006.
SEGUNDO: Con fecha 05/09/2007, el Ministerio de Defensa contestó al
reclamante denegándole el derecho de acceso solicitado, amparándose en los
artículos 97 y ss. de la Ley 17/1999, de 18 de mayo, de Régimen de Personal
de las Fuerzas Armadas; así como el artículo 5 de la Orden Ministerial Num.
74/1993, de 8 de julio, por la que se establece el modelo de IPEC, ya que los
citados documentos contienen información que es de uso y carácter
estrictamente confidencial.
TERCERO: Con fecha 15/10/2007, D. H.H.H., en lo sucesivo el reclamante,
interpuso ante esta Agencia Española de Protección de Datos reclamación, al
haberle sido denegado el derecho de acceso solicitado.
CUARTO: Con fecha 30/11/2007, se trasladó dicha reclamación al Ministerio de
Defensa. Dirección de Personal del Cuartel General del Ejército, que presento
las alegaciones que, a su derecho, estimo convenientes, manifestando que:
• El artículo 2, apartado 3 c de la LOPD, establece que: “Se regirán por sus
disposiciones específicas, y por lo especialmente previsto, en su caso, por esta
Ley Orgánica los siguientes tratamientos de datos personales: Los que tengan
por objeto el almacenamiento de los datos contenidos en los informes
personales de calificación a que se refiere la legislación del Régimen del
personal de las Fuerzas Armadas.”
• Asimismo, el artículo 2, apartado f del Real Decreto 1332/1994, de 20 de
junio, establece que: “de conformidad con lo dispuesto en el artículo 2.3 de la
Página 209 de 353
Ley Orgánica 5/1992 se regirán por las disposiciones que, en materia de
protección de datos, contienen las leyes y reglamentos respectivos, los ficheros
automatizados cuyo objeto sea el almacenamiento de los datos contenidos en
los informes personales regulados en el artículo 68 de la Ley 17/1989, de 19 de
julio (RCL 1989\1613), reguladora del Régimen del personal militar profesional.
• Por la existencia de este específico régimen legal se resolvió que los
documentos solicitados tenían carácter confidencial y por esa razón no podía
accederse a lo solicitado.
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la LOPD.
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá
derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen de dichos datos, así como
las comunicaciones realizadas o que se prevén hacer de los mismos”.
CUARTO: El artículo 12.3 del citado Real Decreto 1332/94, determina:
“3. El responsable del fichero resolverá sobre la petición de acceso en el plazo
máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este
plazo sin que de forma expresa se responda a la petición de acceso, ésta
podrá entenderse desestimada a los efectos de la interposición de la
reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo
18.1 LOPD).
QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia
Española de Protección de Datos, relativa al ejercicio de los derechos de
acceso, rectificación y cancelación establece en el punto 4 de su Norma
Primera:
“4. El responsable del fichero deberá contestar la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en sus
ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la
recepción.
En el caso de que la solicitud no reúna los requisitos especificados en el
apartado tercero, el responsable del fichero deberá solicitar la subsanación de
los mismos.”
SEXTO: En el presente caso, ha quedado acreditado que con fecha
17/08/2007, D. H.H.H. se dirigió al Ministerio de Defensa, solicitando el ejercicio
del derecho de acceso a sus datos personales recogidos en los Informes
Página 210 de 353
Personales de Calificación y que, con fecha 05/09/2007, dentro del plazo
legalmente establecido, el Ministerio de Defensa contestó al reclamante
denegándole el derecho de acceso solicitado, amparándose en los artículos 97
y ss. de la Ley 17/1999, de 18 de mayo, de Régimen de Personal de las
Fuerzas Armadas; así como el artículo 5 de la Orden Ministerial Num. 74/1993,
de 8 de julio, por la que se establece el modelo de Informe Personal de
Calificación para el Personal Militar Profesional, debido a que los citados
documentos contienen información que es de uso y carácter estrictamente
confidencial.
Asimismo, el artículo 2, apartado 3 c de la LOPD, establece que: “Se regirán
por sus disposiciones específicas, y por lo especialmente previsto, en su caso,
por esta Ley Orgánica los siguientes tratamientos de datos personales: Los que
tengan por objeto el almacenamiento de los datos contenidos en los informes
personales de calificación a que se refiere la legislación del Régimen del
personal de las Fuerzas Armadas.”
Por otra parte, el artículo 2, apartado f del Real Decreto 1332/1994, de 20 de
junio, establece que: “de conformidad con lo dispuesto en el artículo 2.3 de la
Ley Orgánica 5/1992 se regirán por las disposiciones que, en materia de
protección de datos, contienen las leyes y reglamentos respectivos, los ficheros
automatizados cuyo objeto sea el almacenamiento de los datos contenidos en
los informes personales regulados en el artículo 68 de la Ley 17/1989, de 19 de
julio (RCL 1989\1613), reguladora del Régimen del personal militar profesional.
En consecuencia, procede desestimar la presente reclamación de Tutela de
Derechos.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR la reclamación formulada por D. H.H.H. contra el
Ministerio de Defensa.
SEGUNDO: NOTIFICAR la presente resolución al Ministerio de Defensa.
Dirección de Personal del Cuartel General del Ejército. Documentación y
Recompensas. Palacio de Buenavista, con domicilio en C/ Prim, 6-8 - 28004
Madrid y a D. H.H.H. con domicilio en (C/........................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Página 211 de 353
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde
el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 del referido texto legal.
Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con
el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado
5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en
el artículo 46.1 del referido texto legal.
Madrid, 31 de marzo de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 212 de 353
Procedimiento Nº: TD/00224/2008
RESOLUCIÓN Nº.: R/00844/2008
Vista la reclamación formulada por Dª. S.S.S., contra REGISTRO CENTRAL
DE PENADOS Y REBELDES, y en base a los siguientes,
HECHOS
PRIMERO: En fecha 24 de enero de 2008, tuvo entrada en esta Agencia
reclamación de Dª S.S.S. (en lo sucesivo, la reclamante) contra el Registro
Central de Penados y Rebeldes por no haber sido debidamente atendido su
derecho de acceso a sus datos personales.
La reclamante solicitó el acceso a sus datos personales, “por curiosidad
personal”, ante el Registro Central de Penados y Rebeldes con fecha 31 de
octubre de 2007. El organismo le remitió contestación, con fecha 30 de
noviembre de 2007, denegando motivadamente el acceso solicitado.
SEGUNDO: Con fecha 01 de abril de 2008 se dio traslado de la reclamación al
responsable del fichero, que presentó las alegaciones que, a su derecho,
estimó convenientes, manifestando que el Registro Central de Penados y
Rebeldes es un registro judicial, no es público, no pudiéndose aplicar el
derecho de acceso recogido en la Ley Orgánica de Protección de Datos.
Sólo es posible expedir este tipo de certificado cuando existe alguna normativa
legal que lo exija, para su presentación en un procedimiento.
TERCERO: Examinadas las alegaciones, se dio traslado de las mismas a la
reclamante, que no contestó.
Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real
Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados
aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con
lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo
sucesivo LOPD), se han constatado los siguientes
HECHOS PROBADOS
PRIMERO: Dª S.S.S. solicitó el acceso a sus datos personales, “por curiosidad
personal”, ante el Registro Central de Penados y Rebeldes con fecha 31 de
octubre de 2007. El organismo le remitió contestación, con fecha 30 de
noviembre de 2007, denegando motivadamente el acceso solicitado.
SEGUNDO: En fecha 24 de enero de 2008, tuvo entrada en esta Agencia
reclamación de Dª S.S.S. contra el Registro Central de Penados y Rebeldes
por no haber sido debidamente atendido su derecho de acceso a sus datos
personales.
FUNDAMENTOS DE DERECHO
Página 213 de 353
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la LOPD.
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá
derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen de dichos datos, así como
las comunicaciones realizadas o que se prevén hacer de los mismos”.
CUARTO: El artículo 12.3 del citado Real Decreto 1332/94, determina:
“3. El responsable del fichero resolverá sobre la petición de acceso en el plazo
máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este
plazo sin que de forma expresa se responda a la petición de acceso, ésta
podrá entenderse desestimada a los efectos de la interposición de la
reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo
18.1 LOPD).
QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia
Española de Protección de Datos, relativa al ejercicio de los derechos de
acceso, rectificación y cancelación establece en el punto 4 de su Norma
Primera:
“4. El responsable del fichero deberá contestar la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en sus
ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la
recepción.
En el caso de que la solicitud no reúna los requisitos especificados en el
apartado tercero, el responsable del fichero deberá solicitar la subsanación de
los mismos.”
SEXTO: El artículo 2.3.d) de la LOPD establece:
c. Jorge Juan 6 28001 Madrid www.agpd.es 3/4
“3. Se regirán por sus disposiciones específicas, y por lo especialmente
previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de
datos personales:”
“d) Los derivados del Registro Civil y del Registro Central de penados y
rebeldes.”
SÉPTIMO: En el presente caso, ha quedado acreditado que la reclamante
solicitó el acceso a sus datos personales, “por curiosidad personal”, ante el
Registro Central de Penados y Rebeldes, y que este organismo le contestó
denegando motivadamente dicho acceso. Por todo ello, procede desestimar la
presente reclamación de Tutela de Derechos.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
Página 214 de 353
PRIMERO: DESESTIMAR la reclamación formulada por Dª S.S.S. contra
REGISTRO CENTRAL DE PENADOS Y REBELDES .
SEGUNDO: NOTIFICAR la presente resolución al REGISTRO CENTRAL DE
PENADOS Y REBELDES con domicilio en AVDA. ALFONSO MOLINA, 1 15006 A CORUÑA (A Coruña), y a Dª S.S.S. con domicilio en
(C/…………………………………..).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde
el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 del referido texto legal.
Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con
el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado
5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en
el artículo 46.1 del referido texto legal.
Madrid, 10 de julio de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 215 de 353
Procedimiento Nº: TD/00589/2008
RESOLUCIÓN Nº.: R/01061/2008
Vista la reclamación formulada por Dª. A.A.A., contra Dª R.R.R. y Dª B.B.B.,
Letradas del Ilustre Colegio de Abogados de Las Palmas, y en base a los
siguientes,
HECHOS
PRIMERO: En fecha 18 de febrero de 2008, tuvo entrada en esta Agencia
reclamación de Dª A.A.A. (en lo sucesivo, la reclamante) contra Dª R.R.R. y Dª
B.B.B., Letradas del Ilustre Colegio de Abogados de Las Palmas (en lo
sucesivo, las Letradas) por no haber sido debidamente atendido su derecho de
sus datos personales.
La reclamante contrató a las Letradas para la tramitación en su nombre de un
asunto litigioso. Posteriormente, tras rescindir el contrato con las Letradas, les
solicitó a éstas la cancelación de sus datos personales, las cuales le remitieron
un escrito manifestando que procedían a la cancelación del nombre, domicilio y
número de DNI, únicos datos que sobre ella tenían.
La reclamante señaló que las Letradas tienen datos sobre su salud y otras
circunstancias personales.
SEGUNDO: Con fecha 9 de mayo de 2008 se dio traslado de la reclamación al
responsable del fichero, que presentó las alegaciones que, a su derecho,
estimó convenientes, manifestando que la intervención de Dª B.B.B. sólo fue de
asesoramiento en los primeros días de vínculo con la misma, siendo Dª R.R.R.
la Letrada que la defendía.
Señalaron que la información a que alude la reclamante fue destruida, “ya que
de toda ella había copia, testimonio u original en el juzgado”.
“Asimismo se ha de manifestar que una vez solicitada por ésta su minuta y
factura, debidamente detalladas de los servicios prestados, se procedió a
acudir al juzgado para acceder a dicha información, y así poder confeccionar la
misma”.
TERCERO: Examinadas las alegaciones, se dio traslado de las mismas a la
reclamante, que señaló, entre otras cuestiones, que “las denunciadas
continúan conservando la documentación personal mía y de mi familia en su
despacho. Si bien es cierto que la mayoría de los originales se hallan en el
juzgado, existen otros muchos documentos personales familiares que ahora
niegan tener”.
Asimismo, manifestó que no se le comunicó la destrucción de la
documentación.
Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real
Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados
aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con
lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo
sucesivo LOPD), se han constatado los siguientes
Página 216 de 353
HECHOS PROBADOS
PRIMERO: Dª A.A.A. contrató a Dª R.R.R. y Dª B.B.B., Letradas del Ilustre
Colegio de Abogados de Las Palmas, para la tramitación en su nombre de un
asunto litigioso. Posteriormente, tras rescindir el contrato con las Letradas, les
solicitó a éstas la cancelación de sus datos personales, las cuales le remitieron
escrito manifestando que procedían a la cancelación del nombre, domicilio y
número de DNI, únicos datos que sobre ella tenían.
Dª A.A.A. señaló que las Letradas tienen datos sobre su salud y otras
circunstancias personales.
SEGUNDO: En fecha 18 de febrero de 2008, tuvo entrada en esta Agencia
reclamación de Dª A.A.A. contra Dª R.R.R. y Dª B.B.B., Letradas del Ilustre
Colegio de Abogados de Las Palmas por no haber sido debidamente atendido
su derecho de sus datos personales.
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la LOPD.
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 16 de la LOPD dispone que:
“1. El responsable del tratamiento tendrá la obligación de hacer efectivo el
derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal
cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular,
cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose
únicamente a disposición de las Administraciones Públicas, Jueces y
Tribunales, para la atención de las posibles responsabilidades nacidas del
tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo
deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados
previamente, el responsable del tratamiento deberá notificar la rectificación o
cancelación efectuada a quien se hayan comunicado, en el caso de que se
mantenga el tratamiento por este último, que deberá también proceder a la
cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos
previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado.”
CUARTO: El artículo 15.3 del citado Real Decreto 1332/1994, determina:
Página 217 de 353
”En el supuesto de que el responsable del fichero considere que no procede
acceder a lo solicitado por el afectado, se lo comunicará motivadamente dentro
del plazo señalado en el apartado anterior a fin de que por éste se pueda hacer
uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992”
(artículo 18.1 LOPD).
QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia
Española de Protección de Datos, relativa al ejercicio de los derechos de
acceso, rectificación y cancelación establece en el punto 4 de su Norma
Primera:
“4. El responsable del fichero deberá contestar la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en sus
ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la
recepción.
En el caso de que la solicitud no reúna los requisitos especificados en el
apartado tercero, el responsable del fichero deberá solicitar la subsanación de
los mismos.”
SEXTO: El punto 1 de la Norma Primera de la citada Instrucción 1/1998
establece:
“Los derechos de acceso a los ficheros automatizados, así como los de
rectificación y cancelación de datos son personalísimos, y serán ejercidos por
el afectado frente al responsable del fichero por lo que será necesario que el
afectado acredite su identidad frente a dicho responsable. Estos derechos se
ejercerán sin otras limitaciones que las que prevén la Ley Orgánica 5/1992 y el
Real Decreto 1332/1994, de 20 de junio.
Podrá, no obstante, actuar el representante legal del afectado cuando éste se
encuentre en situación de incapacidad o minoría de edad que le imposibilite el
ejercicio personal de los mismos, en cuyo caso será necesario que el
representante legal acredite tal condición.
SÉPTIMO: En el presente caso, ha quedado acreditado que la reclamante
solicitó la cancelación de sus datos personales ante las Letradas, y que éstas
le remitieron un escrito señalando que procedían a la cancelación solicitada,
manteniéndose bloqueados esos datos para, entre otras cuestiones, la
reclamación de honorarios. Por ello, figuran en la facturación de los servicios
prestados que recibió posteriormente, no habiendo evidencia de la existencia
de otros datos. Por lo expuesto, procede desestimar la presente reclamación
de Tutela de Derechos.
El presente procedimiento tiene por objeto determinar las actuaciones
contrarias a los ejercicios de los derechos ejercidos por la reclamante.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR la reclamación formulada por Dª A.A.A. contra Dª
R.R.R. y Dª B.B.B., Letradas del Ilustre Colegio de Abogados de Las Palmas.
Página 218 de 353
SEGUNDO: NOTIFICAR la presente resolución a Dª R.R.R. Y Dª B.B.B.,
Letradas del Ilustre Colegio de Abogados de Las Palmas con domicilio en
(C/…………………………………), y a Dª A.A.A. con domicilio en
(C/……………………………………).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Castellón de la Plana, 13 de agosto de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 219 de 353
Procedimiento Nº: TD/00816/2008
RESOLUCIÓN Nº.: R/01566/2008
Vista la reclamación formulada por Dª. P.P.P., contra el REGISTRO CENTRAL
DE PENADOS Y REBELDES, y en base a los siguientes,
HECHOS
PRIMERO: En fecha 8 de mayo de 2008, tuvo entrada en esta Agencia
reclamación de Dª P.P.P. (en lo sucesivo, la reclamante) contra el Registro
Central de Penados y Rebeldes (en lo sucesivo, Registro Central) por no haber
sido debidamente atendido su derecho de acceso a sus datos personales.
Con fecha 08 de agosto de 2007 la reclamante presentó ante el Registro
Central una solicitud de antecedentes penales.
La reclamante, con fechas 08 de enero y 07 de febrero de 2008, se dirigió
nuevamente al Registro Central reiterando su solicitud para la emisión del
correspondiente certificado.
Con fecha 27 de marzo de 2008 la reclamante presentó ante el Registro
Central una solicitud de acceso a sus datos personales, que le contestó
adjuntándole la normativa vigente para la expedición de certificados de
antecedentes penales.
SEGUNDO: Con fecha 16 de junio de 2008 se dio traslado de la reclamación al
responsable del fichero, que presentó las alegaciones que, a su derecho,
estimó convenientes, manifestando que, con fecha 08 de agosto de 2007 la
reclamante solicitó un certificado de antecedentes penales para tramitar un
expediente de nacionalidad. En el Registro Central no consta esta petición,
pero en todo caso, desde el día 09 de agosto de 2007 no era necesaria la
aportación del citado certificado, según se establece en la Resolución de 07 de
mayo de 2007 de la Subsecretaría, por la que se aprueban los modelos
normalizados de solicitud en el ámbito del Ministerio de Justicia y se dictan
instrucciones sobre su utilización.
“Con fecha 07 de febrero de 2008 reclama dicho certificado que de acuerdo
con la información existente fue solicitado telemáticamente el 03 de marzo de
2008 por la mencionada Dirección General, con consentimiento de la
interesada, que fue prestado en la fase de alegaciones, de conformidad con el
procedimiento anteriormente señalado. Con fecha 04 de marzo se remitió la
contestación a esta petición, comunicándose desde el Registro que no existen
antecedentes en relación con la mencionada persona. La Dirección General de
los Registros y Notariado cursa las mencionadas peticiones contando siempre
con el consentimiento de los interesados”.
Con fecha 27 de mayo de 2008 la interesada solicitó el acceso a sus datos
personales, de conformidad con lo previsto en el artículo 15 de la Ley Orgánica
15/1999, de 13 de diciembre, a lo que desde la Sección de Antecedentes del
Registro se le contestó “adjuntando la normativa vigente para la expedición del
certificado de Antecedentes Penales entendiendo que era esto lo que se
solicitaba”.
Página 220 de 353
Las inscripciones de antecedentes penales en las distintas Secciones del
Registro Central de Penados y Rebeldes no serán públicas. Durante su
vigencia sólo se emitirán certificaciones con las limitaciones y garantías
previstas en sus normas específicas y en los casos establecidos por la Ley.
La expedición del certificado de antecedentes penales a instancia del
interesado supone el pago de una tasa cuya cuantía fija cada año la Ley de
Presupuestos Generales del Estado.
TERCERO: Examinadas las alegaciones, se dio traslado de las mismas a la
reclamante, que señaló que su solicitud se presentó con anterioridad a la
entrada en vigor, por lo que se le debería emitir el certificado dado que,
además, pagó las tasas correspondientes.
CUARTO: Otorgada audiencia al responsable del fichero, éste no contestó.
Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real
Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados
aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con
lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo
sucesivo LOPD), se han constatado los siguientes
HECHOS PROBADOS
PRIMERO: Con fecha 08 de agosto de 2007 Dª P.P.P. presentó ante el
Registro Central de Penados y Rebeldes una solicitud de antecedentes
penales.
SEGUNDO: Dª P.P.P., con fechas 08 de enero y 07 de febrero de 2008, se
dirigió nuevamente al Registro Central de Penados y Rebeldes reiterando su
solicitud para la emisión del correspondiente certificado.
TERCERO: Con fecha 27 de marzo de 2008 Dª P.P.P. presentó ante el
Registro Central de Penados y Rebeldes una solicitud de acceso a sus datos
personales, que le contestó adjuntándole la normativa vigente para la
expedición de certificados de antecedentes penales.
CUARTO: En fecha 8 de mayo de 2008, tuvo entrada en esta Agencia
reclamación de Dª P.P.P. contra el Registro Central de Penados y Rebeldes
por no haber sido debidamente atendido su derecho de acceso a sus datos
personales.
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la LOPD.
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
Página 221 de 353
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá
derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen de dichos datos, así como
las comunicaciones realizadas o que se prevén hacer de los mismos”.
CUARTO: El artículo 12.3 del citado Real Decreto 1332/1994, determina:
“3. El responsable del fichero resolverá sobre la petición de acceso en el plazo
máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este
plazo sin que de forma expresa se responda a la petición de acceso, ésta
podrá entenderse desestimada a los efectos de la interposición de la
reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo
18.1 LOPD).
QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia
Española de Protección de Datos, relativa al ejercicio de los derechos de
acceso, rectificación y cancelación establece en el punto 4 de su Norma
Primera:
“4. El responsable del fichero deberá contestar la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en sus
ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la
recepción.
En el caso de que la solicitud no reúna los requisitos especificados en el
apartado tercero, el responsable del fichero deberá solicitar la subsanación de
los mismos.”
SEXTO: El artículo 2.3 de la LOPD establece:
“3. Se regirán por sus disposiciones específicas, y por lo especialmente
previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de
datos personales:
a) Los ficheros regulados por la legislación de régimen electoral.
c. Jorge Juan 6 28001 Madrid www.agpd.es 4/5
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por
la legislación estatal o autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los
informes personales de calificación a que se refiere la legislación del Régimen
del personal de las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y
rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de
videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la
legislación sobre la materia.”
SÉPTIMO: En el presente caso, ha quedado acreditado que la reclamante
solicitó un certificado de antecedentes penales ante el Registro Central de
Penados y Rebeldes, reiterando posteriormente dicha solicitud.
Página 222 de 353
En relación al ejercicio del derecho de acceso presentado por la reclamante,
hay que tener en cuenta lo establecido en el art. 2.3 de la LOPD, ya citado, que
establece que el Registro Central se regirá por sus disposiciones específicas.
El presente procedimiento tiene por objeto determinar las actuaciones
contrarias a los ejercicios de los derechos solicitados por el reclamante.
Por todo ello, procede desestimar la presente reclamación de Tutela de
Derechos.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR la reclamación formulada por Dª P.P.P. contra el
REGISTRO CENTRAL DE PENADOS Y REBELDES.
SEGUNDO: NOTIFICAR la presente resolución al REGISTRO CENTRAL DE
PENADOS Y REBELDES con domicilio en SAN BERNARDO 45 - 28015
MADRID
(Madrid),
y
a
Dª
P.P.P.
con
domicilio
en
(C/……………………………….).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde
el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 del referido texto legal.
Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con
el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado
Página 223 de 353
5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en
el artículo 46.1 del referido texto legal.
Madrid, 17 de noviembre de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 224 de 353
Procedimiento Nº: TD/01663/2008
RESOLUCIÓN Nº.: R/00185/2009
Vista la reclamación formulada por D. G.G.G., contra F.F.F. ABOGADOS, y en
base a los siguientes,
HECHOS
PRIMERO: Con fecha 29 de julio de 2008 D. G.G.G. solicitó, entre otras
cuestiones, el acceso a sus datos personales ante F.F.F. Abogados.
En relación al acceso solicitado, D. G.G.G., trabajador de F.F.F. Abogados, en
su calidad de “Cargo 1” de la Comunidad de (c/..................), remitió un escrito a
D. G.G.G. señalando que no poseen datos de él en sus ficheros, “…dado que
la titularidad del piso xx se la tenemos adjudicada a otro comunero.” “Para su
información, le recuerdo que en todo caso la que actúa como responsable del
fichero de la Agencia Española de Protección de Datos es la Presidencia de la
Comunidad, en calidad de representante, mientras que el “Cargo 1” es
simplemente el encargado del tratamiento.”
SEGUNDO: En fecha 8 de septiembre de 2008, tuvo entrada en esta Agencia
reclamación de D. G.G.G. contra F.F.F. Abogados por no haber sido
debidamente atendido su derecho de acceso a sus datos personales
contenidos en los ficheros de la entidad. Realizadas las actuaciones
procedimentales previstas en el artículo 117 del Real Decreto 1720/2007, de 21
de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal (en lo sucesivo LOPD), se han constatado los siguientes
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la LOPD.
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá
derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen de dichos datos, así como
las comunicaciones realizadas o que se prevén hacer de los mismos”.
CUARTO: El artículo 29.1 del citado Real Decreto 1720/2007, determina:
“El responsable del fichero resolverá sobre la solicitud de acceso en el plazo
máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el
plazo sin que de forma expresa se responda a la petición de acceso, el
interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley
Orgánica 15/1999, de 13 de diciembre.”
Página 225 de 353
QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia
Española de Protección de Datos, relativa al ejercicio de los derechos de
acceso, rectificación y cancelación establece en el punto 4 de su Norma
Primera:
“4. El responsable del fichero deberá contestar la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en sus
ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la
recepción. En el caso de que la solicitud no reúna los requisitos especificados
en el apartado tercero, el responsable del fichero deberá solicitar la
subsanación de los mismos.”
SEXTO: El artículo 5.i) del citado Real Decreto 1720/2007 establece:
“i) Encargado del tratamiento: La persona física o jurídica, pública o privada, u
órgano administrativo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento o del responsable del
fichero, como consecuencia de la existencia de una relación jurídica que le
vincula con el mismo y delimita el ámbito de su actuación para la prestación de
un servicio.
Podrán ser también encargados del tratamiento los entes sin personalidad
jurídica que actúen en el tráfico como sujetos diferenciados.”
SÉPTIMO: En el presente caso, ha quedado acreditado que D. G.G.G. solicitó,
entre otras cuestiones, el acceso a sus datos personales ante F.F.F. Abogados,
y que esta entidad le contestó, dentro del plazo legalmente establecido,
señalando que en sus ficheros no posee ningún dato suyo. Además le indicó
que actúa como encargado de tratamiento del fichero cuyo responsable es la
Presidencia de la Comunidad de propietarios.
El presente procedimiento tiene por objeto determinar las actuaciones
contrarias a los ejercicios de los derechos solicitados por el reclamante. El
resto de las cuestiones planteadas por éste quedan fuera del ámbito de
materias reguladas por el procedimiento de Tutelas de Derechos. Por todo ello,
procede archivar la presente reclamación de Tutela de Derechos.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ARCHIVAR la reclamación formulada por D. G.G.G. contra F.F.F.
ABOGADOS.
SEGUNDO: NOTIFICAR la presente resolución a D. G.G.G...
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Página 226 de 353
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 9 de febrero de 2009
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 227 de 353
Procedimiento Nº: TD/00941/2010
RESOLUCIÓN Nº.: R/01695/2010
Vista la reclamación formulada el 24 de junio de 2010 ante esta Agencia por
DON A.A.A. contra la SUBDIRECCIÓN GENERAL DE INSTITUCIONES
PENITENCIARIAS, por no haber sido debidamente atendido su derecho de
acceso en relación con criterios de inclusión en el fichero FIES5 (Fichero
Internos de Especial Seguimiento), en base a los siguientes
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en
lo sucesivo, LOPD).
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá
derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen de dichos datos, así como
las comunicaciones realizadas o que se prevén hacer de los mismos”.
CUARTO: El artículo 5.1.f) del RLOPD dispone la siguiente definición:
“f) Datos de carácter personal: Cualquier información numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas
físicas identificadas o identificables.”
QUINTO: En el presente caso, examinada la reclamación presentada, se
comprueba que la petición del reclamante es que se le facilite los criterios o
argumentadas por la Subdirección General de Instituciones Penitenciarias para
incluir al interesado en el fichero FIES5. Hay que señalar que no entra dentro
del ámbito competencial de la Agencia Española de Protección de Datos dirimir
las diferencias que subyacen entre las partes, esto es la existencia o no de
motivos para la inclusión el citado fichero, ni entrar en valoraciones respecto a
dichos motivos dado que estos no son considerados datos de carácter
personal.
Por lo expuesto, procede inadmitir la presente reclamación de Tutela de
Derechos.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: INADMITIR la reclamación formulada por DON A.A.A. contra la
Página 228 de 353
SUBDIRECCIÓN GENERAL DE INSTITUCIONES PENITENCIARIAS.
SEGUNDO: NOTIFICAR la presente resolución a DON A.A.A..
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, de septiembre de 2010
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 229 de 353
Procedimiento Nº: TD/00961/2010
RESOLUCIÓN Nº.: R/02341/2010
Vista la reclamación formulada por DON B.B.B., contra DOÑA A.A.A., por no
haber sido debidamente atendido su derecho de acceso en relación con
documentos personales que obran en poder del despacho de servicios jurídicos
Trabado Abogados, y en base a los siguientes,
HECHOS PROBADOS
PRIMERO: Con fecha 21 de mayo de 2010, DON B.B.B. ejercitó ante DOÑA
A.A.A. el derecho de acceso a sus datos personales, dado que actuaba en
calidad de abogado de la parte demandada en un proceso mantenido por el
interesado ante el Juzgado de 1ª Instancia, nº 7 de Oviedo.
Con fecha 26 de mayo de 2010, el responsable del fichero, contestó a la
solicitud de acceso indicando que los datos del interesado no aparecían en sus
archivos de clientes y partes contrarias. Asimismo, le indicaba que se
abstuviera a remitir nuevas comunicaciones a su despacho, salvo que deseara
contratar sus servicios profesionales.
SEGUNDO: Con fecha 10 de junio de 2010 tuvo entrada en esta Agencia,
reclamación de DON B.B.B. contra DOÑA A.A.A. por no haber sido
debidamente atendido su derecho de acceso.
FUNDAMENTOS DE DERECHO
PRIMERO: La competencia para resolver la presente reclamación corresponde
al Director de la Agencia Española de Protección de Datos, de acuerdo con el
artículo 37.d), en relación con el artículo 36, ambos de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en
lo sucesivo, LOPD).
SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias
a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los
afectados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine”.
TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá
derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen de dichos datos, así como
las comunicaciones realizadas o que se prevén hacer de los mismos”.
CUARTO: El artículo 29.1 del RLOPD determina:
“1. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo
máximo de un mes a contar desde la recepción de la solicitud. Transcurrido
este plazo sin que de forma expresa se responda a a petición de acceso, el
interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley
Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos
Página 230 de 353
de carácter personal de los afectados deberá igualmente comunicárselo en el
mismo plazo.”
QUINTO: En relación con el derecho de acceso ejercitado por el interesado,
hay que analizar en primer lugar, la existencia de obligación por parte del
reclamado, en calidad de abogado en ejercicio que dispone datos del afectado,
de atender la solicitud. En segundo lugar tenemos que analizar la posibilidad de
denegar el derecho de acceso a los datos solicitados, así como la obligación de
informar sobre el tratamiento de los datos y el requisito del consentimiento
previo.
Cabe señalar respecto a la primera cuestión, que la reclamada en calidad de
abogado en ejercicio que representa a la parte demandada en un proceso
mantenido con el interesado, por lo que dispone de datos del mismo, se
encuentra afectada por lo dispuesto en el artículo 15 de la LOPD, en la medida
en que no entre en colisión con otros derechos prevalentes, cuestión que se
analizará con posteridad. En este sentido, la reclamada, como responsable de
fichero o tratamiento de los datos referidos al oponente de uno de sus clientes
en el seno de un proceso judicial, debe contestar al solicitante que ejercite los
derechos amparados por la LOPD.
Respecto a la segunda cuestión planteada, ha de analizarse si los abogados y
procuradores habrán de recabar el consentimiento de sus clientes y de la
contraparte de los mismos en los procesos en que aquellos les confieran su
representación o defensa.
Como regla general, la inclusión de los datos de los clientes y sus oponentes
en un fichero supondrá un tratamiento de datos de carácter personal, que
requeriría el consentimiento del afectado.
En lo referente al tratamiento de los datos de los clientes, podrá efectuarse el
mismo sin consentimiento del afectado, a tenor de los establecido en el artículo
6.2. de la LOPD, que excluye del consentimiento los supuestos en que los
datos “se refierana a las partes de un contrato o precontrato de una relación
negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento”.
El problema se plantea en el supuesto de que los datos se refieran a los
oponentes de los clientes del abogado o procurador, dado que en ese caso el
tratamiento resulta absolutamente imprescindible para la asistencia letrada al
cliente y su representación procesal, si bien ese tratamiento pudiera chocar con
el derecho a la protección de datos de la persona cuyos datos son objeto de
tratamiento.
En este caso surgiría una colisión entre dos derechos fundamentales: por un
lado el derecho a la protección de datos de carácter personal, derivado del
artículo 18 de la Constitución y consagrado como derecho autónomo e
informador del texto constitucional por la Sentencia del Tribunal Constitucional
292/2000, de 30 de noviembre; y por otro lado el derecho a la tutela judicial
efectiva de los jueces y tribunales, contenido en el artículo 24 de la
Constitución, lo que implica para su efectividad la asistencia letrada y
representación procesal. Como ha dicho el Tribunal Constitucional, este
derecho “comporta de forma esencial el que el interesado pueda encomendar
su representación y asesoramiento técnico a quien merezca su confianza y
considere más adecuado para instrumentar su propia defensa”. En el supuesto
aquí examinado, se produce una colisión con el derecho al secreto profesional
Página 231 de 353
tutelado en el artículo 24.2 de la Norma Fundamental. A este respecto, opera el
deber, por parte de abogados y procuradores, de “guardar secreto de todos los
hechos o noticias que conozcan por razón de cualquiera de las modalidades de
su actuación profesional, no pudiendo ser obligado a declarar sobre los
mismos”, según dispone el artículo 437.2 en relación con el 438.2 de la Ley
Orgánica 6/1985, de 1 de julio, del Poder Judicial.
El legislador ha creado un sistema en que el derecho a la protección de datos
de carácter personal cede en aquellos supuestos en que el propio legislador
(constitucional u ordinario) haya considerado la existencia de motivos
razonados y fundados que justifiquen la necesidad del tratamiento de los datos,
incorporando dichos supuestos a normas de, al menos, el mismo rango que la
que regula la materia protegida.
En efecto, la exigibilidad del consentimiento del oponente para el tratamiento
de sus datos por el abogado o procurador supondría dejar a disposición de
aquel el almacenamiento de la información necesaria para que el cliente pueda
ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos
datos o su comunicación a la contraparte, puede implicar, lógicamente, una
merma en la posibilidad de aportación por el interesado de los medios de
prueba pertinentes para su defensa, vulnerándose otra de las garantías
derivadas del derecho a la tutela efectiva y coartándose la posibilidad de
obtener el pleno desenvolvimiento de este derecho.
Por lo expuesto anteriormente, si bien ninguna disposición con rango de Ley
establece expresamente la posibilidad del tratamiento por abogados y
procuradores de los datos referidos al oponente de su cliente dentro de un
proceso judicial, el mismo es necesario para la satisfacción de un interés
legítimo perseguido por el responsable del mismo, que trae causa directa de
una norma de rango constitucional, reguladora de los derechos fundamentales
y libertades públicas consagradas por la Constitución, y desarrollado por las
leyes reguladoras de cada uno de los Órdenes Jurisdiccionales, en los
preceptos referidos a la representación y defensa de las partes prevaleciendo
sobre el derecho del afectado, por lo que existe una habilitación para el
tratamiento de los datos, que trae cobertura a raíz de lo indicado por el artículo
24 de la Constitución y sus normas de desarrollo, así como, en lo que respecta
al deber de guardar secreto, del mismo artículo en su apartado segundo (art.
24.2) y de los artículos 437.2 y 438.2 de la citada Ley del Poder Judicial.
SEXTO: Asimismo, debe analizarse si el abogado o procurador se encuentra
obligado, por imperativo del artículo 5.4 de la Ley Orgánica, a informar a los
oponentes de su cliente de la existencia de un fichero o tratamiento, su
responsable, su finalidad, la posibilidad de que los afectados ejerciten los
derechos que la Ley les atribuye y los destinatarios de los datos, dada la
concurrencia entre el derecho del cliente a obtener la adecuada asistencia de
letrado y a ver satisfecha la tutela judicial efectiva y el derecho del oponente a
la protección de sus datos personales, lo que supondrá el cumplimiento del
citado deber de información.
Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por
todas, STC 186/2000, de 10 de julio, con cita de otras muchas) “el derecho a la
Página 232 de 353
intimidad no es absoluto, como no lo es ninguno de los derechos
fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes,
siempre que el recorte que aquel haya de experimentar se revele como
necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y,
en todo caso, sea respetuoso con el contenido esencial del derecho.”
Si aplicamos la doctrina anteriomente mencionada al supuesto objeto de la
presente resolución, procede ponderar en qué caso la limitación del ejercicio de
uno de los derechos en conflicto puede producir una mayor merma de los
derechos de la otra parte o, en su caso, las medidas que permitirán mitigar ese
potencial perjuicio. Por lo tanto, debe darse prevalencia al derecho consagrado
por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela
judicial efectiva de jueces y tribunales, en los términos ya expuestos. En el
presente caso, se aprecia una conexión directa con el derecho fundamental al
secreto profesional que, conforma a los preceptos anteriormente transcritos de
la Ley orgánica del Poder Judicial, les habilita para no facilitar información “de
todos los hechos o noticias que conozcan por razón de cualquiera de las
modalidades de su actuación profesional, no pudiendo ser obligado a declarar
sobre los mismos”. Por ello no procede el acceso a los datos solicitados por el
interesado, dada la limitación impuesta por el artículo 24 de la Constitución
conforme a lo anteriormente razonado.
SÉPTIMO: En el presente caso, examinada la reclamación presentada, queda
acreditado que el interesado ejercitó el derecho de acceso a sus datos
personales contenidos en los ficheros obrantes en el despacho de servicios
jurídicos de la reclamada. Aunque DOÑA A.A.A. contestó a dicha petición, se
hizo de forma incorrecta dado que le informó que no poseía datos del
interesado en vez de motivarle por qué no podía facilitarle el acceso solicitado.
Por lo expuesto anteriormente, procede estimar la presente reclamación de
Tutela de Derechos, para que se dé respuesta expresa de conformidad con la
LOPD.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ESTIMAR la reclamación formulada por DON B.B.B. e instar a
DOÑA A.A.A. para que, en el plazo de los diez días hábiles siguientes a la
notificación de la presente resolución, remita al reclamante certificación en la
que se facilite el acceso completo a sus datos, o deniegue motivada y
fundamentadamente el acceso solicitado, pudiendo incurrir en su defecto en
una de las infracciones previstas en el artículo 44 de la LOPD. Las actuaciones
realizadas como consecuencia de la presente Resolución deberán ser
comunicadas a esta Agencia en idéntico plazo.
SEGUNDO: NOTIFICAR la presente resolución a DON B.B.B. y a DOÑA
A.A.A..
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
Página 233 de 353
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 30 de noviembre de 2010.
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 234 de 353
Procedimiento Nº: TD/01183/2010
RESOLUCIÓN Nº.: R/00068/2011
Vista la reclamación formulada por D. A.A.A. (REPRESENTADO POR Dª
B.B.B.)
contra
DIRECCIÓN
GENERAL
DE
INSTITUCIONES
PENITENCIARIAS por no haber sido debidamente atendido su derecho de
cancelación.
Realizadas las actuaciones procedimentales previstas en el artículo 117 del
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal, aprobado por Real Decreto
1720/2007, de 21 de diciembre (en lo sucesivo, RLOPD), se han constatado los
siguientes,
HECHOS
PRIMERO: En fecha 12 de agosto de 2010, tuvo entrada en esta Agencia
reclamación de D. A.A.A. (REPRESENTADO POR Dª B.B.B.) (en lo sucesivo,
el reclamante) contra Dirección General de Instituciones Penitenciarias por no
haber sido debidamente atendido su derecho de cancelación.
El reclamante fue condenado en única instancia por Sentencia del Tribunal
Supremo sin derecho a ningún recurso efectivo de la sentencia.
Posteriormente, por resolución del Comité de Derechos Humanos de Naciones
Unidas se consideró que los hechos que tiene ante sí ponen de manifiesto una
violación del art. 14 párrafo 5 del Pacto, debiendo proporcionar el Estado Parte
al reclamante un recurso efectivo. A pesar de ello, el reclamante estuvo privado
de libertad y cumplido la condena en su totalidad.
La Dirección General de Instituciones Penitenciarias le contestó, una vez
transcurrido el plazo legalmente establecido para ello, señalando que no
procedía la cancelación de los datos conforme establece el artículo 9.2 del
Reglamento Penitenciario.
SEGUNDO: Trasladadas sucesivamente la reclamación y los escritos de
descargos que se produjeron en la tramitación del presente expediente, y por lo
que a efectos de la resolución de la presente reclamación interesa, se
realizaron, en síntesis, las siguientes alegaciones:
 Dire cción G e ne ra l de Ins titucione s P e nite ncia ria s s e ña ló que “
la Comisión
Calificadora de Documentos de Documentos Administrativos del Ministerio del
Interior, en su reunión del 20 de noviembre de 2002 y tras el procedimiento
habitual de valoración de documentos, ya dictaminó que la serie documental
que obra en los centros penitenciarios con la denominación Expedientes
personales de internos era de conservación permanente, por lo tanto no estaba
sujeta a eliminación de ninguno de los expedientes que la componen, y aprobó
el plazo de 52 años como plazo de permanencia, por razones de gestión, en
los archivos de los centros penitenciarios, a cuya finalización se deben
transferir a los Archivos Históricos Provinciales correspondientes”.
“Respecto a los datos contenidos en los ficheros automatizados, existe la base
de datos denominada Sistema de Información Penitenciaria (SIP), en la que
Página 235 de 353
constan los datos esenciales de cada Expediente Personal de Interno que, en
soporte papel, conserva el centro penitenciario desde el que ha sido
excarcelado el recluso. La base de datos se creó por necesidades de gestión,
para localizar los expedientes n papel dispersos por toda la geografía nacional.
Por lo tanto, se entiende, que si el dictamen recaído sobre los expedientes ha
sido la conservación permanente, las informaciones contenidas en la base de
datos deberían serlo también teniendo en cuenta los fines para los que fue
creada.”
(…) “Esta Resolución se basa:
1. La Ley 16/1985, de 25 de junio, de Patrimonio Histórico Español: (…)
2. Orden de 21 de diciembre de 2000 por la que se crea la Comisión
Calificadora de Documentos Administrativos del Ministerio del Interior: (…)
- El ejercicio de los derechos de acceso, rectificación y cancelación, referidos a
los ficheros que contengan datos de carácter personal, inscritos en el Registro
General de Protección de Datos, existentes en los archivos del Ministerio del
Interior, se ajustará a lo dispuesto en la Ley Orgánica 15/1999, y en la Ley
16/1985. (…)”
TERCERO: Son conocidos por las partes de forma completa todos los hechos,
alegaciones y demás documentación aportada por los interesados para su
defensa, al haberse dado traslado por la instrucción del expediente a cada uno
de los interesados en este procedimiento y constado todo ello en el expediente
que obra en esta Agencia Española de Protección de Datos.
FUNDAMENTOS DE DERECHO
PRIMERO: Es competente para resolver el Director de la Agencia Española de
Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación
con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
SEGUNDO: El artículo 18.1 de la LOPD señala que:
“Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser
objeto de reclamación por los afectados ante la Agencia Española de
Protección de Datos, en la forma que reglamentariamente se determine”.
TERCERO: El artículo 16 de la LOPD dispone que
“1. El responsable del tratamiento tendrá la obligación de hacer efectivo el
derecho de rectificación cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal
cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular,
cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose
únicamente a disposición de las Administraciones públicas, Jueces y
Tribunales, para la atención de las posibles responsabilidades nacidas del
tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo
deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados
previamente, el responsable del tratamiento deberá notificar la rectificación o
Página 236 de 353
cancelación efectuada a quien se hayan comunicado, en el caso de que se
mantenga el tratamiento por este último, que deberá también proceder a la
cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos
previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado.”
CUARTO: El artículo 32.2 y 3 del RLOPD determina:
“2. El responsable del fichero resolverá sobre la solicitud de rectificación o
cancelación en el plazo máximo de diez días a contar desde la recepción de la
solicitud. Transcurrido el plazo sin que de forma expresa se responda a la
petición, el interesado podrá interponer la reclamación prevista en el artículo 18
de la Ley Orgánica 15/1999, de 13 de diciembre.
En el caso de que no disponga de datos de carácter personal del afectado
deberá igualmente comunicárselo en el mismo plazo.
3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el
responsable del fichero deberá comunicar la rectificación o cancelación
efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo
de diez días contados desde la recepción de dicha comunicación, proceda,
asimismo, a rectificar o cancelar los dato .
La rectificación o cancelación efectuada por el cesionario no requerirá
comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos
por parte de los interesados reconocidos en la Ley Orgánica 15/1999, de 13 de
diciembre.”
QUINTO: El artículo 25 del RLOPD determina:
“1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio
de los derechos deberá llevarse a cabo mediante comunicación dirigida al
responsable del fichero, que contendrá:
a) Nombre y apellidos del interesado; fotocopia de su documento nacional de
identidad, o de su pasaporte u otro documento válido que lo identifique y, en su
caso, de la persona que lo represente, o instrumentos electrónicos
equivalentes; así como el documento o instrumento electrónico acreditativo de
tal representación. La utilización de firma electrónica identificativa del afectado
eximirá de la presentación de las fotocopias del DNI o documento equivalente.
El párrafo anterior se entenderá sin perjuicio de la normativa específica
aplicable a la comprobación de datos de identidad por las Administraciones
Públicas en los procedimientos administrativos.
b) Petición en que se concreta la solicitud.
c) Dirección a efectos de notificaciones, fecha y firma del solicitante.
d) Documentos acreditativos de la petición que formula, en su caso.
2. El responsable del tratamiento deberá contestar la solicitud que se le dirija
en todo caso, con independencia de que figuren o no datos personales del
afectado en sus ficheros.
3. En el caso de que la solicitud no reúna los requisitos especificados en el
apartado primero, el responsable del fichero deberá solicitar la subsanación de
los mismos.
4. La respuesta deberá ser conforme con los requisitos previstos para cada
caso en el presente título.
Página 237 de 353
5. Corresponderá al responsable del tratamiento la prueba del cumplimiento del
deber de respuesta al que se refiere el apartado 2, debiendo conservar la
acreditación del cumplimiento del mencionado deber…”
SEXTO: La Ley 15/1985, de 25 de junio, del Patrimonio Histórico Nacional,
establece en su artículo 49.2, que: “Forman parte del Patrimonio Documental
los documentos de cualquier época generados, conservados o reunidos en el
ejercicio de su función por cualquier organismo o entidad de carácter
público...”. Por su parte el artículo 55.1 dispone: “La exclusión o eliminación de
bienes del Patrimonio Documental y Bibliográfico contemplados en el artículo
49.2 y los demás de utilidad pública deberá ser autorizada por la
Administración competente.”
Finalmente el artículo 58 establece que: “El estudio y dictamen de las
cuestiones relativas a la calificación y utilización de los documentos de la
Administración del Estado .... corresponderá a una Comisión Superior
Calificadora de Documentos Administrativos… . Asimismo podrán constituirse
Comisiones Calificadoras en los Organismos públicos que se determine.”
SÉPTIMO: La Orden de 21 de diciembre del 2000 del Ministerio del Interior
establece:
“Primero.- Se crea la Comisión Calificadora de Documentos Administrativos del
Ministerio del Interior, que tiene como finalidad el estudio y dictamen de las
cuestiones relativas a la calificación y utilización de los documentos generados
y conservados en el Ministerio del Interior, así como la integración en los
archivos, y régimen de acceso e inutilidad administrativa”.
“Tercero.- Competencias.
1. La comisión ejercerá las siguientes funciones: a)Proponer los plazos de
permanencia de los documentos en cada uno de los diferentes tipos de
archivos del Ministerio.... Sexto.- Acceso a los documentos”.
“2. El ejercicio de los derechos de acceso, rectificación y cancelación, referidos
a los ficheros que contengan datos de carácter personal, inscritos en el
Registro General de Protección de Datos, existentes en los archivos del
Ministerio del Interior, se ajustará a lo dispuesto en la Ley Orgánica 15/1999...”
OCTAVO: En lo referente a los requisitos formales, en el supuesto presente la
solicitud de cancelación tuvo entrada en la Dirección General de Instituciones
Penitenciarias el 23 de junio de 2010 y la contestación al citado derecho es de
fecha 9 de julio de 2010. Por lo tanto, una vez transcurrido el plazo legalmente
establecido para ello.
En cuanto al fondo del asunto debe recordarse que el artículo 16.3 de la LOPD
determina que la cancelación dará lugar al bloqueo de datos, conservándose
únicamente a disposición de Administraciones Públicas, Jueces y Tribunales,
para la atención de las posibles responsabilidades nacidas del tratamiento,
durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá
procederse a la supresión de los mismos.
El artículo 1 del Real Decreto 190/1996, de 9 de febrero, por el que se aprueba
el Reglamento Penitenciario, establece el ámbito de su aplicación en el sentido
siguiente: “1. El presente Reglamento de desarrollo de la Ley Orgánica 1/1979,
de 26 de septiembre, General Penitenciaria, regula la ejecución de las penas y
medidas de seguridad privativas de libertad, así como el régimen de los
Página 238 de 353
detenidos a disposición judicial y de los presos preventivos, siendo de
aplicación directa en todo el territorio del Estado.
2. No obstante, en aquellas Comunidades Autónomas que ejerzan
competencias de ejecución de la legislación penitenciaria estatal, en virtud de
su potestad de autoorganización, será de aplicación supletoria lo dispuesto en
aquellos preceptos de los Títulos XI y XII que regulen cuestiones organizativas
o relativas al régimen económico-administrativo de los establecimientos
penitenciarios, así como aquellas disposiciones contenidas en otros Títulos que
regulen aspectos de la misma naturaleza.
3. El presente Reglamento se aplicará con carácter supletorio a los
establecimientos penitenciarios militares”.
Esto es, sólo se aplicará a las personas privadas de libertad recluidas en
centros penitenciarios, los detenidos a disposición judicial y los presos
preventivos. Ninguna de estas situaciones se da en el caso del reclamante.
Por otro lado, la Dirección General de Instituciones Penitenciarias justifica el
mantenimiento de los datos porque tienen un valor histórico y estadístico, así
como por necesidades de gestión. Pues bien, el valor histórico debe venir
avalado por lo dispuesto en la Ley 16/1985, de 25 de junio, de Regulación del
Patrimonio Histórico Nacional. Asimismo, el valor estadístico ha de justificarse
en lo dispuesto en la Ley 12/1989, de 9 de mayo, de Función Estadística
Pública. Las remisiones al Reglamento Penitenciario al igual que las contenidas
en la LOPD, referidas al tratamiento de datos con fines históricos o estadísticos
(artículo 4, apartados 2 y 5 de la LOPD) deben interpretarse conforme a las
leyes reguladoras de tales materias y justificarse por los responsables del
tratamiento por referencia a habilitaciones concretas de las mismas, extremos
éstos que no han sido puestos de manifiesto por la Dirección General de
Instituciones Penitenciarias. Así se desprende de la Sentencia del Tribunal
Constitucional 292/2000, de 30 de noviembre, en la cual se recoge
expresamente: “El derecho a la protección de datos atribuye a su titular un haz
de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a
terceros deberes jurídicos, que no se contienen en el derecho fundamental a la
intimidad, y que sirven a la capital función que desempeña este derecho
fundamental: garantizar a la persona un poder de control sobre sus datos
personales, lo que sólo es posible y efectivo imponiendo a terceros los
mencionados deberes de hacer. A saber: el derecho a que se requiera el previo
consentimiento para la recogida y uso de los datos personales, el derecho a
saber y ser informado sobre el destino y uso de esos datos y el derecho a
acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición
sobre los datos personales”. Añadiendo la citada Sentencia, en cuanto al
apartado 2 del artículo 24 impugnado, que “en relación con el derecho
fundamental a la intimidad hemos puesto de relieve no sólo la necesidad de
que sus posibles limitaciones estén fundadas en una previsión legal que tenga
justificación constitucional y que sean proporcionadas sino que la Ley que
restrinja este derecho debe expresar con precisión todos y cada uno de los
presupuestos materiales de la medida limitadora. De no ser así, mal cabe
entender que la resolución judicial o el acto administrativo que la aplique estén
fundados en la Ley, ya que lo que ésta ha hecho, haciendo dejación de sus
funciones, es apoderar a otros Poderes Públicos para que sean ellos quienes
fijen los límites al derecho fundamental.
Página 239 de 353
De igual modo, respecto al derecho a la protección de datos personales cabe
estimar que la legitimidad constitucional de la restricción de este derecho no
puede estar basada, por sí sola, en la actividad de la Administración Pública. Ni
es suficiente que la Ley apodere a ésta para que precise en cada caso los
límites, limitándose a indicar que deberá hacer tal precisión cuando concurra
algún derecho o bien constitucionalmente protegido. Es el legislador quien
debe determinar cuándo concurre ese bien o derecho que justifica la restricción
del derecho a la protección de datos personales y en qué circunstancias puede
limitarse y además, es él quien debe hacerlo mediante reglas precisas que
hagan previsible al interesado la imposición de tal limitación y sus
consecuencias...
El empleo de en el art. 24.2 LOPD de la expresión “interés público” como
fundamento de la imposición de límites a los derechos fundamentales del art.
18.1 y 4 CE, encierra un grado de incertidumbre aún mayor. Basta reparar en
que toda actividad administrativa, en último término, persigue la salvaguardia
de intereses generales, cuya consecución constituye la finalidad a la que debe
servir con objetividad la Administración con arreglo al art. 103.1 CE ... El
apartado 2 del art. 24 LOPD establece que los derechos de acceso a los datos
(art. 15.1 y 2 LOPD) y los de rectificación y cancelación de los mismos (art.
16.1 LOPD) podrán denegarse también si, “ponderados los intereses en
presencia, resultase que los derechos que dichos preceptos conceden al
afectado hubieran de ceder ante... intereses de terceros más dignos de
protección”.
Resulta evidente que tras lo ya dicho, a la vista de que este inciso permite al
responsable del fichero público negar a un interesado el acceso, rectificación y
cancelación de sus datos personales, y al margen de que esos intereses
puedan identificarse con los derechos fundamentales de ese tercero o con
cualquier otro interés que pudiere esgrimirse, semejante negativa conlleva
abandonar a la decisión administrativa la fijación de un límite al derecho
fundamental a la protección de datos de carácter personal sin ni siquiera
establecer cuales puedan ser esos intereses ni las circunstancias en las que
quepa hacerlos valer para restringir de esa forma este derecho fundamental.” Y
concluye declarando inconstitucional el apartado 2 del art.24 LOPD.
En definitiva, la Dirección General de Instituciones Penitenciarias ha justificado
la negativa a cancelar los datos del reclamante en el Acuerdo de la Comisión
de Clasificación de Documentos del Ministerio del Interior que, en virtud del
valor histórico, estadístico, y las necesidades de gestión, calificó “de
conservación permanente” tanto los expedientes personales de los internos en
centros penitenciarios, como el fichero automatizado denominado
“SIPINTERNOS”.
No puede admitirse tal habilitación legal, por cuanto ambos ficheros recogen
unos datos que, en el caso del reclamante, son inexactos y no se encuentran
actualizados, habida cuenta de que ésta no se encuentra “interna” en ninguna
institución del sistema penitenciario.
Tampoco puede admitirse como argumento para denegar la cancelación
solicitada la referencia genérica a un “supuesto valor histórico o estadístico”
Página 240 de 353
que dichos datos pudieran llegar a alcanzar, y mucho menos las “necesidades
de gestión” propias de la Administración Penitenciaria, ya que el mantenimiento
íntegro de datos con dichos fines tiene un carácter excepcional regulado por
exigencia del artículo 4.5 de la LOPD.
En consecuencia no cabe admitir los motivos esgrimidos por la Dirección
General de Instituciones Penitenciarias para denegar la cancelación de datos
solicitada por el reclamante habida cuenta que no puede motivarse la misma en
una ausencia de regulación por parte del Reglamento Penitenciario, al tiempo
que debe rechazarse que los datos del afectado continúen en un fichero en el
que constan los datos personales de internos (o personas recluidas) en
Instituciones Penitenciarias, ya que, en el caso del reclamante, son datos
inexactos.
Por último, debe apuntarse que el vigente Código Penal establece en su
artículo 136 el derecho de los condenados a obtener del Ministerio de Justicia
la cancelación de sus antecedentes penales, una vez cumplidos determinados
requisitos y plazos. En consecuencia y reconocido tal derecho respecto de los
condenados, cabe atender el derecho a la cancelación de los datos del
reclamante de los ficheros de la Dirección General de Instituciones
Penitenciarias como en el fichero denominado Sistema de Información
Penitencia (SIP).
En consecuencia, procede la estimación de la tutela solicitada, debiéndose
llevar a cabo la cancelación y el consiguiente bloqueo de los datos personales
del reclamante existentes en los ficheros a que se hace referencia en la
presente resolución.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ESTIMAR la reclamación formulada por D. A.A.A.
(REPRESENTADO POR Dª B.B.B.) e instar a DIRECCIÓN GENERAL DE
INSTITUCIONES PENITENCIARIAS para que, en el plazo de los diez días
hábiles siguientes a la notificación de la presente resolución, remita al
reclamante certificación en la que haga constar que ha atendido el derecho de
cancelación ejercido por éste, pudiendo incurrir en su defecto en una de las
infracciones previstas en el artículo 44 de la LOPD. Las actuaciones realizadas
como consecuencia de la presente resolución deberán ser comunicadas a esta
Agencia en idéntico plazo.
SEGUNDO: NOTIFICAR la presente resolución a D. A.A.A. (REPRESENTADO
POR Dª B.B.B.) y a DIRECCIÓN GENERAL DE INSTITUCIONES
PENITENCIARIAS.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
Página 241 de 353
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del RLOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde
el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 del referido texto legal. Sin embargo, el responsable del fichero de
titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá
interponer directamente recurso contencioso administrativo ante la Sala de lo
Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto
en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la
LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación
de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Madrid, 28 de enero de 2011
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 242 de 353
Procedimiento Nº: TD/01187/2010
RESOLUCIÓN Nº.: R/00274/2011
Vista la reclamación formulada el 31 de agosto de 2010 ante esta Agencia por
D. A.A.A., contra la entidad LEGALIA ABOGADOS, S.L., por no haber sido
debidamente atendido su derecho de acceso. Realizadas las actuaciones
procedimentales previstas en el artículo 117 del Reglamento de desarrollo de la
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, se han
constatado los Siguientes
HECHOS
PRIMERO: Con fecha 6 de julio de 2010, D. A.A.A. (en lo sucesivo el
reclamante), ejerció derecho de acceso frente a la entidad LEGALIA
ABOGADOS, S.L., sin que su solicitud haya recibido la contestación legalmente
establecida.
SEGUNDO: Trasladadas la reclamación y los escritos de descargos que se
produjeron en la tramitación del presente expediente, y por lo que a efectos de
la resolución de la presente reclamación interesa, se realizaron, en síntesis, las
siguientes alegaciones:
 El re cla m a nte ha a cre dita do ta nto e l e nvío com o la re ce pción de la s olicitud
donde ejercitaba su derecho de acceso ante la entidad LEGALIA ABOGADOS,
S.L., mediante la aportación de copia de la imposición de burofax.
 El re cla ma nte ta mbié n a porta con su reclamación, copia de la carta remitida
por la entidad LEGALIA ABOGADOS, S.L. (en adelante la entidad reclamada),
en la que le informan que en sus ficheros no tienen datos suyos y que ha
sufrido un cambio societario que ha derivado en que la actualidad su actividad
no conlleve el tratamiento de datos de carácter personal.
 La e ntida d
LEGALIA ABOGADOS, S.L. (en adelante la entidad reclamada) manifiesta que
tal y como informó por carta al reclamante de fecha 30 de julio de 2010, no
tiene datos del mismo, ni ahora ni antes de 3 de julio de 2009, fecha en la que
por un cambio societario, modificó su nombre y pasó a llamarse, LENER
GRUPO ASESOR, S.L.
TERCERO: Son conocidos por las partes los hechos, alegaciones y demás
documentación aportada por los interesados para su defensa, al haberse dado
traslado por la instrucción del expediente en este procedimiento, tal y como
consta en el expediente que obra en esta Agencia Española de Protección de
Datos.
FUNDAMENTOS DE DERECHO
PRIMERO: Es competente para resolver el Director de la Agencia Española de
Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación
con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
SEGUNDO: El artículo 18.1 de la LOPD señala que:
Página 243 de 353
“Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser
objeto de reclamación por los afectados ante la Agencia Española de
Protección de Datos, en la forma que reglamentariamente se determine”.
TERCERO: El artículo 15 de la LOPD establece que:
“1.- El interesado tendrá derecho a solicitar y obtener gratuitamente información
e sus datos de carácter personal sometidos a tratamiento, el origen de dichos
datos, así como las comunicaciones realizadas o que se prevén hacer de los
mismos
2.- La información podrá obtenerse mediante la mera consulta de los datos por
medio de su visualización, o la indicación de los datos que son objeto de
tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en
forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de
dispositivos mecánicos específicos.
3.- El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado
a intervalos no inferiores a doce meses, salvo que el interesado acredite un
interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes. ”
CUARTO: El artículo 27 del Reglamento de desarrollo de la LOPD, aprobado
por el Real Decreto 1720/2007, de 21 de diciembre (en lo sucesivo RLOPD),
regula el derecho de acceso en los siguientes términos:
"1. El derecho de acceso es el derecho del afectado a obtener información
sobre si sus propios datos de carácter personal están siendo objeto de
tratamiento, la finalidad del tratamiento que, en su caso, se está realizando, así
como la información disponible sobre el origen de dichos datos y las
comunicaciones realizadas o previstas de los mismos.
2. En virtud del derecho de acceso el afectado podrá obtener del responsable
del tratamiento información relativa a datos concretos, a datos incluidos en un
determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.
No obstante, cuando razones de especial complejidad lo justifiquen, el
responsable del fichero podrá solicitar del afectado la especificación de los
ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo
efecto deberá facilitarle una realización una relación de todos ellos.
3. El derecho de acceso es independiente del que otorgan a los afectados las
leyes especiales y en particular la Ley 30/1992, de 26 de noviembre, de
Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común."
QUINTO: El artículo 25 del RLOPD, determina que:
“1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio
de los derechos deberá llevarse a cabo mediante comunicación dirigida al
responsable del fichero, que contendrá:
a) Nombre y apellidos del interesado; fotocopia de su documento nacional de
identidad, o de su pasaporte u otro documento válido que lo identifique y, en su
caso, de la persona que lo represente, o instrumentos electrónicos
equivalentes; así como el documento o instrumento electrónico acreditativo de
tal representación. La utilización de firma electrónica identificativa del afectado
eximirá de la presentación de las fotocopias del DNI o documento equivalente.
Página 244 de 353
El párrafo anterior se entenderá sin perjuicio de la normativa específica
aplicable a la comprobación de datos de identidad por las Administraciones
Públicas en los procedimientos administrativos.
b) Petición en que se concreta la solicitud.
c) Dirección a efectos de notificaciones, fecha y firma del solicitante.
d) Documentos acreditativos de la petición que formula, en su caso.
2. El responsable del tratamiento deberá contestar la solicitud que se le dirija
en todo caso, con independencia de que figuren o no datos personales del
afectado en sus ficheros.
3. En el caso de que la solicitud no reúna los requisitos especificados en el
apartado primero, el responsable del fichero deberá solicitar la subsanación de
los mismos.
4. La respuesta deberá ser conforme con los requisitos previstos para cada
caso en el presente título.
5. Corresponderá al responsable del tratamiento la prueba del cumplimiento del
deber de respuesta al que se refiere el apartado 2, debiendo conservar la
acreditación del cumplimiento del mencionado deber…”
SEXTO: El artículo 29 del RLOPD, dispone lo siguiente:
“1. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo
máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el
plazo sin que de forma expresa se responda a la petición de acceso, el
interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley
Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos
de carácter personal de los afectados deberá igualmente comunicárselo en el
mismo plazo. 2. Si la solicitud fuera estimada y el responsable no acompañase
a su comunicación la información a la que se refiere el artículo 27.1, el acceso
se hará efectivo durante los diez días siguientes a dicha comunicación. 3. La
información que se proporcione, cualquiera que sea el soporte en que fuere
facilitada, se dará en forma legible e inteligible, sin utilizar claves o códigos que
requieran el uso de dispositivos mecánicos específicos.
Dicha información comprenderá todos los datos de base del afectado, los
resultantes de cualquier elaboración o proceso informático, así como la
información disponible sobre el origen de los datos, los cesionarios de los
mismos y la especificación de los concretos usos y finalidades para los que se
almacenaron los datos".
SÉPTIMO: En cuanto a la apertura de un procedimiento sancionador por
supuestas infracciones a la LOPD, cabe señalar que el procedimiento de Tutela
de Derechos al que hace referencia esta norma legal, se inicia siempre a
instancia del afectado para garantizar sus derechos de acceso, rectificación
cancelación y oposición. Por el contrario, el procedimiento sancionador en
materia de protección de datos, que constituye una de las manifestaciones del
“ius puniendi” del Estado, se inicia siempre de oficio por el Director de la
Agencia Española de Protección de Datos, al ser competencia exclusiva de
éste valorar si existen responsabilidades administrativas que deban ser
depuradas. La STS de 6-10-2009 dispone que denunciante no es interesado
pero establece una precisión: "el denunciante de una infracción de la
legislación de protección de datos carece de legitimación activa para impugnar
Página 245 de 353
la resolución de la Agencia en lo que concierne al resultado sancionador mismo
(imposición de una sanción, cuantía de la misma, exculpación, etc.); pero,
llegado el caso, puede tener legitimación activa con respecto a aspectos de la
resolución distintos del específicamente sancionador siempre que, por
supuesto pueda mostrar algún genuino interés digno de tutela."
En el mismo sentido se ha manifestado la SAN 27/5/2010: "quien denuncia
hechos que considera constitutivos de infracción de la legislación de protección
de datos carece de legitimación activa para impugnar en vía jurisdiccional lo
que resuelva la Agencia.(...) La razón es, en sustancia, que el denunciante
carece de la condición de interesado en el procedimiento sancionador que se
puede incoar a resultas de su denuncia. Ni la Ley Orgánica de Protección de
Datos ni su Reglamento de desarrollo le reconocen esa condición.(...) El
argumento crucial en esta materia es que el denunciante, incluso cuando se
considere a si mismo "victima" de la infracción denunciada, no tiene un derecho
subjetivo ni un interés legítimo a que el denunciado sea sancionado".
OCTAVO: En el supuesto aquí analizado, ha quedado acreditado que el
reclamante ejercitó su derecho de acceso ante el responsable del fichero, y
que, conforme a las normas antes señaladas, su solicitud obtuvo la respuesta
legalmente exigible. A pesar de que la entidad reclamada el 3 de julio de 2009
modificó su denominación como consecuencia de un cambio societario,
manifiesta que no tiene datos del reclamante, ni en la actualidad ni antes de
ese cambio. A pesar de que la carta que remitió al reclamante en contestación
a su acceso, era un poco confusa en su redacción, la información relativa a que
no tenían datos suyos estaba clara. Por tanto, la entidad reclamada ha
cumplido con la obligación marcada por la ley para todo responsable del
fichero, ya que a pesar de no tener datos del reclamante, tal y como dispone el
artículo 29.1 del RLOPD anteriormente citado, contesta el acceso del
reclamante poniendo en su conocimiento dicho extremo.
Por todo ello procede desestimar la presente reclamación de tutela de
derechos.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR la reclamación formulada por D. A.A.A. contra la
entidad LEGALIA ABOGADOS, S.L.
SEGUNDO: NOTIFICAR la presente resolución a D. A.A.A. y a la entidad
LEGALIA ABOGADOS, S.L.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
Página 246 de 353
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde
el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 del referido texto legal.
Madrid, 15 de febrero de 2011
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 247 de 353
II. 3. ARCHIVO DE ACTUACIONES
Expediente No: E/00007/2004
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante la entidad M ABOGADOS ASOCIADOS, S.C. en virtud de denuncia
presentada ante la misma por D. A.C.C, Dña. F.R.R, D. A.R.A, D. D.L.S, D.
L.T.G, D. M.M.V, D. M.C.C, D. J.R.P, D. C.K.K, Dña. M.G.G, D. C.B.B, D.
D.L.Py D. J.M.V, y en base a los siguientes,
HECHOS
PRIMERO: Con fecha de 19/11/2003, tuvo entrada en esta Agencia un escrito
de D. A.C.C y Dña. F.R.R en el que ponen de manifiesto que en los Estatutos
de la Asociación de Propietarios Urbanización El Papagayo (en adelante la
Asociación) se establece que se adquiere obligatoriamente la condición de
socio por el hecho de ser propietario de una o varias parcelas de la
urbanización. Los servicios de conexión de agua se gestionan por la citada
Asociación ante la dificultad del Ayuntamiento para asumir dicho servicio.
Cuando solicitaron la conexión de agua tuvieron que facilitar sus datos
personales a la Asociación, la cual los utilizó para darles de alta como
asociados sin su consentimiento. La Asociación no les ha informado de la
inclusión de sus datos personales en ficheros automatizados. Tales ficheros no
han sido inscritos en la Agencia Española de Protección de Datos. La
Asociación ha contratado como administrador a M Abogados Asociados, SC
facilitándole sus datos personales, sin que se cumpla con lo estipulado en el
artículo 12 de la LOPD.
Añaden que el presidente de la Asociación ha enviado una circular informativa
a todos los vecinos y asociados de la urbanización en la que se recogen sus
datos personales y diversas informaciones falsas.
Entre otra documentación, aportan la siguiente: copia de un listado de
facturación de agua y otro de cuotas de asociado en los que figura D. A.C.R;
copia del contrato de fecha 01/09/1995 suscrito entre la Asociación y el bufete
M Abogados Asociados, S.C.; copia de los Estatutos de la Asociación y copia
de una circular informativa de octubre de 2003 emitida por el presidente de la
Asociación en la que se informa, entre otros aspectos, de la demanda
interpuesta contra la Asociación detallando el nombre y apellidos de los
demandantes entre los que se encuentran D. A.C.C y Dña. F.R.R, respecto de
los cuales se cita: “La Sra. F.R.R.
No es asociada, su esposo A.C.C es moroso recalcitrante. En la actualidad
debe 855,02 euros (142.262 pesetas). Lleva 18 meses sin pagar el recibo del
agua y se ha tomado el acuerdo de suspensión del servicio de agua (parcela I9)”.
SEGUNDO: Con fecha 12/12/2003 tuvieron entrada en esta Agencia escritos
de D. C.K.K, D. J.R.P, D. M.C.C, D. M.M.V, D. L.T.G, D. D.L.S, D. A.R.A en los
que se denuncian los mismos hechos que los ya denunciados anteriormente.
Posteriormente, con fechas de 18/12/2003 y 09/01/2004 se recibieron escritos
de Dña. Ma. A.G.G, D. C.C.E y D. D.L.P de contenido similar a los anteriores.
Todos ellos aportan copia de listados de facturación de agua y de cuotas de
asociado, figurando en algunos de ellos manuscrito el literal: “diciembre de
2000”. En dichos listados figuran los citados denunciantes en calidad de
abonados.
Página 248 de 353
Finalmente se recibió con fecha 15/06/2004 escrito de D.J.M.V.G, adjuntando
copia del impreso de “solicitud de prestación de servicios generales en la
Urbanización El Papagayo” que cumplimentó, facilitando sus datos personales
a la Asociación con fecha 01/03/2003.
TERCERO: En respuesta a la información requerida por esta Agencia a M
Abogados Asociados, S.C. (en lo sucesivo M Abogados), remitió en escrito de
fecha de entrada en esta Agencia de 22/04/2004, copia del acta notarial de
17/01/2002 por la que se eleva a público la “Modificación de los Estatutos de la
Asociación de Propietarios de la Urbanización El Papagayo. Aprobados por
Resolución de 8 de enero de 1974” .
Según consta en el artículo 2 de los citados Estatutos, la finalidad de la
Asociación es “la creación de un nuevo núcleo urbano, incluyendo todas
aquellas actividades, sin ánimo de lucro, de carácter urbanístico, cultural
recreativo, deportivo y social que mejoren la calidad de vida en todos sus
ámbitos de los asociados”. Añade que “asimismo, serán fines de la Asociación
la gestión sin ánimo de lucro de los Servicios Generales de la urbanización así
como sus elementos comunes ...”
En el artículo 5 de los citados Estatutos se declara que “la adquisición de la
condición de socio es voluntaria”.
En el artículo 7 de los referidos Estatutos se establece que “Las cuotas para
atender la prestación de los Servicios Generales de la Urbanización, así como
los gastos que anualmente se determinen en presupuesto serán acordados por
la Junta General a propuesta de la Junta de Gobierno y será de obligado pago
para todos los asociados”. Añadiendo el artículo 8 que “Si algún asociado
dejase de pertenecer a la asociación por la pérdida de su calidad de
propietario, o voluntad propia, ésta podrá reclamarles el cumplimiento de las
obligaciones y el pago de los débitos que hubiera podido contraer...”.
CUARTO: Asimismo aportó impresiones de pantalla del fichero de la
Asociación, que acreditan que en dicho fichero figuran los datos personales de
los siguientes denunciantes: D. M.M.V, D. A.R.A, D. D.L.P, Dña. M.G.G, D.
D.L.S, D. J.R.P, D. L.T.G, D. A.C.C, D. C.C.E y D. M.C.C. D. C.K.K y Dña.
F.R.R no son miembros de la Asociación.
La información facilitada por M Abogados no incluye la relativa a los datos que
figuran en el fichero de la Asociación de D. J.M.V al ser la denuncia de éste, de
fecha 15/06/2004, posterior al escrito de información de M Abogados, que tuvo
entrada en esta Agencia el 22/04/2004.
También remitió copia de los impresos de solicitud de los servicios de agua
firmados por D. C.C.E, D. M.C.C y Dña. A.G.G, de fechas 27/03/1999,
05/01/1993 y 30/10/1993, respectivamente. Así como copia de otros modelos
de impreso denominados “Formulario de datos para facilitar a la Agencia
Catalana del agua por propietarios con contador de agua en la urbanización El
Papagayo” firmados por D. M.M.V, D. D.L.S, D. L.T.G, con fechas 19/03/2001,
13/03/2001 y 15/02/2002.
M Abogados comunicó a esta Agencia que D. A.C.C, D. A.R.A, D. J.R.P y D.
D.L.P, entre otros, son propietarios-asociados muy antiguos de la Urbanización
El Papagayo, algunos de más de veinte años que facilitaron sus datos
personales de palabra. Añade que todos pagan y han pagado durante años sus
cuotas como asociados (mantenimiento, agua, etc). Aporta listados de
facturación de agua y mantenimiento de fecha de 20/04/2004 en los que
figuran, entre otros, los datos de las citadas personas.
Página 249 de 353
QUINTO: M Abogados, asimismo, remitió el documento que utiliza en la
actualidad la Asociación para recabar los datos personales de los asociadospropietarios, denominado “solicitud de prestación de servicios generales en la
Urbanización El Papagayo”. Dicho documento contiene los datos identificativos
de la Asociación: domicilio social, CIF y no de registro. En él se informa de los
servicios que presta la Asociación y contiene el siguiente tenor literal: “Los
importes de las cuotas y coste de los servicios, serán los acordados en cada
momento por las Juntas Generales de la Asociación o las Juntas de Gobierno,
en su caso, y el solicitante manifiesta conocer los importes actuales.
Los datos incluidos en esta solicitud, por ser necesarios para el propio fin de la
Entidad, serán incorporados a un fichero titularidad de la Asociación de
Propietarios de la Urbanización El Papagayo; en cumplimiento de la Ley
Orgánica de Protección de Datos Personales, Ud. podrá ejercer sus derechos
de conformidad con la mencionada ley, dirigiendo escrito al domicilio social de
la Entidad junto a fotocopia de su DNI”.
SEXTO: Igualmente, aportó copia del contrato de prestación de servicios
profesionales, de fecha de 19/07/2003, firmado con la Asociación en cuyo
pacto cuarto se recoge lo siguiente: “de los datos de los ficheros de la
Asociación será responsable único la Asociación de Propietarios de la
Urbanización El Papagayo, siendo la sociedad M Abogados Asociados, S.C.
solamente la encargada de su tratamiento, tratando los datos conforme a las
instrucciones del responsable; y de acuerdo con lo dispuesto en el artículo 12
de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal”.
SÉPTIMO: Consta entre la documentación remitida por M abogados, la circular
informativa de octubre de 2003 emitida por el presidente de la Asociación, en la
que se informa entre otros aspectos de la demanda interpuesta contra la
Asociación detallando el nombre y apellidos y parcela de los demandantes,
entre los que se encuentran algunos de los denunciantes y D. A.C.C y Dña.
F.R.R, respecto de los cuales se cita expresamente: “La Sra. F.R.R. No es
asociada, su esposo A.C.C es moroso recalcitrante. En la actualidad debe
855,02 euros (142.262 pesetas). Lleva 18 meses sin pagar el recibo del agua y
se ha tomado el acuerdo de suspensión del servicio de agua (parcela I-9)”
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el articulo 37.d) en relación con el 36,
ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal (en lo sucesivo LOPD).
II
En el presente caso cinco son los motivos de denuncia. En primer lugar, los
denunciantes ponen de manifiesto que la Asociación ha procedido a darles de
alta como asociados sin su consentimiento y que la condición de asociado se
adquiere obligatoriamente por ser propietario de una o varias parcelas de la
urbanización.
El artículo 6.1 de la LOPD señala que “El tratamiento de los datos de carácter
personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley
disponga otra cosa”.
El apartado 2 del mismo artículo añade que “no será preciso el consentimiento
cuando los datos de carácter personal se recojan para el ejercicio de las
Página 250 de 353
funciones propias de las Administraciones Públicas en el ámbito de sus
competencias; cuando se refieran a las partes de un contrato o precontrato de
una relación negocial, laboral o administrativa y sean necesarios para su
mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por
finalidad proteger un interés vital del interesado en los términos del artículo 7,
apartado 6, de la presente Ley, o cuando los datos figuren en fuentes
accesibles al público y su tratamiento sea necesario para la satisfacción del
interés legítimo perseguido por el responsable del fichero o por el del tercero a
quien se comuniquen los datos, siempre que no se vulneren los derechos y
libertades fundamentales del interesado”.
En este caso, consta en los Estatutos de la Asociación que “la adquisición de la
condición de socio es voluntaria” (artículo 5). Entre los fines de la Asociación
figura “la gestión sin ánimo de lucro de los Servicios Generales de la
urbanización así como sus elementos comunes ...”.
M Abogados ha aportado copia de las solicitudes firmadas por D. C.C.E, D.
M.C.C, Dña. A.G.G, D. M.M.V, D. D.L.S y D. L.T.G para la prestación de los
servicios de agua de la Asociación. Si bien no constan las citadas solicitudes
firmadas por D. A.C.C, D. A.R.A, D. J.R.P y D. D.L.P, M Asociados argumenta
que los datos se recogieron verbalmente y ha aportado la documentación
acreditativa de que éstos son socios y utilizan los servicios de la citada
Asociación.
Asimismo, D. J.M.V aportó junto con su escrito de denuncia copia del impreso
que cumplimentó, en fecha 01/03/2003, para solicitar la prestación de los
servicios de la Asociación.
De lo anterior se deriva, que los denunciantes, salvo D. C.K.K y Dña. F.R.R que
no son miembros de la Asociación, cuyos datos figuran en el fichero de la
Asociación, mantienen con la misma una relación jurídica que habilita a la
misma para el tratamiento de sus datos personales, a tenor de los dispuesto en
el artículo 6.2 de la LOPD, al ser necesario el mismo para el mantenimiento y
cumplimiento de la citada relación.
III
En segundo lugar, se denuncia la falta de información en la recogida de datos.
El derecho de los afectados a ser informados en la recogida de datos se regula
en el artículo 5 de la LOPD, en sus apartados 1, 2 y 3 dispone lo siguiente:
“1. Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal,
de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les
sean planteadas.
c) De las consecuencias de la obtención de los datos o de la
negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de
acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección
del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la
Unión Europea y utilice en el tratamiento de datos medios situados en territorio
español, deberá designar, salvo que tales medios se utilicen con fines de
tránsito, un representante en España, sin perjuicio de las acciones que
pudieran emprenderse contra el propio responsable del tratamiento.
Página 251 de 353
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán
en los mismos, en forma claramente legible, las advertencias a que se refiere el
apartado anterior .
3. No será necesaria la información a que se refieren las letras b), c) y d) del
apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los
datos personales que se solicitan o de las circunstancias en que se recaban.”
La LOPD derogó la Ley Orgánica 5/1992, de 29 de octubre, de regulación del
tratamiento automatizado de los datos de carácter personal, a tenor de lo
dispuesto en su disposición derogatoria única, y entró en vigor el 14/01/2000,
de acuerdo con lo estipulado en su disposición final tercera.
En el presente caso se observa que los datos de algunos de los denunciantes
fueron recabados por la Asociación vigente la citada Ley Orgánica 5/1992, que
en su artículo 5.3 excluía de la obligación de informar si ésta se deducía de la
naturaleza de los datos personales que se solicitaban o de las circunstancias
en que se recababan. Concretamente se recabaron, a través de formularios,
los datos de D. M.C.C, Dña. A.G.G y D. C.C.E. En relación con D. A.C.C, D.
A.R.A, D. J.R.P y D. D.L.P, M Asociados informó que algunos son socios muy
antiguos de más de veinte años y que sus datos se recogieron verbalmente.
Por otro lado, los datos de D. M.M.V, D. D.L.S, D. L.T.G y D. J.M.V fueron
recabados después de estar vigente la LOPD, según consta en la información
facilitada por M Abogados y por el propio D. J.M.V. Por último, ha quedado
acreditado que D. C.K.K y Dña. F.R.R no han sido nunca miembros de la
Asociación.
De acuerdo con lo señalado únicamente en los casos de recogida de datos con
posterioridad a la entrada en vigor de la LOPD, que impone en todo caso la
obligación de informar de la existencia de un fichero o tratamiento de datos de
carácter personal, de la
finalidad de la recogida de éstos, de los destinatarios de la información y de la
identidad y dirección del responsable del tratamiento, cabe apreciar una
infracción del artículo 5 de la citada norma, que se encuentra tipificada como
infracción leve en el artículo 44.2.d) de la LOPD que considera infracción de
carácter leve “proceder a la recogida de datos de carácter personal de los
propios afectados sin proporcionarles la información que señala el artículo 5 de
la presente Ley”.
Por otro lado, el artículo 47 de la LOPD establece en sus apartados 1 y 2 lo
siguiente: “1. Las infracciones muy graves prescribirán a los tres años, las
graves a los dos años y las leves al año.
2. El plazo de prescripción comenzará a contarse desde el día en que la
infracción se hubiere cometido”.
Según se desprende de las actuaciones realizadas, los únicos datos recogidos
a partir del 14/01/2000 son los correspondientes a D. M.M.V, D. D.L.S y D.
L.T.G, que se recabaron con fechas 19/03/2001, 13/03/2001 y 15/02/2002,
siendo denunciada la infracción con fecha 12/12/2003, y a D. J.M.V, que se
recabaron con fecha 01/03/2003, siendo denunciada la infracción el
15/06/2004. Así las cosas cuando los citados denunciantes presentaron sus
escritos de denuncia en esta Agencia por la presunta infracción del artículo 5
de la LOPD, la citada infracción se encontraba prescrita, a tenor del citado
artículo 47 de la citada Ley Orgánica.
Página 252 de 353
Desde el punto de vista de la información que la Asociación proporciona en la
actualidad, cabe señalar que consta entre la documentación aportada por M
Abogados a esta Agencia, el documento que utiliza para la recogida de datos.
Dicho documento contiene los datos identificativos de la Asociación: domicilio
social, CIF y no de registro. En dicho documento se relacionan los servicios
que presta la Asociación y contiene el siguiente tenor literal: “Los importes de
las cuotas y coste de los servicios, serán los acordados en cada momento por
las Juntas Generales de la Asociación o las Juntas de Gobierno, en su caso, y
el solicitante manifiesta conocer los importes actuales.
Los datos incluidos en esta solicitud, por ser necesarios para el propio fin de la
Entidad, serán incorporados a un fichero titularidad de la Asociación de
Propietarios de la Urbanización El Papagayo; en cumplimiento de la Ley
Orgánica de Protección de Datos Personales, Ud. podrá ejercer sus derechos
de conformidad con la mencionada ley, dirigiendo escrito al domicilio social de
la Entidad junto a fotocopia de su DNI”.
La información que facilita la Asociación a través del citado documento
comprende la finalidad para la que se van a utilizar los datos de carácter
personal. Así mismo se informa de la existencia de un fichero y de la identidad
y dirección del responsable del fichero, así como de la posibilidad de ejercitar
los derechos reconocidos en la LOPD.
Aunque en dicho documento no se hace expresa referencia al carácter
obligatorio o facultativo de las respuestas a las preguntas planteadas y de las
consecuencias de la obtención de los datos o de la negativa a suministrarlos,
ambas circunstancias se deducen de los datos personales que se solicitan –
nombre y apellidos del propietario, parcela, calle y número, DNI, dirección
postal, población y domiciliación bancaria- y de las circunstancias en que se
recaban: la prestación de los servicios que se relacionan en la propia solicitud.
En consecuencia, la información que se facilita en el aludido documento
contiene las exigencias prevista en el artículo 5 de la LOPD.
IV
El tercer hecho denunciado, consiste en la falta de inscripción en el Registro
General de Protección de Datos de esta Agencia del fichero de la Asociación.
Este hecho fue ya denunciado, con fecha 25/03/2003, por algunos propietarios
de la Urbanización El Papagayo. Con motivo de la citada denuncia se efectuó,
con fecha 25/11/2003, una Inspección en el establecimiento de la Asociación
en la que se comprobó que la Asociación posee un fichero automatizado con
los datos de los asociados que han domiciliado el pago de los recibos de agua
y de las cuotas.
Las responsabilidades por la falta de inscripción de dicho fichero en el Registro
General de Protección de Datos se depuraron en el procedimiento sancionador
no PS/00047/2004 que concluyó mediante resolución no R/00604/2004, de
fecha 04/11/2004, en la que se impuso a la Asociación una multa de 601,01 €
por la infracción del artículo 26 de la LOPD.
El fichero “Gestión” de la Asociación en el que figuran los datos personales de
los asociados fue inscrito en el Registro General de Protección de Datos, con
fecha 28/07/2004.
V
En cuarto lugar, se denuncia a la Asociación por haber contratado como
administrador a M Abogados, sin haberse previsto en el contrato lo estipulado
en el artículo 12 de la LOPD.
Página 253 de 353
El artículo 12, apartados 1, 2 y 3, de la LOPD establece lo siguiente:
“1. No se considerará comunicación de datos el acceso de un tercero a los
datos cuando dicho acceso sea necesario para la prestación de un servicio al
responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada
en un contrato que deberá constar por escrito o en alguna otra forma que
permita acreditar su celebración y contenido, estableciéndose expresamente
que el encargado del tratamiento únicamente tratará los datos conforme a las
instrucciones del responsable del tratamiento, que no los aplicará o utilizará
con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera
para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se
refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado
a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal
deberán ser destruidos o devueltos al responsable del tratamiento, al igual que
cualquier soporte o documentos en que conste algún dato de carácter personal
objeto de tratamiento“.
El artículo 12.1 de la LOPD permite que el responsable del fichero habilite el
acceso material a datos de carácter personal por parte de la entidad que va a
prestarle un servicio – encargado del tratamiento- sin que, por mandato
expreso de la ley, pueda considerarse dicho acceso como una cesión de datos.
Ahora bien, la Ley exige que el contrato figure por escrito o en alguna otra
forma que permita acreditar su celebración y contenido y prevé un contenido
mínimo del contrato entre las partes, en el que deben constar una serie de
requisitos, que se recogen en los apartados 2 y 3 del citado artículo 12.
En el supuesto examinado, la Asociación y M Abogados firmaron, con fecha
19/07/2003, un contrato de prestación de servicios profesionales. En el pacto
cuarto del contrato se recogen las exigencias del artículo 12 de la LOPD al
estipularse que “de los datos de los ficheros de la Asociación será responsable
único la Asociación de Propietarios de la Urbanización El Papagayo, siendo la
sociedad M Abogados Asociados, S.C. solamente la encargada de su
tratamiento, tratando los datos conforme a las instrucciones del responsable; y
de acuerdo con lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal”.
En consecuencia, no se aprecia en este caso vulneración de la LOPD, toda vez
que la comunicación de los datos entre la Asociación y M Abogados se
encuentra amparada por un contrato realizado al amparo del artículo 12 de la
citada Ley Orgánica.
Adicionalmente, procede señalar que la cesión de los datos de los asociados
sin su consentimiento a M Abogados ya fue denunciada por algunos
propietarios de la Urbanización El Papagayo, en la ya mencionada denuncia
presentada ante esta Agencia el 25/03/2003. Esta denuncia motivó la apertura
de las actuaciones de inspección no E/00148/2003, sin que en el procedimiento
sancionador iniciado como consecuencia de las mismas se imputara a la
Asociación ninguna infracción por la cesión de los antedichos datos, al haberse
acreditado durante aquéllas la existencia del contrato de prestación de
servicios profesionales firmado entre la Asociación y M Abogados, tal y como
se recoge en el Antecedente de Hecho Sexto de la resolución no
R/00604/2004, de 4 de noviembre, de esta Agencia.
Página 254 de 353
VI
En quinto y último lugar, se denuncia la incorporación de datos personales de
algunos de los denunciantes a una circular remitida por la Asociación a sus
asociados.
En la circular informativa de octubre de 2003 emitida por el presidente de la
Asociación, se informa a los asociados, entre otros aspectos, de la demanda
interpuesta contra la Asociación detallando el nombre y apellidos y parcela de
los demandantes, entre los que se encuentran algunos de los denunciantes, así
como D. A.C.C y Dña. F.R.R, respecto de los cuales se cita expresamente: “La
Sra. F.R.R. No es asociada, su esposo A.C.C es moroso recalcitrante. En la
actualidad debe 855,02 euros (142.262 pesetas). Lleva 18 meses sin pagar el
recibo del agua y se ha tomado el acuerdo de suspensión del servicio de agua
(parcela I-9)”
El deber de guardar secreto se encuentra previsto en el artículo 10 de la LOPD,
que preceptúa que “el responsable del fichero y quienes intervengan en
cualquier fase del tratamiento de los datos de carácter personal están
obligados al secreto profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el responsable del
mismo.”
Este artículo debe ponerse en relación con el artículo 11 de la LOPD que con
carácter general prohíbe la comunicación de datos a un tercero sin el previo
consentimiento del interesado, salvo en los supuestos exceptuados en el
apartado 2 del mencionado artículo, que establece que “el consentimiento
exigido en el apartado anterior no será preciso: a) cuando la cesión está
autorizada en una Ley (...)”
La Ley Orgánica 1/2002, de 22 de marzo, reguladora del Derecho de
Asociación, reconocido en el artículo 22 de la Constitución Española, establece
en su artículo 21, letra c), el derecho de todos los asociados de ser informados
del estado de cuentas de la Asociación y del desarrollo de su actividad.
En este caso, la Asociación informó a los asociados de la existencia de una
denuncia contra la misma, de cuáles eran las personas denunciantes y del
impago por parte de un determinado asociado de recibos correspondientes al
suministro de agua. Esta información ha de entenderse encuadrada en el
derecho de información que la citada Ley Orgánica reconoce a los asociados y,
por tanto, amparada en el artículo 11.2 a) de la LOPD al contar con habilitación
legal expresa.
Sin embargo, además de la citada información, la Asociación añadió en la
aludida circular que Dña. F.R.R es esposa de D. A.C.C. Este dato podría
considerarse excesivo al amparo de lo previsto en el artículo 4.1 de la LOPD
que determina que “Los datos de carácter personal sólo se podrán recoger
para su tratamiento, así como someterlo a dicho tratamiento, cuando sean
adecuados, pertinentes y no excesivos en relación con el ámbito y las
finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido”. Si bien, ha de tenerse en cuenta que Dña. F.R.R no es miembro de
la Asociación y sus datos personales no figuran en el fichero automatizado de
ésta. Tampoco existe constancia de que hayan sido sometidos a tratamiento
automatizado por parte de la Asociación ni que se encuentren almacenados en
un fichero no automatizado de datos.
Página 255 de 353
A este respecto cabe señalar que, a tenor de lo dispuesto en el artículo 2.1 de
la LOPD, ésta “será de aplicación a los datos de carácter personal registrados
en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad
de uso posterior de estos datos por los sectores público y privado.”
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre
de 1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos, que
transpone la LOPD, estipula en el considerando 15 que “Considerando que los
tratamientos que afectan a dichos datos sólo quedan amparados por la
presente Directiva cuando están automatizados o cuando los datos a que se
refieren se encuentran contenidos o se destinan a encontrarse contenidos en
un archivo estructurado según criterios específicos relativos a las personas, a
fin de que se pueda acceder fácilmente a los datos de carácter personal de que
se trata” y en el considerando 27 se especifica que “Considerando que la
protección de las personas debe aplicarse tanto al tratamiento automático de
datos como a su tratamiento manual; que el alcance de esta protección no
debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría
lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al
tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se
aplica a las carpetas que no están estructuradas; que, en particular, el
contenido de un fichero debe estructurarse conforme a criterios específicos
relativos a las personas, que permitan acceder fácilmente a los datos
personales; que, de conformidad con la definición que recoge la letra c) del
artículo 2, los distintos criterios que permiten determinar los elementos de un
conjunto estructurado de datos de carácter personal y los distintos criterios que
regulan el acceso a dicho conjunto de datos pueden ser definidos por cada
Estado miembro; que, las carpetas y conjuntos de carpetas, así como sus
portadas, que no estén estructuradas conforme a criterios específicos no están
comprendidas en ningún caso en el ámbito de aplicación de la presente
Directiva;”
En el artículo 2.c) de la citada Directiva se define “fichero de datos personales"
como: “todo conjunto estructurado de datos personales, accesibles con arreglo
a criterios determinados, ya sea centralizado, descentralizado o repartido de
forma funcional o geográfica.” Y el artículo 3.d) de la LOPD considera fichero:
“todo conjunto organizado de datos de carácter personal, cualquiera que fuere
la forma o modalidad de su creación, almacenamiento, organización y acceso.”
Por lo que ha de entenderse que la LOPD no resulta de aplicación a los
tratamientos de datos no automatizados que no se conserven en ficheros
organizados o estructurados de datos.
En el supuesto examinado, los datos de Dña. F.R.R no figuran en ningún
fichero de la Asociación ni han sido sometidos a tratamiento automatizado por
parte de ésta. Únicamente fueron incorporados a la circular informativa de
octubre de 2003 en la que se indicaba que es esposa de D. A.C.C. Dicha
circular se encuentra en formato papel y no constituye un fichero estructurado
de datos personales, por lo que respecto a estos hechos no resulta de
aplicación la LOPD.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
PROCEDER AL ARCHIVO de las presentes actuaciones.
Página 256 de 353
NOTIFICAR la presente Resolución a M ABOGADOS ASOCIADOS, SC, con
domicilio en (C/................) D. A.C.C y Dña F.R.R, con domicilio en
(C/................), D. A.R.A, con domicilio en (C/................), D. L.T.G,
(C/................) D. M.M.V, con domicilio en (C/................) D. M.C.C, con domicilio
en (C/................) D. J.R.P, con domicilio en (C/................) D. C.K.K, con
domicilio en (C/................) Dña. M.G.G, con domicilio en, D. C.B.E, con
domicilio en (C/................), D. D.L.P con domicilio en (C/................), y D. J.M.V,
con domicilio en (C/................)
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 16 de mayo de 2005
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Página 257 de 353
Expediente No: E/00094/2007
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante la entidad Ilustre Colegio de Abogados de Madrid en virtud de
denuncia presentada ante la misma por Da G.G.G. y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 10 de noviembre de 2006, tuvo entrada en esta Agencia
escrito de Da G.G.G. (en lo sucesivo la denunciante) contra el Ilustre Colegio
de Abogados de Madrid (en lo sucesivo ICAM) en el que denuncia al servicio
médico de dicho colegio por haber facilitado a su ex esposo cartas de cargo de
las prestaciones además de un informe médico.
La denunciante es titular de la prestación médica del Servicio Médico del Ilustre
Colegio de Abogados de Madrid. Inició los trámites de divorcio de su esposo en
agosto de 2007, comunicando la baja del mismo en septiembre de 2005 como
beneficiario al Servicio Médico del Colegio de Abogados.
En los trámites del procedimiento matrimonial que se tramitó ante el Juzgado
no 0A de ...... , su ex esposo presentó documentación personal de la
denunciante, relativa a los cargos de las prestaciones del Servicio Médico del
Colegio de Abogados (duplicados de la misma) correspondientes a los dos
últimos trimestres del año 2005.
En su escrito adjunta copia del fax de fecha 22/9/2005 en el que solicitaba la
baja de su ex marido como beneficiario del Servicio Médico del Colegio de
Abogados, copia de la relación de prestaciones del Servicio Médico de fechas
dd/mm/aaaa y dd/mm/aaaa que habría sido aportada en el procedimiento
matrimonial y contestación de fecha 21/3/2006 a la consulta planteada por la
denunciante ante el Servicio Médico del Colegio de Abogados con relación a
los hechos aquí denunciados.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
1. A solicitud de esta Agencia, la denunciante remitió documentación adicional
en escrito con fecha de registro de entrada 22/12/2006, consistente en el
Escrito de
Contestación a la demanda interpuesta por la denunciante, con fecha de
entrada 30/1/2006 en los Juzgados de ......, así como los documentos números
22 y 23 que se citan en esa contestación. El documento número 22 es un
informe médico de fecha 27/2/2005 de asistencia de urgencia a la denunciante
y el documento número 23 consiste en dos listados de prestaciones del
Servicio Médico del Colegio de Abogados de Madrid, uno de fecha dd/mm/aaaa
y el otro de fecha dd/mm/aaaa; ambos figuran dirigidos a la propia denunciante
a su domicilio ubicado en “(C/..............................).
2. En su escrito de fecha de registro de entrada 3/7/2007, el “Cargo 1” del
ICAM realiza las siguientes manifestaciones en su escrito de fecha de registro
de salida 24/5/2007:
- Respecto de los listados de prestaciones del Servicio Médico del Colegio de
fechas dd/mm/aaaa y dd/mm/aaaa que “fueron remitidos por correo ordinario a
Doña G.G.G., quien figuraba como destinataria de los mismos en su calidad o
condición de titular del servicio médico, y con la exclusiva finalidad de
Página 258 de 353
informarle sobre los cargos que le iban a ser girados como consecuencia del
sistema de “copago” implantado por esta Corporación en su servicio médico”.
- Respecto del parte de Asistencia de Urgencia manifiesta que “coincide con el
que en su día remitió el Hospital Montepríncipe de ...... con la factura para su
abono, si bien el código de barras y los números manuscritos que aparecen en
el documento, no aparecen en el documento que el mencionado Hospital envió
a este Colegio, por lo que no se trata de una copia del documento que consta
en esta Corporación”.
- Asimiso en su escrito aporta copia del Documento de Seguridad solicitado por
la Agencia y que se refiere a varios ficheros, entre los que se encuentra del
denominado “PRESTACIONES DE SERVICIO MÉDICO”.
- Mediante escrito con fecha de registro de entrada 18/9/2007, el “Cargo 1” del
ICAM aportó copia del parte de Asistencia de Urgencia del Hospital
Montepríncipe de ....... De la comparación de este documento y del
proporcionado por la denunciante (que habría sido aportado como documento
número 22 en el procedimiento matrimonial), se desprenden las diferencias
antes apuntadas por el “Cargo 1” del ICAM.
FUNDAMENTOS DE DERECHO
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
El artículo 10 de la LOPD establece que: "El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismo y al deber de
guardarlos, obligaciones que subsistirán aún después de finalizar sus
relaciones con el titular del fichero automatizado o, en su caso, con el
responsable del mismo".
Siendo de aplicación al Derecho administrativo sancionador, con matices pero
sin excepciones, los principios inspiradores del orden penal, adquiere plena
virtualidad el principio de presunción de inocencia en el ámbito de la potestad
sancionadora, que desplaza a quien acusa la carga de probar los hechos y su
autoría. En tal sentido, el Tribunal Constitucional, en su sentencia 76/1990, de
26/04, considera que el derecho a la presunción de inocencia comporta “que la
sanción esté basada en actos o medios probatorios de cargo o incriminadotes
de la conducta reprochada; que la carga de la prueba corresponda a quien
acusa, sin que nadie esté obligado a probar su propia inocencia; y que
cualquier insuficiencia en el resultado de las pruebas practicadas, libremente
valorado por el órgano sancionador, debe traducirse en un pronunciamiento
absolutorio”.
En atención a lo expuesto, teniendo en cuenta que no se ha podido acreditar
que el Servicio Médico del Ilustre Colegio de Abogados de Madrid haya
facilitado ninguna información o parte de asistencia médica de Da G.G.G.,
frente a la certeza y concreción exigida en estos supuestos para poder calificar
la conducta como sancionable, debe concluirse que no existe prueba de cargo
suficiente, por lo que procede acordar en archivo del presente expediente.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
Página 259 de 353
PROCEDER AL ARCHIVO de las presentes actuaciones.
NOTIFICAR la presente Resolución a Ilustre Colegio de Abogados de Madrid
con
domicilio en (C/........................................) y a Dña G.G.G. con domicilio en
(C/.........................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 12 de febrero de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 260 de 353
Expediente No: E/00416/2007
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante el COLEGIO DE ABOGADOS DE MADRID, DON E.E.E. y DON
J.J.J., en virtud de denuncia presentada ante la misma por DOÑA M.M.M. y en
base a los siguientes,
HECHOS
PRIMERO: Con fecha 6 de febrero de 2007, tuvo entrada en esta Agencia
escrito de Doña M.M.M. (en lo sucesivo la denunciante), en el que denuncia al
Colegio de Abogados de Madrid, por haber facilitado sus datos personales
relativos a una cuenta bancaria y a su número de mutualista que fueron
presentados por Don E.E.E. y Don J.J.J. en un procedimiento judicial.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
1. De la información facilitada por el Colegio de Abogados de Madrid se
desprende lo siguiente:
- El Juzgado de Primera Instancia no 0A de ...... en el
procedimiento de ejecución de títulos judiciales no xxx/xxxx, dirigió un
requerimiento al Colegio, con fecha 16 de febrero de 2006, para que informase
sobre el número de cuenta bancaria de la letrada Doña M.M.M. donde tuviese
domiciliados los pagos de las obligaciones colegiales, solicitud que fue
cumplimentada con fecha 7 de marzo de 2006.
- En ningún momento facilitó información a Don E.E.E. ni a Don
L.L.L.. Tampoco se facilitó el número de mutualista, únicamente los datos
relativos a la cuenta bancaria solicitados por el Juzgado.
- Con fecha 5 de julio de 2007, el Colegio de Abogados de Madrid
presentó Auto de sobreseimiento y archivo dictado por el Juzgado de
Instrucción no 0B de ...... , del procedimiento abreviado yyyy/yyyy, relativo a la
denuncia presentada por Doña M.M.M. contra el Colegio de Abogados de
Madrid, y contra Don E.E.E. y Don J.J.J. por estos mismos hechos.
2. De la información facilitada por el Don E.E.E. se desprende lo siguiente:
- “De conformidad con los artículos 6.1 y 11.2 d) de la LOPD,
invocados al principio, así como del artículo 24 CE y art. 590 LEC, el
tratamiento de los datos personales de la denunciante relativos al número de
cuenta bancaria y al número de mutualista, no requerían consentimiento alguno
para obtenerlos y tratarlos, pues por un lado, el destinatario de los mismos era
un Juzgado y por otra la LEC autoriza a los Juzgados a recabar datos
patrimoniales del ejecutado en un procedimiento judicial”.
- Aportó copia del Auto del Juzgado de Primera Instancia no 0C
de ...... de fecha 16 de febrero de 2006, en el que se recoge lo siguiente: “En
cuanto a la investigación del patrimonio del ejecutado, líbrese oficio a la Oficina
de Averiguación Patrimonial, al Colegio de Abogados, a la Mutualidad de
Abogacía, a la TGSS y a la Agencia Tributaria”.
- Asimismo aportó copia igual a la presentada por el Colegio de
Abogados en el escrito citado anteriormente, donde consta el número de
cuenta bancaria y que fue presentado en el Juzgado y copia del escrito
Página 261 de 353
presentado en el Juzgado por la Mutualidad donde consta el número de
Mutualista.
3. De la información facilitada por D. J.J.J. se desprende lo siguiente:
- “Los datos del número de cuenta bancaria y del número de Mutualista le
fueron traslados por el propio Juzgado de Primera Instancia no 0A de ...... , a
través de las resoluciones de fecha 9 y 21 de marzo de 2006, en el
procedimiento de ejecución de títulos judiciales xxx/xxxx, dimanante del
procedimiento ordinario 418/2001. Estas resoluciones adjuntaban sendas
contestaciones del Colegio de Abogados y de la Mutualidad General de la
Abogacía en respuesta a los oficios remitidos por el mencionado Juzgado”.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
“El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero o,
en su caso, con el responsable del mismo.”
El deber de secreto comporta, tal y como dispone el precepto transcrito, el
deber de guardar los datos personales objeto de tratamiento. Las obligaciones
de secreto profesional y guarda y custodia de los datos que dispone el citado
artículo 10 de la LOPD, suponen una garantía de que la información registrada
no transfiera el ámbito del responsable del fichero y que el titular de dichos
datos encuentre asegurada su intimidad. Es decir, se exige una
confidencialidad absoluta de los datos tratados.
Este deber de sigilo resulta esencial en las sociedades actuales cada vez más
complejas, en las que los avances de la técnica sitúan a la persona en zonas
de riesgo para la protección de derechos fundamentales, como la intimidad o el
derecho a la protección de los datos que recoge el artículo 18.4 de la
Constitución Española. En efecto, este precepto contiene un “instituto de
garantía de los derechos de los ciudadanos que, además, es en sí mismo un
derecho o libertad fundamental, el derecho a la libertad frente a las potenciales
agresiones a la dignidad y a la libertad de la persona provenientes de un uso
ilegítimo del tratamiento mecanizado de datos” (Sentencia Tribunal
Constitucional 292/2000). Este derecho fundamental a la protección de datos
persigue garantizar a esa persona un poder de control sobre sus datos
personales, sobre su uso y destino que impida que se produzcan situaciones
atentatorias con la dignidad de la persona, es decir, el poder de resguardar su
vida privada de una publicidad no querida.
III
El artículo 11 de la LOPD regula la comunicación de datos, estableciendo en
sus apartados 1 y 2:
“1. Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el
previo consentimiento del interesado.
Página 262 de 353
2. El consentimiento exigido en el apartado anterior no será preciso:
El artículo 10 de la LOPD dispone:
c) Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros. En
este caso la comunicación sólo será legítima en cuanto se limite a la finalidad
que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será
preciso el consentimiento cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por
objeto el tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o
para realizar los estudios epidemiológicos en los términos establecidos en la
legislación sobre sanidad estatal o autonómica.”
En el presente caso, el tratamiento de los datos de la denunciante se realizó
por el Colegio de Abogados de Madrid a solicitud de un requerimiento del
Juzgado de Primera Instancia no 0A de ...... , por lo que, en este caso, surgiría
una colisión entre dos derechos fundamentales. Por un lado, el derecho a la
protección de datos de carácter personal, derivado del artículo 18 de la
Constitución y consagrado como derecho autónomo e informador del texto
constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de
noviembre, y, por otro, el derecho a la tutela judicial efectiva de los jueces y
tribunales, contenido en el artículo 24 de la Constitución, lo que implica para su
efectividad la asistencia letrada y representación procesal. En el supuesto
examinado, se produce una colisión conexa con el derecho al secreto
profesional tutelado en el artículo 24.2 de la Norma Fundamental.
Para resolver esta cuestión, debe indicarse que, en primer lugar, la propia
LOPD permite establecer los límites para la exigencia del consentimiento, dado
que su artículo 6.1 exige, como regla general, el consentimiento para el
tratamiento de los datos "salvo que la Ley disponga otra cosa".
A la vista de este precepto, el legislador ha creado un sistema en que el
derecho a la protección de datos de carácter personal cede en aquellos
supuestos en que el propio legislador (constitucional u ordinario) haya
considerado la existencia de motivos razonados y fundados que justifiquen la
necesidad del tratamiento de los datos, incorporando dichos supuestos a
normas de, al menos, el mismo rango que la que regula la materia protegida.
a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
En efecto, la exigibilidad del consentimiento del oponente para el tratamiento
de sus datos supondría dejar a disposición de aquél el almacenamiento de la
información necesaria para que el denunciante pueda ejercer, en plenitud, su
derecho a la tutela judicial efectiva. Así, la falta de estos datos o su
comunicación a la contraparte, puede implicar, lógicamente, una merma en la
posibilidad de aportación por el interesado de "los medios de prueba
Página 263 de 353
pertinentes para su defensa", vulnerándose otra de las garantías derivadas del
citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el
pleno desenvolvimiento de este derecho.
Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por
todas, Sentencia 186/2000, de 10 de julio) "el derecho a la intimidad no es
absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo
ceder ante intereses constitucionalmente relevantes, siempre que el recorte
que aquél haya de experimentar se revele como necesario para lograr el fin
legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea
respetuoso con el contenido esencial del derecho".
Pues bien, aplicando la doctrina antedicha al supuesto concreto, debe darse
prevalencia al derecho consagrado por el artículo 24 de la Constitución, que
garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales, en
los término expuestos.
Asimismo, a mayor abundamiento, el citado artículo 11.2.d) de la LOPD señala
que: “El consentimiento exigido en el apartado anterior no será preciso: Cuando
la comunicación que deba efectuarse tenga por destinatario al Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas,
en el ejercicio de las funciones que tienen atribuidas”.
Por tanto, desde ambos puntos de vista, del artículo 24 de la Constitución
Española y del artículo 11.2.d) de la LOPD, el Colegio de Abogados de Madrid
estaba habilitado para ceder la documentación que contenía datos de carácter
personal de la denunciante al Juzgado de Primera Instancia no 0C de ......
IV
En el presente caso, ha quedado acreditado que el Colegio de Abogados de
Madrid facilitó datos relativos a la denunciante en el transcurso de un
procedimiento judicial, a requerimiento del Juzgado, es decir en el ejercicio de
la tutela judicial efectiva. Por tanto, estaba habilitado para ceder la
documentación que contenía datos de carácter personal de la denunciante al
Juzgado de Primera Instancia no 0C de ....., por lo que no cabe apreciar que se
haya producido la vulneración de los artículos 10 y 11 de la LOPD.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
2. NOTIFICAR la presente Resolución al COLEGIO DE ABOGADOS DE
MADRID,
(C/.....................................),
a
DON
E.E.E.,
(C/....................................), a DON J.J.J., (C/....................................), y a DOÑA
M.M.M., (C/....................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
Página 264 de 353
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 6 de noviembre de 2007
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 265 de 353
Expediente No: E/01143/2006
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante DÑA. B.B.B., en virtud de denuncia presentada ante la misma por el
Policía Local CONCELLO DE OURENSE (POLICÍA LOCAL), y en base a los
siguientes,
HECHOS
PRIMERO: Con fecha 6/10/2006, tuvo entrada en esta Agencia un escrito
remitido mediante correo electrónico procedente del Concello de Ourense, en
el que su Policía Local informa que el día 4/10/2006 pudieron acceder a través
de la aplicación de archivos compartidos “e- mule” a la descarga de un archivo
con formato “acces”, que bajo el nombre “Gestión de expedientes.mdb”, y con
un tamaño de 8,53 MB, recoge en un listado, una relación de 32 clientes de un
Abogado de X & X (.........), siendo la dirección IP desde la que se comparte
dicho listado, la ########, asociada al nick ”(...Z...)”. Se aporta por la Policía
Local dos hojas en las que por una cara se aprecian 32 nombres y apellidos
con su NIF, número de teléfono, fax y dirección. Además de dicha relación, se
acompañan 5 páginas referidas a “Listado de expedientes”, que contiene del 1
al 25, el nombre y apellidos de los que figuran en los listados “acces”, y en una
página diferente titulada “Minuta de honorarios”, figura el nombre de un
abogado, D. P.P.P., y su dirección y teléfono, en la localidad de (.........).
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
1. Los Servicios de Inspección requirieron a la entidad gestora de la dirección
IP ########, France Telecom, que informara a quien correspondía dicha
dirección en el día 4/10/2006 entre las 12 y las 16 horas, contestándose el
19/03/2007, que entre el 2 y el 5/10/2006, dicha dirección estuvo asignada a la
línea ***********, titularidad de D. A.A.A., aportándose su domicilio y NIF y
agregando que es cliente desde 14/04/2005.
2. Los Servicios de Inspección se pusieron en contacto con el teléfono que
figuraba en la hoja “Minuta de honorarios”, practicando una diligencia el
16/10/2007 en la que consta que entablaron conversación con Dña. B.B.B., que
manifestó que el Sr. P.P.P. era su marido y falleció el dd/mm/aaaa, que ejerció
la Abogacía ante el Ilustre Colegio de Abogados de (.........) hasta aquella
fecha, que a su fallecimiento se dio de baja la línea de acceso a Internet de la
que disponía, y que se conserva parte de la documentación referida a la labor
profesional de su marido, sin que se hayan traspasado soportes informáticos ni
documentación relativa al ejercicio de su labor como abogado a ningún otro
profesional.
3. Con fecha 31/10/2007, se informa por parte del Ilustre Colegio de Abogados
de (.........) que el Sr. P.P.P. figuró como ejerciente inscrito en dicha sede desde
10/01/2000, hasta dd/mm/aaaa, habiéndose reconocido por la Mutualidad
General de la Abogacía Española el auxilio y el subsidio por defunción en fecha
12/01 y 13/02/2006, respectivamente.
FUNDAMENTOS DE DERECHO
I
Página 266 de 353
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento,
deberán adoptar las medidas de índole técnica y organizativas necesarias que
garanticen la seguridad de los datos de carácter personal y eviten su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las
condiciones que se determinen por vía reglamentaria con respecto a su
integridad y seguridad y a las de los centros de tratamiento, locales, equipos,
sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban
reunir los ficheros y las personas que intervengan en el tratamiento de los
datos a que se refiere el artículo 7 de esta Ley.”
III
El artículo 10 de la LOPD señala:
“El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero o,
en su caso, con el responsable del mismo.”
IV
El artículo 43.1 de la LOPD señala:
“1. Los responsables de los ficheros y los
encargados de los tratamientos estarán
sujetos al régimen sancionador establecido en la presente Ley.”
El artículo 9 de la LOPD señala:
V
El artículo 130 de la Ley 30/1992, de 26/11, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común, señala_
“1. Sólo podrán ser sancionadas por hechos constitutivos de infracción
administrativa las personas físicas y jurídicas que resulten responsables de los
mismos aun a título de simple inobservancia.”
VI
De las actuaciones practicadas no se ha determinado que los ficheros hallados
en la aplicación e-mule relativos a los clientes del abogado D. P.P.P. sea
constitutiva de infracción a la LOPD, toda vez que dicho profesional falleció en
octubre 2005 y no consta que sus ficheros hayan sido cedidos a algún otro
profesional. La propia naturaleza de los archivos utilizados en aplicaciones
compartidas como el e-mule hacen posible potencialmente su extensión a
cualquier persona, y en el presente caso, así parece haber sucedido con el
usuario de la dirección IP ########. Por ello, procede el archivo de las
presentes actuaciones al no poder derivarse responsabilidad por las
infracciones cometidas y desconocerse la identidad de la persona que ha
insertado en e-mule los datos de referencia, sin que pueda deducirse, en
consecuencia su eventual responsabilidad.
Por lo tanto, de acuerdo con lo señalado,
Página 267 de 353
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
2. NOTIFICAR la presente Resolución a DÑA. B.B.B., con domicilio en
(C/........................................) y al CONCELLO DE OURENSE, con domicilio en
Pza. San Martín, 1 - 32005 OURENSE (Ourense)
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 9 de enero de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 268 de 353
Expediente No: E/00094/2007
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante la entidad Ilustre Colegio de Abogados de Madrid en virtud de
denuncia presentada ante la misma por Da G.G.G. y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 10 de noviembre de 2006, tuvo entrada en esta Agencia
escrito de Da G.G.G. (en lo sucesivo la denunciante) contra el Ilustre Colegio
de Abogados de Madrid (en lo sucesivo ICAM) en el que denuncia al servicio
médico de dicho colegio por haber facilitado a su ex esposo cartas de cargo de
las prestaciones además de un informe médico.
La denunciante es titular de la prestación médica del Servicio Médico del Ilustre
Colegio de Abogados de Madrid. Inició los trámites de divorcio de su esposo en
agosto de 2007, comunicando la baja del mismo en septiembre de 2005 como
beneficiario al Servicio Médico del Colegio de Abogados.
En los trámites del procedimiento matrimonial que se tramitó ante el Juzgado
no 0A de ...... , su ex esposo presentó documentación personal de la
denunciante, relativa a los cargos de las prestaciones del Servicio Médico del
Colegio de Abogados (duplicados de la misma) correspondientes a los dos
últimos trimestres del año 2005.
En su escrito adjunta copia del fax de fecha 22/9/2005 en el que solicitaba la
baja de su ex marido como beneficiario del Servicio Médico del Colegio de
Abogados, copia de la relación de prestaciones del Servicio Médico de fechas
dd/mm/aaaa y dd/mm/aaaa que habría sido aportada en el procedimiento
matrimonial y contestación de fecha 21/3/2006 a la consulta planteada por la
denunciante ante el Servicio Médico del Colegio de Abogados con relación a
los hechos aquí denunciados.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
1. A solicitud de esta Agencia, la denunciante remitió documentación adicional
en escrito con fecha de registro de entrada 22/12/2006, consistente en el
Escrito de
Contestación a la demanda interpuesta por la denunciante, con fecha de
entrada 30/1/2006 en los Juzgados de ......, así como los documentos números
22 y 23 que se citan en esa contestación. El documento número 22 es un
informe médico de fecha 27/2/2005 de asistencia de urgencia a la denunciante
y el documento número 23 consiste en dos listados de prestaciones del
Servicio Médico del Colegio de Abogados de Madrid, uno de fecha dd/mm/aaaa
y el otro de fecha dd/mm/aaaa; ambos figuran dirigidos a la propia denunciante
a su domicilio ubicado en “(C/..............................).
2. En su escrito de fecha de registro de entrada 3/7/2007, el “Cargo 1” del
ICAM realiza las siguientes manifestaciones en su escrito de fecha de registro
de salida 24/5/2007:
- Respecto de los listados de prestaciones del Servicio Médico del Colegio de
fechas dd/mm/aaaa y dd/mm/aaaa que “fueron remitidos por correo ordinario a
Doña G.G.G., quien figuraba como destinataria de los mismos en su calidad o
condición de titular del servicio médico, y con la exclusiva finalidad de
Página 269 de 353
informarle sobre los cargos que le iban a ser girados como consecuencia del
sistema de “copago” implantado por esta Corporación en su servicio médico”.
- Respecto del parte de Asistencia de Urgencia manifiesta que “coincide con el
que en su día remitió el Hospital Montepríncipe de ...... con la factura para su
abono, si bien el código de barras y los números manuscritos que aparecen en
el documento, no aparecen en el documento que el mencionado Hospital envió
a este Colegio, por lo que no se trata de una copia del documento que consta
en esta Corporación”.
- Asimiso en su escrito aporta copia del Documento de Seguridad solicitado por
la Agencia y que se refiere a varios ficheros, entre los que se encuentra del
denominado “PRESTACIONES DE SERVICIO MÉDICO”.
- Mediante escrito con fecha de registro de entrada 18/9/2007, el “Cargo 1” del
ICAM aportó copia del parte de Asistencia de Urgencia del Hospital
Montepríncipe de ....... De la comparación de este documento y del
proporcionado por la denunciante (que habría sido aportado como documento
número 22 en el procedimiento matrimonial), se desprenden las diferencias
antes apuntadas por el “Cargo 1” del ICAM.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
El artículo 10 de la LOPD establece que: "El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismo y al deber de
guardarlos, obligaciones que subsistirán aún después de finalizar sus
relaciones con el titular del fichero automatizado o, en su caso, con el
responsable del mismo".
Siendo de aplicación al Derecho administrativo sancionador, con matices pero
sin excepciones, los principios inspiradores del orden penal, adquiere plena
virtualidad el principio de presunción de inocencia en el ámbito de la potestad
sancionadora, que desplaza a quien acusa la carga de probar los hechos y su
autoría. En tal sentido, el Tribunal Constitucional, en su sentencia 76/1990, de
26/04, considera que el derecho a la presunción de inocencia comporta “que la
sanción esté basada en actos o medios probatorios de cargo o incriminadotes
de la conducta reprochada; que la carga de la prueba corresponda a quien
acusa, sin que nadie esté obligado a probar su propia inocencia; y que
cualquier insuficiencia en el resultado de las pruebas practicadas, libremente
valorado por el órgano sancionador, debe traducirse en un pronunciamiento
absolutorio”.
En atención a lo expuesto, teniendo en cuenta que no se ha podido acreditar
que el Servicio Médico del Ilustre Colegio de Abogados de Madrid haya
facilitado ninguna información o parte de asistencia médica de Da G.G.G.,
frente a la certeza y concreción exigida en estos supuestos para poder calificar
la conducta como sancionable, debe concluirse que no existe prueba de cargo
suficiente, por lo que procede acordar en archivo del presente expediente.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
Página 270 de 353
SE ACUERDA:
PROCEDER AL ARCHIVO de las presentes actuaciones.
NOTIFICAR la presente Resolución a Ilustre Colegio de Abogados de Madrid
con
domicilio en (C/........................................) y a Dña G.G.G. con domicilio en
(C/.........................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 12 de febrero de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 271 de 353
Expediente No: E/01403/2007
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante BUFETE T. & ASSOCIATS, S.A. en virtud de denuncia presentada
ante la misma por D. R.R.R. y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 19/07/07, tuvo entrada en esta Agencia escrito de D.
R.R.R. (en lo sucesivo el denunciante) en el que manifiesta que el Despacho
de Abogados BUFETE T. & ASSOCIATS, S.A. (en lo sucesivo T. &
ASSOCIATS), a través de dos de sus abogadas, solicitaron a la Junta de
Gobierno del Ilustre Colegio de Abogados de (........) el levantamiento de
secreto profesional con la finalidad de reclamar en vía judicial por medio de la
correspondiente demanda civil las cantidades devengadas, por parte de su
cliente, en concepto de honorarios por actuación letrada del citado despacho.
Con fecha de 24/05/27 habría recibido notificación de la Resolución de la Junta
de Gobierno del Colegio de Abogados con relación a la mencionada solicitud
levantado el secreto profesional a las letradas de T. & ASSOCIATS y
autorizándolas a utilizar determinados documentos para la reclamación judicial
de sus honorarios. Con fecha de 23/05/07 T. & ASSOCIATS presentó escrito
de demanda de juicio ordinario reclamando honorarios profesionales, demanda
a la que se acompañarían los citado documentos en los que figuran datos
personales del denunciante.
Adjuntó a su escrito los siguientes documentos:
 Testimonio de la Resolución de fecha 23/04/07 emitida por la Junta de
Gobierno del Colegio de Abogados de (........).
 Diligencia de presentación de fecha 13/06/07 de la demanda interpuesta por
T. & ASSOCIATS.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
1. En la Resolución de fecha 23/04/07 de la Junta de Gobierno del Colegio de
Abogados de (........), figura en el antecedente de hecho primero la relación de
los cinco documentos de los que el T. & ASSOCIATS solicita el levantamiento
del secreto profesional. En esa Resolución se acuerda el levantamiento del
secreto profesional de dicha documentación, señalando que “exclusivamente
para el procedimiento ordinario que se pretende ante el Juzgado Decano de
(........), y únicamente en todo aquello que resulte necesario para la defensa de
sus intereses para reclamación de sus honorarios profesionales contra D.
P.P.P.”.
2. Con fecha 23/05/07 T. & ASSOCIATS presentó demanda de juicio ordinario
contra D. P.P.P., solicitando se dictara sentencia por la que se le condene a
abonar a T. & ASSOCIATS la cantidad que le adeuda en concepto de
honorarios de abogado y repercusión de gastos. Se adjuntaron, a la demanda,
entre otros, los documentos aludidos en la Resolución de la Junta de Gobierno
del Colegio de Abogados de (........).
FUNDAMENTOS DE DERECHO
I
Página 272 de 353
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
El artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter personal establece: "El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismo y al deber de
guardarlos, obligaciones que subsistirán aún después de finalizar sus
relaciones con el titular del fichero automatizado o, en su caso, con el
responsable del mismo".
III
El deber de secreto profesional que incumbe a los responsables de los ficheros
y a quienes intervienen en cualquier fase del tratamiento, recogido en el
artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable de los
datos almacenados o tratados no pueda revelar ni dar a conocer su contenido
teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de
finalizar sus relaciones con el titular del fichero o, en su caso, con el
responsable del mismo”. Este deber es una exigencia elemental y anterior al
propio reconocimiento del derecho fundamental a la libertad informática a que
se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos
personales no pueden ser conocidos por ninguna persona o entidad ajena
fuera de los casos autorizados por la Ley, pues en eso consiste precisamente
el secreto.
Este deber de sigilo resulta esencial en las sociedades actuales cada vez más
complejas, en las que los avances de la técnica sitúan a la persona en zonas
de riego para la protección de derechos fundamentales, como la intimidad o el
derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En
efecto, este precepto contiene un “instituto de garantía de los derechos de los
ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el
derecho a la libertad frente a las potenciales agresiones a la dignidad y a la
libertad de la persona provenientes de un uso ilegítimo del tratamiento
mecanizado de datos” (STC 292/2000). Este derecho fundamental a la
protección de datos persigue garantizar a esa persona un poder de control
sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida
que se produzcan situaciones atentatorias con la dignidad de la persona, es
decir, el poder de resguardar su vida privada de una publicidad no querida.
IV
Entrando en el fondo de los hechos denunciados, esto es, sí la presentación de
documentos (carta, correo electrónico y faxes) remitidos por el denunciante a T.
& ASSOCIATS a efectos probatorios en la demanda de juicio ordinario
planteada por T. & ASSOCIATS vulnera el secreto profesional y la intimidad del
denunciante, se plantea una colisión entre dos derechos fundamentales: el
derecho a la protección de datos de carácter personal, derivado del artículo 18
de la Constitución y consagrado como derecho autónomo e informador del
texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de
30 de noviembre, por un lado; y el derecho a la tutela judicial efectiva de los
jueces y tribunales, contenido en el artículo 24 de la Constitución, lo que
implica para su efectividad la asistencia letrada y representación procesal.
Página 273 de 353
Como ha dicho el Tribunal Constitucional, este derecho “comporta de forma
esencial el que el interesado pueda encomendar su representación y
asesoramiento técnico a quién merezca su confianza y considere mas
adecuado para instrumentar su propia defensa”. En el supuesto examinado, se
produce una colisión conexa con el derecho al secreto profesional tutelado en
el artículo 24.2 de la Norma Fundamental.
Para resolver esta cuestión, debe indicarse que, en primer lugar, la propia Ley
Orgánica 15/1999 permite establecer los límites para la exigencia del
consentimiento, dado que su artículo 6.1 exige, como regla general, el
consentimiento para el tratamiento de los datos "salvo que la Ley disponga otra
cosa". (No olvidemos que el tratamiento de datos, de acuerdo con la definición
recogida en el artículo 3.c) de la LOPD también puede suponer la cesión de los
datos)
A la vista de este precepto, el legislador ha creado un sistema en que el
derecho a la protección de datos de carácter personal cede en aquellos
supuestos en que el propio legislador (constitucional u ordinario) haya
considerado la existencia de motivos razonados y fundados que justifiquen la
necesidad del tratamiento de los datos, incorporando dichos supuestos a
normas de, al menos, el mismo rango que la que regula la materia protegida.
En efecto, la exigibilidad del consentimiento del denunciante para el tratamiento
de sus datos supondría dejar a disposición de aquél el almacenamiento de la
información necesaria para que el denunciado pueda ejercer, en plenitud, su
derecho a la tutela judicial efectiva. Así, la falta de estos datos o su
comunicación a la contraparte, puede implicar, lógicamente, una merma en la
posibilidad de aportación por el interesado de "los medios de prueba
pertinentes para su defensa", vulnerándose otra de las garantías derivadas del
citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el
pleno desenvolvimiento de este derecho.
Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por
todas, STC 186/2000, de 10 de julio, con cita de otras muchas) "el derecho a la
intimidad no es absoluto, como no lo es ninguno de los derechos
fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes,
siempre que el recorte que aquél haya de experimentar se revele como
necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y,
en todo caso, sea respetuoso con el contenido esencial del derecho".
Pues bien, aplicando la doctrina antedicha al supuesto concreto, debería darse
una prevalencia al derecho consagrado por el artículo 24 de la Constitución,
que garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales,
en los término expuestos.
Por todo ello, si bien ninguna disposición con rango de Ley establece
expresamente la posibilidad del tratamiento por abogados de los datos
referidos al oponente de su cliente y su representante legal en el seno de un
determinado proceso judicial, es evidente que dicha posibilidad trae causa
directa de una norma de rango constitucional, reguladora además de uno de
los derechos fundamentales y libertades públicas consagrados por la
Constitución, y desarrollado por las leyes reguladoras de cada uno de los
Órdenes Jurisdiccionales, en los preceptos referidos a la representación y
defensa de las partes, por lo que existirá, desde el punto de vista de esta
Agencia, una habilitación legal para el tratamiento de los datos, que trae su
cobertura del propio artículo 24 de la Constitución y sus normas de desarrollo,
Página 274 de 353
así como, en lo que respecta al deber de guardar secreto, en el artículo 24.2 de
la C.E. y artículos 437.2 y 438.2 de la citada Ley Orgánica 6/1985 del Poder
Judicial.
V
Dicho esto, deberá analizarse si el abogado se encuentra obligado, por
imperativo del artículo 5.4 de la Ley Orgánica, a informar al oponente y al
representante legal de su cliente de la existencia de un fichero o tratamiento, su
responsable, su finalidad, la posibilidad que los afectados ejerciten los
derechos que la Ley les atribuye y los destinatarios de los datos, dada la
concurrencia entre el derecho del cliente a obtener la adecuada asistencia de
letrado y, en definitiva, a ver satisfecha la tutela judicial efectiva, consagrada
por el artículo 24 de la Constitución, y del oponente a la protección de sus
datos de carácter personal, lo que supondrá el cumplimiento del citado deber
de información.
Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por
todas, STC 186/2000, de 10 de julio, con cita de otras muchas) "el derecho a la
intimidad no es absoluto, como no lo es ninguno de los derechos
fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes,
siempre que el recorte que aquél haya de experimentar se revele como
necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y,
en todo caso, sea respetuoso con el contenido esencial del derecho".
Pues bien, aplicando la doctrina antedicha al supuesto concreto, y sin perjuicio
de lo que, en su caso, manifestare en el futuro el Tribunal Constitucional,
procederá ponderar en qué caso la limitación del ejercicio de uno de los
derechos en conflicto puede producir una mayor merma de los derechos de la
otra parte o, en su caso, las medidas que permitirán mitigar ese potencial
perjuicio.
Siguiendo esta premisa, debería darse una prevalencia al derecho consagrado
por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela
judicial efectiva de jueces y tribunales, en los término expuestos.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
2. NOTIFICAR la presente Resolución al BUFETE T. & ASSOCIATS, S.A. con
domicilio en (C/............................................) y a D. R.R.R. con domicilio en
(C/............................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en el artículo 116 del Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Página 275 de 353
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 12 de junio de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 276 de 353
Expediente No: E/01403/2007
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante BUFETE T. & ASSOCIATS, S.A. en virtud de denuncia presentada
ante la misma por D. R.R.R. y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 19/07/07, tuvo entrada en esta Agencia escrito de D.
R.R.R. (en lo sucesivo el denunciante) en el que manifiesta que el Despacho
de Abogados BUFETE T. & ASSOCIATS, S.A. (en lo sucesivo T. &
ASSOCIATS), a través de dos de sus abogadas, solicitaron a la Junta de
Gobierno del Ilustre Colegio de Abogados de (........) el levantamiento de
secreto profesional con la finalidad de reclamar en vía judicial por medio de la
correspondiente demanda civil las cantidades devengadas, por parte de su
cliente, en concepto de honorarios por actuación letrada del citado despacho.
Con fecha de 24/05/27 habría recibido notificación de la Resolución de la Junta
de Gobierno del Colegio de Abogados con relación a la mencionada solicitud
levantado el secreto profesional a las letradas de T. & ASSOCIATS y
autorizándolas a utilizar determinados documentos para la reclamación judicial
de sus honorarios. Con fecha de 23/05/07 T. & ASSOCIATS presentó escrito
de demanda de juicio ordinario reclamando honorarios profesionales, demanda
a la que se acompañarían los citado documentos en los que figuran datos
personales del denunciante.
Adjuntó a su escrito los siguientes documentos:
 Testimonio de la Resolución de fecha 23/04/07 emitida por la Junta de
Gobierno del Colegio de Abogados de (........).
 Diligencia de presentación de fecha 13/06/07 de la demanda interpuesta por
T. & ASSOCIATS.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
1. En la Resolución de fecha 23/04/07 de la Junta de Gobierno del Colegio de
Abogados de (........), figura en el antecedente de hecho primero la relación de
los cinco documentos de los que el T. & ASSOCIATS solicita el levantamiento
del secreto profesional. En esa Resolución se acuerda el levantamiento del
secreto profesional de dicha documentación, señalando que “exclusivamente
para el procedimiento ordinario que se pretende ante el Juzgado Decano de
(........), y únicamente en todo aquello que resulte necesario para la defensa de
sus intereses para reclamación de sus honorarios profesionales contra D.
P.P.P.”.
2. Con fecha 23/05/07 T. & ASSOCIATS presentó demanda de juicio ordinario
contra D. P.P.P., solicitando se dictara sentencia por la que se le condene a
abonar a T. & ASSOCIATS la cantidad que le adeuda en concepto de
honorarios de abogado y repercusión de gastos. Se adjuntaron, a la demanda,
entre otros, los documentos aludidos en la Resolución de la Junta de Gobierno
del Colegio de Abogados de (........).
FUNDAMENTOS DE DERECHO
I
Página 277 de 353
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
El artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter personal establece: "El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismo y al deber de
guardarlos, obligaciones que subsistirán aún después de finalizar sus
relaciones con el titular del fichero automatizado o, en su caso, con el
responsable del mismo".
III
El deber de secreto profesional que incumbe a los responsables de los ficheros
y a quienes intervienen en cualquier fase del tratamiento, recogido en el
artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable de los
datos almacenados o tratados no pueda revelar ni dar a conocer su contenido
teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de
finalizar sus relaciones con el titular del fichero o, en su caso, con el
responsable del mismo”. Este deber es una exigencia elemental y anterior al
propio reconocimiento del derecho fundamental a la libertad informática a que
se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos
personales no pueden ser conocidos por ninguna persona o entidad ajena
fuera de los casos autorizados por la Ley, pues en eso consiste precisamente
el secreto.
Este deber de sigilo resulta esencial en las sociedades actuales cada vez más
complejas, en las que los avances de la técnica sitúan a la persona en zonas
de riego para la protección de derechos fundamentales, como la intimidad o el
derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En
efecto, este precepto contiene un “instituto de garantía de los derechos de los
ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el
derecho a la libertad frente a las potenciales agresiones a la dignidad y a la
libertad de la persona provenientes de un uso ilegítimo del tratamiento
mecanizado de datos” (STC 292/2000). Este derecho fundamental a la
protección de datos
persigue garantizar a esa persona un poder de control sobre sus datos
personales, sobre su uso y destino (STC 292/2000) que impida que se
produzcan situaciones atentatorias con la dignidad de la persona, es decir, el
poder de resguardar su vida privada de una publicidad no querida.
IV
Entrando en el fondo de los hechos denunciados, esto es, sí la presentación de
documentos (carta, correo electrónico y faxes) remitidos por el denunciante a T.
& ASSOCIATS a efectos probatorios en la demanda de juicio ordinario
planteada por T. & ASSOCIATS vulnera el secreto profesional y la intimidad del
denunciante, se plantea una colisión entre dos derechos fundamentales: el
derecho a la protección de datos de carácter personal, derivado del artículo 18
de la Constitución y consagrado como derecho autónomo e informador del
texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de
30 de noviembre, por un lado; y el derecho a la tutela judicial efectiva de los
jueces y tribunales, contenido en el artículo 24 de la Constitución, lo que
Página 278 de 353
implica para su efectividad la asistencia letrada y representación procesal.
Como ha dicho el Tribunal Constitucional, este derecho “comporta de forma
esencial el que el interesado pueda encomendar su representación y
asesoramiento técnico a quién merezca su confianza y considere mas
adecuado para instrumentar su propia defensa”. En el supuesto examinado, se
produce una colisión conexa con el derecho al secreto profesional tutelado en
el artículo 24.2 de la Norma Fundamental.
Para resolver esta cuestión, debe indicarse que, en primer lugar, la propia Ley
Orgánica 15/1999 permite establecer los límites para la exigencia del
consentimiento, dado que su artículo 6.1 exige, como regla general, el
consentimiento para el tratamiento de los datos "salvo que la Ley disponga otra
cosa". (No olvidemos que el tratamiento de datos, de acuerdo con la definición
recogida en el artículo 3.c) de la LOPD también puede suponer la cesión de los
datos)
A la vista de este precepto, el legislador ha creado un sistema en que el
derecho a la protección de datos de carácter personal cede en aquellos
supuestos en que el propio legislador (constitucional u ordinario) haya
considerado la existencia de motivos razonados y fundados que justifiquen la
necesidad del tratamiento de los datos, incorporando dichos supuestos a
normas de, al menos, el mismo rango que la que regula la materia protegida.
En efecto, la exigibilidad del consentimiento del denunciante para el tratamiento
de sus datos supondría dejar a disposición de aquél el almacenamiento de la
información necesaria para que el denunciado pueda ejercer, en plenitud, su
derecho a la tutela judicial efectiva. Así, la falta de estos datos o su
comunicación a la contraparte, puede implicar, lógicamente, una merma en la
posibilidad de aportación por el interesado de "los medios de prueba
pertinentes para su defensa", vulnerándose otra de las garantías derivadas del
citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el
pleno desenvolvimiento de este derecho.
Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por
todas, STC 186/2000, de 10 de julio, con cita de otras muchas) "el derecho a la
intimidad no es absoluto, como no lo es ninguno de los derechos
fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes,
siempre que el recorte que aquél haya de experimentar se revele como
necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y,
en todo caso, sea respetuoso con el contenido esencial del derecho".
Pues bien, aplicando la doctrina antedicha al supuesto concreto, debería darse
una prevalencia al derecho consagrado por el artículo 24 de la Constitución,
que garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales,
en los término expuestos.
Por todo ello, si bien ninguna disposición con rango de Ley establece
expresamente la posibilidad del tratamiento por abogados de los datos
referidos al oponente de su cliente y su representante legal en el seno de un
determinado proceso judicial, es evidente que dicha posibilidad trae causa
directa de una norma de rango constitucional, reguladora además de uno de
los derechos fundamentales y libertades públicas consagrados por la
Constitución, y desarrollado por las leyes reguladoras de cada uno de los
Órdenes Jurisdiccionales, en los preceptos referidos a la representación y
defensa de las partes, por lo que existirá, desde el punto de vista de esta
Agencia, una habilitación legal para el tratamiento de los datos, que trae su
Página 279 de 353
cobertura del propio artículo 24 de la Constitución y sus normas de desarrollo,
así como, en lo que respecta al deber de guardar secreto, en el artículo 24.2 de
la C.E. y artículos 437.2 y 438.2 de la citada Ley Orgánica 6/1985 del Poder
Judicial.
V
Dicho esto, deberá analizarse si el abogado se encuentra obligado, por
imperativo del artículo 5.4 de la Ley Orgánica, a informar al oponente y al
representante legal de su cliente de la existencia de un fichero o tratamiento, su
responsable, su finalidad, la posibilidad que los afectados ejerciten los
derechos que la Ley les atribuye y los destinatarios de los datos, dada la
concurrencia entre el derecho del cliente a obtener la adecuada asistencia de
letrado y, en definitiva, a ver satisfecha la tutela judicial efectiva, consagrada
por el artículo 24 de la Constitución, y del oponente a la protección de sus
datos de carácter personal, lo que supondrá el cumplimiento del citado deber
de información.
Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por
todas, STC 186/2000, de 10 de julio, con cita de otras muchas) "el derecho a la
intimidad no es absoluto, como no lo es ninguno de los derechos
fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes,
siempre que el recorte que aquél haya de experimentar se revele como
necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y,
en todo caso, sea respetuoso con el contenido esencial del derecho".
Pues bien, aplicando la doctrina antedicha al supuesto concreto, y sin perjuicio
de lo que, en su caso, manifestare en el futuro el Tribunal Constitucional,
procederá ponderar en qué caso la limitación del ejercicio de uno de los
derechos en conflicto puede producir una mayor merma de los derechos de la
otra parte o, en su caso, las medidas que permitirán mitigar ese potencial
perjuicio.
Siguiendo esta premisa, debería darse una prevalencia al derecho consagrado
por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela
judicial efectiva de jueces y tribunales, en los término expuestos.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
2. NOTIFICAR la presente Resolución al BUFETE T. & ASSOCIATS, S.A. con
domicilio en (C/............................................) y a D. R.R.R. con domicilio en
(C/............................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en el artículo 116 del Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
Página 280 de 353
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 12 de junio de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 281 de 353
Expediente No: E/01630/2007
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante D. G.G.G. y el ILUSTRIE COLEGIO DE ABOGADOS DE SEVILLA,
en virtud de denuncia presentada ante la misma por D. M.M.M. y en base a los
siguientes,
HECHOS
PRIMERO: Con fecha 19 de noviembre de 2007, tuvo entrada en esta Agencia
escrito de D. M.M.M. (en lo sucesivo el denunciante), en el que expone que D.
G.G.G. (en lo sucesivo el denunciado), ha tratado sus datos personales sin
registrar el fichero correspondiente y que no aplica las medidas de seguridad
exigibles. Asimismo, denuncia la cesión de dichos datos sin su consentimiento
al Colegio de Abogados de Sevilla (en lo sucesivo Colegio de Abogados).
Aporta, entre otros documentos, copia de un escrito, de fecha 8 de octubre de
2007, firmado por D. G.G.G. dirigido a su atención en el que se da contestación
a la petición del denunciante de ejercicio del derecho de acceso a sus datos
personales.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
1. En el Registro General de Protección de Datos figura declarado por el
denunciado un fichero denominado “M.M.M.” con fecha de inscripción inicial 18
de octubre de 2007. La finalidad y usos previstos son el asesoramiento jurídico
y presentación de demanda civil en nombre de dicha persona.
2. El denunciante no concreta, ante el requerimiento de la Inspección, cuales
son las medidas de seguridad incumplidas.
3. De las manifestaciones y documentación aportada por el denunciado resulta
lo siguiente
-El denunciado actuó como Letrado del denunciante en un procedimiento
judicial. Posteriormente surgieron desavenencias entre ambos, solicitando el
denunciante la intervención del Colegio de Abogados, mediante escrito de 21
de febrero de 2007 en el que expone: “he requerido al mencionado letrado para
que entregue mi documentación, y copia de las sentencias dictadas, pero dicho
letrado se niega a ello hasta que le pague sus honorarios, por lo que me veo en
la obligación de reclamar su atención para que solucione este problema que
ese letrado me ha creado..., por lo que le ruego intervenga a la mayor brevedad
posible y solucione este problema”.
-Como consecuencia de esta solicitud el Colegio de Abogados remitió al
denunciado un escrito en fecha 8 de marzo de 2007 en el que se le solicitada
que procediera a devolver los documentos directamente o través de la
Secretaría de dicho Colegio que se ocuparía de su entrega al denunciante. Con
fecha 30 de julio de 2007 el denunciado recibió un comunicado del Colegio de
Abogados en el que se le informa que, una vez recibida su respuesta y la
documentación que acompaña a la misma, se puso en conocimiento del
denunciante comunicándole que la documentación se encontraba depositada
en la Secretaría y que podía retirarla a su conveniencia. La documentación fue
retirada por otra persona con una autorización suscrita por el denunciante.
Página 282 de 353
- Posteriormente, ante la solicitud de ejercicio del derecho de acceso a sus
datos personales por parte del denunciante, el denunciado presentó un escrito
en el Colegio de Abogados en la que indicaba que solicitaba su intermediación
para entregar al denunciante una carta en la que se relacionan la totalidad de
los datos de carácter personal y documentos que constan en su expediente.
4. El Colegio de Abogados manifiesta que la finalidad de la comunicación de
datos efectuada es el seguimiento de un expediente deontológico, iniciado al
denunciado a instancia del denunciante, que permita gestionar las funciones
legal y estatutariamente previstas de control deontológico de la profesión de
abogado y la aplicación del régimen disciplinario. Indica que los datos
personales contenidos en la carta a que hace referencia el apartado anterior,
ya se encontraban dentro del expediente disciplinario abierto a instancia del
denunciante con anterioridad a la citada comunicación.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
En cuanto a la primera cuestión planteada por el denunciante, relativa a la
ausencia de inscripción del fichero en el Registro de Protección de Datos, los
artículos 25 y 26 de la LOPD establecen lo siguiente:
Artículo 25. “Podrán crearse ficheros de titularidad privada que contengan
datos de carácter personal cuando resulte necesario para el logro de la
actividad u objeto legítimos de la persona, empresa o entidad titular y se
respeten las garantías que esta Ley establece para la protección de las
personas.”
Artículo 26. “1. Toda persona o entidad que proceda a la creación de ficheros
de datos de carácter personal lo notificará previamente a la Agencia Española
de Protección de Datos.
2. Por vía reglamentaria se procederá a la regulación detallada de los distintos
extremos que debe contener la notificación, entre los cuales figurarán
necesariamente el responsable del fichero, la finalidad del mismo, su ubicación,
el tipo de datos de carácter personal que contiene, las medidas de seguridad,
con indicación del nivel básico, medio o alto exigible y las cesiones de datos de
carácter personal que se prevean realizar y, en su caso, las transferencias de
datos que se prevean a países terceros.”
De las actuaciones de investigación practicadas ha quedado acreditado que el
denunciado notificó a la Agencia de Protección de Datos la existencia de un
fichero que contenía datos personales del denunciante y cuya finalidad
declarada era su asesoramiento jurídico y presentación de demanda civil en su
nombre, por lo que queda acreditado el cumplimiento de los deberes impuestos
en esta materia por la LOPD.
III
La segunda cuestión que plantea la denuncia es la inaplicación de medidas de
seguridad por parte del denunciado.
El Real Decreto 994/1999 de 11 de junio de 1999, por el que se aprueba el
Reglamento de medidas de seguridad de los ficheros automatizados que
contengan datos de carácter personal, dispone en su artículo 4:
Página 283 de 353
“1. Todos los ficheros que contengan datos de carácter personal deberán
adoptar las medidas de seguridad calificadas como de nivel básico.
2. Los ficheros que contengan datos relativos a la comisión de infracciones
administrativas o penales, Hacienda Pública, servicios financieros y aquellos
ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica
5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas
como de nivel medio.
3. Los ficheros que contengan datos de ideología, religión, creencias, origen
racial, salud o vida sexual así como los que contengan datos recabados para
fines policiales sin consentimiento de las personas afectadas deberán reunir,
además de las medidas de nivel básico y medio, las calificadas de nivel alto.
4. Cuando los ficheros contengan un conjunto de datos de carácter personal
suficientes que permitan obtener una evaluación de la personalidad del
individuo deberán garantizar las medidas de nivel medio establecidas en los
artículos 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición de
mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias
específicas vigentes.”
En el presente caso, el denunciante no concreta en que consiste el
incumplimiento alegado, efectuándose solamente una referencia genérica a la
inobservancia de las medidas de seguridad exigidas en la normativa vigente.
De la investigación realizada por la Inspección de Datos no queda constancia
alguna de la realidad del incumplimiento alegado por lo que debe desestimarse
dicha imputación en aplicación del principio de presunción de inocencia
previsto en los artículos 24.2 de la Constitución Española y 137 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común.
En este sentido, la Jurisprudencia tiene declarado respecto de este principio
que “Su contenido esencial implica no sólo la acreditación de los hechos
ilícitos, sino también “...la prueba de la responsabilidad del sujeto en la
comisión de los mismos” (Sentencia del Tribunal Supremo de 02/07/1990).
La presunción de inocencia debe regir, sin excepciones, en el ordenamiento
sancionador y ha de ser respetada en la imposición de cualesquiera sanciones,
pues el ejercicio del “ius puniendi” en sus diversas manifestaciones está
condicionado al juego de la prueba y a un procedimiento contradictorio en el
que puedan defenderse las propias posiciones. En tal sentido, el Tribunal
Constitucional en su Sentencia 76/1990 de 26/04 considera que el derecho a la
presunción de inocencia comporta: “que la sanción esté basada en actos o
medios probatorios de cargo o incriminadores de la conducta reprochada; que
la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a
probar su propia inocencia; y que cualquier insuficiencia en el resultado de las
pruebas practicadas, libremente valorado por el órgano sancionador, debe
traducirse en un pronunciamiento absolutorio.”
IV
Respecto a la tercera cuestión planteada en el expediente, esto es, la
comunicación de los datos personales del denunciante por parte del
denunciado al Colegio de Abogados el artículo 10 de la LOPD establece lo
siguiente:
“El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
Página 284 de 353
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero o,
en su caso, con el responsable del mismo."
El deber de secreto profesional que incumbe a los responsables de los ficheros
y a todos aquellos que intervengan en cualquier fase del tratamiento de los
datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su
obligación de no revelar ni dar a conocer su contenido, así como “deber de
guardarlos”. Continúa dicho artículo añadiendo: “obligaciones que subsistirán
aún después de finalizar sus relaciones con el titular del fichero o, en su caso,
con el responsable del mismo”. Este deber es una exigencia elemental a que
se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de
noviembre, y por lo que ahora interesa, comporta que los datos tratados no
pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos
autorizados por la Ley, pues en eso consiste, precisamente, el secreto.
En el presente supuesto debe analizarse si desde el punto de vista de la
protección de datos de carácter personal, la actuación denunciada constituye
una vulneración del deber de secreto.
En las actuaciones de Investigación realizadas por la Inspección se ha
constatado que, como consecuencia de las desavenencias surgidas entre el
denunciante y el denunciado, se solicitó la intermediación del Colegio de
Abogados, entregándose al denunciante, a través de dicho Colegio, los
documentos relativos al pleito en que el denunciado actuó como Letrado suyo
y, posteriormente, el escrito mediante el cual el denunciado le facilita el
ejercicio del derecho de acceso a sus datos personales. Consta también que a
instancia del denunciante, y con anterioridad al ejercicio del derecho de acceso,
la Comisión deontológica del Colegio de Abogados había iniciado un
expediente disciplinario al denunciado, por lo que dicho expediente contenía los
datos personales del denunciante. Es por ello que, teniendo en cuenta que el
propio denunciante había facilitado sus datos personales al Colegio de
Abogados, los hechos denunciados no pueden calificarse como una
vulneración del deber de secreto regulado en la LOPD.
En este sentido, la Audiencia Nacional, en Sentencia de fecha 22 de
septiembre de 2004 ha considerado que no puede hablarse de comunicación
de datos de carácter personal contraria a las prescripciones de la LOPD
cuando los datos ya fueran conocidos por los posibles destinatarios de la
misma, en este caso el Colegio de Abogados de Sevilla, dado que “... no se
puede trasmitir o revelar a un tercero aquello que previamente ya ha sido
revelado al mismo”.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
2. NOTIFICAR la presente Resolución a D. G.G.G., con domicilio en
(C/..........................................) y a D. M.M.M. con domicilio en
(C/..........................................)
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en el artículo 116 del Real Decreto
Página 285 de 353
1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 30 de septiembre de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 286 de 353
Expediente No: E/01019/2008
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante ARCOFER ABOGADOS, S.L. y D F.F.F. en virtud de denuncia
presentada ante la misma por D. R.R.R. y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 26/032008, tuvo entrada en esta Agencia un escrito de
D. R.R.R. (en lo sucesivo el denunciante) en el que denuncia, en primer lugar a
D. F.F.F. , administrador único de ARCOFER ABOGADOS, S.L., dado que
expone que, sin su consentimiento, proporcionó a Da. C.C.C. su número de
teléfono, que conocía al haber sido previamente su Letrado
Asimismo, denuncia que, con fecha 18/01/2008 se celebró en el Juzgado de
Primera Instancia no 0A de ...... una vista con el fin de adoptar unas medidas
provisionales previas por Demanda de Divorcio con n. o ***/**** y la letrada D.a.
G.G.G., del Colegio de Abogados de Toledo, que representaba a la ex-mujer
del denunciante D.a C.C.C., aportó, mostró y divulgó de viva voz, información y
documentos relativos al denunciante, que reconoció en la vista le fueron
enviados por D. F.F.F. ( en lo sucesivo el denunciado). Los documentos
entregados consistían en una copia de la denuncia interpuesta por el
denunciado contra el denunciante en la Comisaría de (..........) y una citación del
Juzgado de lo Penal no 0A de .... para comparecer en el procedimiento
Abreviado ***/****, correspondiente a un supuesto delito de estafa en que el
acusado era el denunciante.
El denunciante aporta copia de estos documentos y un disco DVD que contiene
copia del vídeo grabado de la vista, en la cual en el minuto 5.50 la Sra. G.G.G.
reconoce que solicitó la documentación al Sr. F.F.F., y que éste se la envió.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
Con fechas de 04/08/2008 y 19/09/2008 se solicitó al denunciado información
en relación con los hechos denunciados, contestando con fechas 18/08/2008 y
30/09/2008 a dichos requerimientos en el sentido siguiente: .
A) En relación con el primer hecho denunciado, esto es que el denunciado
proporcionó a Da. C.C.C. su número de teléfono del denunciante, que conocía
al haber sido previamente su Letrado, el denunciado manifiesta que nunca
facilitó a Da. C.C.C. datos del denunciante que ella no conociera, por haber
tenido una relación sentimental con el denunciante, realizando la comunicación
en el mes de enero de 2005.
B) En relación con el segundo hecho denunciado, esto es la entrega a la
abogada de su exmujer de una copia de la denuncia interpuesta por el
denunciado contra el denunciante en la Comisaría de (..........) y una citación del
Juzgado de lo Penal no 0A de .... , el denunciado realiza las siguientes
manifestaciones:
Ninguno de los documentos, la copia de la denuncia y la citación al juicio, son
del denunciante, ni tienen relación con fichero o relación de datos que él tenga
o haya tenido acerca del denunciante.
Página 287 de 353
La denuncia se interpuso por el denunciado contra el denunciante por la
supuesta comisión de un delito que aún no se encuentra sentenciado (será
juzgado el 17/09/2008 por el Juzgado de lo Penal no 0A de ......).
En dicha denuncia no se realiza cesión de datos relativos a fichero alguno sino
que se pone en conocimiento de la Policía Nacional, unos hechos que pueden
ser o no constitutivos de delito. La copia de esta denuncia la posee
legítimamente como denunciante, y fue enviada por FAX a D.a C.C.C.,
abogada de la ex-mujer del denunciante, desconociendo la finalidad que a este
documento se le haya dado por la misma y para demostrar que había
interpuesto dicha denuncia contra el denunciante por los hechos que en la
misma constan.
En cuanto al documento en el que se le cita en el Juzgado de lo Penal no 0A
de .... para comparecer en el procedimiento Abreviado ***/****, es la cédula de
citación como testigo para la asistencia al juicio de D.a C.C.C., no
respondiendo a fichero ni tratamiento de datos alguno del denunciante.
Asimismo manifiesta que dicho documento fue enviado para demostrar a D..
C.C.C. que tenía que asistir al juicio ese día.
Los ficheros y datos del denunciante que tiene en su poder como “abogado”,
que ejerció su defensa entre 2001 y 2004, nunca han sido cedidos a terceros
ilegítimamente ni con vulneración de ley alguna.
Los documentos y cesiones de datos mencionados no responden al tratamiento
de datos de carácter personal como consecuencia del ejercicio de su profesión,
sino del ejercicio de acciones penales que han sido iniciadas por él contra el
denunciante posteriormente a la finalización de dicho ejercicio profesional, que
nada tienen que ver con los ficheros de los que dispone, sino sobre hechos
delictivos que deberán juzgarse en los próximos meses.
7. No recuerda la fecha exacta en que los documentos descritos en el punto 1
de este apartado fueron enviados a la letrada, siendo enviados en el presente
año 2008.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
Respecto a la primera de las cuestiones denunciadas , esto es, que el
denunciado, en su condición de abogado, facilitase el numero de teléfono del
denunciante a un tercero, debe señalarse, que aún en el supuesto de que dicha
comunicación estuviese probada, la falta de deber de secreto estaría que le
incumbe como profesional está prescrita al haberse producido en el me de
enero de 2005.
III
En relación al segundo de los hechos, se significa que de la documentación
obrante se concluye que, tanto la denuncia interpuesta por el denunciado
contra el denunciante en la Comisaría de (..........) como la citación del Juzgado
de lo Penal no 0A de .... para comparecer en el procedimiento Abreviado
Página 288 de 353
***/**** como testigo para la asistencia al juicio de un tercero, son documentos
del denunciado obtenido en el ámbito de su esfera privada a consecuencia de
la formulación de una denuncia a un tercero y la recepción de una citación
judicial, es decir, no obtenida por su condición profesional de “ abogado” y
sujeto al “deber de secreto”.
El artículo 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal (en lo sucesivo LOPD):
“La presente Ley Orgánica será de aplicación a los datos de carácter personal
registrados en soporte físico que los haga susceptibles de tratamiento, y a toda
modalidad de uso posterior de estos datos por los sectores público y privado”.
Por su parte, el artículo 5 del Real Decreto 1720/2007, de 21 de diciembre, por
el que se se aprueba el Reglamento de desarrollo de la LOPD, define el
concepto de fichero, de tratamiento de datos, estableciendo lo siguiente:
“1.k) Fichero: Todo conjunto organizado de datos de carácter personal, que
permita el acceso a los datos con arreglo a criterios determinados, cualquiera
que fuere la forma o modalidad de su creación, almacenamiento, organización
y acceso.
T.)Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no
automatizado, que permita la recogida, grabación, conservación, elaboración,
modificación, consulta, utilización, modificación,cancelación, bloqueo o
supresión, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
“2.Ñ) Soporte: objeto físico que almacena o contiene datos o documentos, u
objeto susceptible de ser tratado en un sistema de información y sobre el cual
se pueden grabar y recuperar datos”.
El articulo 10 de la LOPD impone el “deber de secreto” al responsable del
tratamiento , al recoger:
“El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero o,
en su caso, con el responsable del mismo”.
En el presente caso, los documentos referentes a la denuncia y la citación
judicial no constituyen un “fichero” en los términos recogidos en la LOPD, esto
es, un conjunto organizado de datos de carácter personal en soporte
informático y se obtuvieron por el denunciado como persona privada, no como
abogado sujeto al “deber de secreto” profesional y con la obligación de
guardarlos.
Por otra parte, la utilización de la Abogada en un procedimiento judicial se
realizó al amparo de los derecho fundamentales a la “defensa y tutela judicial
efectiva”.
La Sentencia de la Audiencia Nacional en su sentencia de 23704/2008, recurso
148/2006, recoge los siguiente: “Resulta que el documento cuya revelación se
publicó en la prensa..., es un único documento, compuesto por dos
folios...Dadas dichas especificas circunstancias concurrentes en el supuesto no
cabe exigir, respecto al documento en cuestión.. el documento de medidas de
seguridad dado que se trató de un único papel”.
Por todo ello, en el presente caso dada la inexistencia de un fichero y de la
obligación de secreto por el denunciado, procede el archivo de las actuaciones.
Por lo tanto, de acuerdo con lo señalado,
Página 289 de 353
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
2. NOTIFICAR la presente Resolución a D. F.F.F., en (c/...................................)
y a D. R.R.R., con domicilio en (c/...................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 22 de octubre de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 290 de 353
Expediente No: E/00893/2008
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas [de oficio] por la Agencia Española de
Protección de Datos ante el BUFETE DE ABOGADOS X.X.X., el DIARIO EL
PAÍS S.L., y MUNDINTERACTIVOS (EL MUNDO), en virtud de denuncia
presentada ante la misma por DON D.D.D., y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 6 de marzo de 2008, tuvo entrada en esta Agencia
escrito remitido por Don D.D.D. (en lo sucesivo el denunciante), en el que
manifiesta lo siguiente:
Ejerce como Perito Médico del Ilustre Colegio Oficial de Médicos de la
Provincia de (......).
Sus servicios fueron requeridos recientemente por el Bufete de Abogados
“X.X.X.”, en adelante X.X.X., para peritar un supuesto de mala praxis médica y
a quienes entrego el informe pericial por él elaborado.
En fechas posteriores aparecieron publicados en los diarios EL MUNDO y EL
PAIS artículos sobre el caso en los que se mencionaban, sin su
consentimiento, su nombre y apellidos como redactor del citado informe.
Entiende que el informe que entregó a X.X.X. para su custodia hasta su
entrega a la autoridad judicial no debería haberse puesto a disposición de los
medios de comunicación.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
El día 4 de febrero de 2008, se publicó un artículo en la página 36 del diario EL
PAIS en el que se puede leer: “Esta ha sido la base del prolijo informe
efectuado por el ginecólogo D.D.D., perito del Colegio de Médicos de (.....).”
El día 13 de febrero de 2008, se publicó un artículo en el diario EL MUNDO en
el que se puede leer: “...cuando lee ahora el informe efectuado por D.D.D.,
ginecólogo y perito del Colegio de Médicos de (.....), donde se recoge que el
bebe soporto....”. En ese mismo artículo se menciona que los hechos
relatados se encuentran bajo trámite judicial.
En respuesta al requerimiento realizado por el inspector actuante el
representante de X.X.X. manifestó:
3.1. El 10 de mayo de 2007, D. R.R.R. y Da. S.S.S. suscribieron con X.X.X. un
contrato de prestación de servicios para el inicio de dos procedimientos
judiciales derivados de una supuesta negligencia médica.
3.2. X.X.X. consultó los Listados Públicos de Peritos Judiciales de los
Juzgados de (......) dado que estimaban necesaria la elaboración de un informe
pericial. Actuando en representación de sus clientes se puso en contacto con
el reclamante para que elaborase para éstos el referido informe pericial.
3.3. El 4 de junio de 2007, se hizo entrega del informe pericial contratado y sus
clientes procedieron al pago de los honorarios acordados.
3.4. El 16 de junio se presentó una querella criminal en la que se aportaba el
citado informe pericial.
Página 291 de 353
3.5. No se ha proporcionado copia total o parcial del informe a ningún medio
de comunicación, persona física o jurídica ajena al procedimiento por parte de
X.X.X..
3.6. El juzgado puso a disposición de las partes interesadas en el
procedimiento, copia de dicho informe al que además tiene acceso el personal
del juzgado de Instrucción no 41 de Madrid.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
El artículo 10 de la LOPD establece: “El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aún después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el responsable del
mismo”.
El deber de secreto profesional que incumbe a los responsables de los ficheros
y a todos aquellos que intervengan en cualquier fase del tratamiento de los
datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su
obligación de no revelar ni dar a conocer su contenido, así como “deber de
guardarlos”. Continúa dicho artículo añadiendo: “obligaciones que subsistirán
aún después de finalizar sus relaciones con el titular del fichero o, en su caso,
con el responsable del mismo”. Este deber es una exigencia elemental a que
se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de
noviembre, y por lo que ahora interesa, comporta que los datos tratados no
pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos
autorizados por la Ley, pues en eso consiste, precisamente, el secreto.
Este deber de sigilo resulta esencial en la sociedad contemporánea, cada vez
más compleja, en las que los avances de la técnica sitúan a la persona en
zonas de riesgo para la protección de los derechos fundamentales, como el
derecho a la protección de los datos personales, que recoge el artículo 18.4 de
la Constitución Española. En efecto, este precepto contiene un “instituto de
garantía de los derechos de los ciudadanos que, además, es en sí mismo un
derecho o libertad fundamental, el derecho a la libertad frente a las potenciales
agresiones a la dignidad y a la libertad de la persona provenientes de un uso
ilegítimo del tratamiento mecanizado de datos” (Sentencia del Tribunal
Constitucional 292/2000). Este derecho fundamental a la protección de datos
persigue garantizar a la persona un poder de control sobre sus datos
personales, sobre su uso y destino que impida que se produzcan situaciones
atentatorias de la dignidad de la persona.
En el presente caso, ha quedado acreditado que se vulneró el deber de secreto
al informar a la prensa, sin el consentimiento del denunciante, de sus datos
relacionados con su actuación pericial en un caso de un bebe que nació con
malformaciones.
De las actuaciones practicadas no se ha podido acreditar la autoría de la
vulneración, pues la documentación ha sido puesta a disposición del despacho
Página 292 de 353
de abogados que la solicitó (único denunciado), los padres del bebe, los
abogados y procuradores de ambas partes, y personal del Juzgado.
En este sentido, no puede obviarse que al Derecho administrativo sancionador
le son de aplicación, con alguna matización pero sin excepciones, los principios
inspiradores del orden penal, resultando clara la plena virtualidad de los
principios de presunción de inocencia e “in dubio pro reo” en el ámbito de la
potestad sancionadora, que desplazan a quien acusa la carga de probar los
hechos y su autoría. La presunción de inocencia debe regir sin excepciones en
el ordenamiento sancionador y ha de ser respetada en la imposición de
cualesquiera sanciones, pues el ejercicio del “ius puniendi” en sus diversas
manifestaciones está condicionado al juego de la prueba y a un procedimiento
contradictorio en el que puedan defenderse las propias posiciones. En tal
sentido, el Tribunal Constitucional, en su Sentencia 76/1990, de 26 de abril,
considera que el derecho a la presunción de inocencia comporta: “que la
sanción esté basada en actos o medios probatorios de cargo o incriminadores
de la conducta reprochada; que la carga de la prueba corresponda a quien
acusa, sin que nadie esté obligado a probar su propia inocencia; y que
cualquier insuficiencia en el resultado de las pruebas practicadas, libremente
valorado por el órgano sancionador, debe traducirse en un pronunciamiento
absolutorio”.
La Sentencia del citado Tribunal de 20/02/1989 indica que “Nuestra doctrina y
jurisprudencia penal han venido sosteniendo que, aunque ambos puedan
considerarse como manifestaciones de un genérico favor rei, existe una
diferencia sustancial entre el derecho a la presunción de inocencia, que
desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando
las practicadas no reúnen las garantías procesales y el principio jurisprudencial
in dubio pro reo que pertenece al momento de la valoración o apreciación
probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria
indispensable, exista una duda racional sobre la real concurrencia de los
elementos objetivos y subjetivos que integran el tipo penal de que se trate”.
En relación con dicho asunto, la Sentencia de la Audiencia Nacional en el
Recurso número 29/2000, de 25 de mayo de 2001, en el Fundamento de
Derecho segundo, señala: <<Conviene recordar como el Tribunal
Constitucional viene manteniendo que el derecho a la presunción de inocencia
no puede entenderse reducido al estricto campo del enjuiciamiento de
conductas presuntamente delictivas, sino que debe entenderse también que
preside la adopción de cualquier resolución tanto administrativa como
jurisdiccional que se base en la condición o conducta de las personas de cuya
apreciación derive un resultado sancionatorio o limitativo de sus derechos,
estando superada toda reticencia a este principio. De otro lado, la Sentencia
del mismo Tribunal, de 20 de febrero – S 44/1989 – indica “Nuestra doctrina y
jurisprudencia penal han venido sosteniendo que, aunque ambos puedan
considerarse como manifestaciones de un genérico favor reo, existe una
diferencia sustancial entre el derecho a la presunción de inocencia, que
desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando
las practicadas no reúnen las garantías procesales y el principio jurisprudencial
in dubio pro reo que pertenece al momento de la valoración o apreciación
probatoria, y que ha de juzgar cuando, concurrente aquella actividad probatoria
indispensable, exista una duda racional sobre la real concurrencia de los
elementos objetivos y subjetivos que integran el tipo penal de que se trate.
Página 293 de 353
Desde la perspectiva constitucional la diferenciación entre la presunción de
inocencia y la regla in dubio pro reo resulta necesaria en la medida que la
presunción de inocencia ha sido configurada por el artículo 24.2 de la
Constitución como garantía procesal del imputado y derecho fundamental del
ciudadano protegible en la vía de amparo, lo que no ocurre propiamente con la
regla in dubio pro reo, condición o exigencia subjetiva del convencimiento del
órgano judicial en la valoración de la prueba inculpatoria existente aportada al
proceso. Es cierto que la distinción entre medio probatorio y resultado
probatorio no puede ser tan radical en cuanto que la presunción de inocencia
es también una regla de juicio a favor de ella que obliga a decidir a favor de la
presunción de inocencia cuando no existan pruebas de las que pueda
deducirse la culpabilidad, esto es, pruebas de carácter inculpatorio. El que
ahora el principio pro reo pueda tener un más sólido fundamento constitucional
no permite que pueda confundirse el principio in dubio pro reo con el derecho
constitucional a la presunción de inocencia, ni tampoco convertir el proceso de
amparo en una nueva instancia en que pueda discutirse el resultado valorativo
de una actividad probatoria de cargo realizada en el juicio oral y con todas las
garantías>>.
En definitiva, teniendo en cuenta que en el presente caso no se han podido
acreditar los hechos denunciados, necesarios para poder calificar con acierto la
conducta como sancionable, debe concluirse, a tenor del principio de
presunción de inocencia, que procede acordar el archivo de las presentes
actuaciones previas de investigación.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
PROCEDER AL ARCHIVO de las presentes actuaciones.
NOTIFICAR la presente Resolución al BUFETE DE ABOGADOS X.X.X., al
DIARIO EL PAIS S.L., a MUNDINTERACTIVOS (EL MUNDO) y a DON D.D.D..
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
Página 294 de 353
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 8 de enero de 2009
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 295 de 353
Expediente No: E/01315/2008
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante la entidad L& L ABOGADOS ASOCIADOS, S.L. en virtud de
denuncia presentada ante la misma por la FISCALÍA PROVINCIAL DE ÁLAVA
y en base a los siguientes,
HECHOS
PRIMERO: Con fecha de 24 de julio de 2008 tuvo entrada en esta Agencia un
escrito de la Fiscal Coordinadora de Menores de la Fiscalía Provincial de Álava,
por el que, en virtud de lo acordado en las Diligencias de Investigación no
**/****, da traslado de diversa documentación hallada en la vía pública y de las
actuaciones llevadas a cabo por la Fiscalía, entre la que figura una denuncia
presentada, el 20 de junio de 2008, ante la Comandancia de la Guardia Civil de
Álava, por D. X.X.X., responsable de Área de la empresa de consultoría
PRISMA, compañía que, según sus declaraciones, había sido encargada “para
realizar un estudio y presupuesto sobre las vulnerabilidades que pudiera tener
el centro de menores Zabaltxen”. En la denuncia se pone de manifiesto que el
día 14 del mismo mes “cuando se encontraba realizando el estudio
mencionado, observó en el interior de un contenedor de basura, situado en las
proximidades del centro, 34 documentos en los que se ven las imágenes de lo
que parecen menores”.
Entre la documentación remitida se encuentra una “Diligencia de Exposición”
en la que se hace constar que, como consecuencia de la citada denuncia del
Sr, X.X.X., dos agentes de la Guardia Civil (UOPJ Álava) se personaron en
mencionado lugar y hallaron “varios documentos de apariencia oficial”, los
cuales, a juicio del Instructor, “no guardan relación aparente con el hallazgo
que nos ocupa, tratándose de documentos antiguos relativos a procedimientos
laborales y civiles”.
En relación con los documentos hallados por el Sr. X.X.X., con fecha 1 de
septiembre de 2008 se da traslado de los mismos a la Agencia Vasca de
Protección de Datos al apreciarse que pudieran proceder de ficheros de datos
de carácter personal de los que es responsable la Diputación de Álava.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
1. La documentación hallada el 20 de junio de 2008 por los agentes de la
Guardia Civil en Vitoria, en las inmediaciones del Centro Zabaltzen de la Cruz
Roja, puede agruparse de la siguiente forma:
1.1. Documentación relativa a la compañía BURAN, S.L., incluyendo:
1.1.1.
Documento con el membrete del despacho de abogados de V.V.V., Y.Y.Y. y
Z.Z.Z., fechado el 21 de septiembre de 1994, en el que se manifiesta haber
recibido de Da A.A.A., Da B.B.B. y D. C.C.C. una cantidad de dinero en pago
de una condena en costas del procedimiento **/** del Juzgado de Primera
Instancia no 0A. Este documento está suscrito por Dña. Z.Z.Z..
1.1.2.
Notificación del despacho a BURAN, S.L., en su calidad de clientes, de 29 de
marzo de 1994. Este documento está suscrito por Dña. Z.Z.Z..
1.1.3.
Página 296 de 353
Notificaciones del Juzgado de Primera Instancia no 0A de ...... y de la
Audiencia Provincial de ......
1.2. Documentación relativa a Dña. K.K.K.,
incluyendo:
1.2.1. Notificaciones del Juzgado de lo Social no 0B y del Juzgado de Primera
Instancia no 0A de ......
1.2.2. Telefax remitido por Z.Z.Z. a Q.Q.Q., con la referencia “K.K.K.”. No
consta la fecha de envío.
1.2.3. Distintos escritos dirigidos al Juzgado de lo Social y al Departamento de
Trabajo y Seguridad Social Gobierno Vasco por la sra. K.K.K..
1.2.4. Distintas nóminas de la compañía CONGELADOS ARALAR, S.A. a
nombre de la sra. K.K.K., correspondientes a los años 1991 y 1992.
1.2.5. Cédulas de citación del Departamento de Trabajo y Seguridad Social
Gobierno Vasco a la sra. K.K.K., de 21 de mayo y 9 de junio de 1992 y de 2 y 3
de junio de 1993, respectivamente.
1.2.6. Actas del Departamento de Trabajo y Seguridad Social Gobierno Vasco,
de 4 de junio de 1992 y 16 de junio de 1993, en las que deja constancia de la
incomparecencia de la parte demandada, en presencia de la sra. Zamanilllo,
acompañada de la letrada Dña. P.P.P..
1.2.7. Resoluciones y anexos del Fondo de Garantía Salarial, de 27 de
diciembre de 1993, conteniendo datos de carácter personal de la sra. K.K.K..
1.2.8. Listado del Juzgado de lo Social no 0B de ....., relativo al procedimiento
SOC- *+*+/+*.
1.3. Documentación relativa a D. X.X.X., incluyendo los siguientes
documentos:
1.3.1. Designación de D. V.V.V. por el Colegio de Abogados de
Álava como letrado de oficio defensor del sr. X.X.X., de 29 de diciembre de
1993.
1.3.2. Documentos del Juzgado de Primera Instancia no 0A de ......, en
relación con el procedimiento de separación ***/**, de Dña. W.W.W. contra D.
X.X.X..
1.3.3. Nómina de Dña. W.W.W., de 31 de agosto de 1993.
1.3.4.
Documento conteniendo datos sobre la declaración de la renta de las personas
físicas de la sra. W.W.W., de 1 de octubre de 1993.
1.3.5. Certificados de la
Diputación Foral de Álava de 23 de septiembre de 1993, relativos a la sra.
W.W.W..
1.3.6. Documento presentado al Juzgado de Primera Instancia no 0A
de ...... por la representante de la sra. W.W.W., de 8 de marzo de 1994.
1.3.7.
Certificado de la Secretaria General habilitada del Ayuntamiento de Vitoria, en
relación con el impuesto de bienes inmuebles y la sra. W.W.W.. 1.3.8. Páginas
del Libro de Familia correspondientes a H.H.H. y I.I.I..
1.4. Documentación relativa a D. X.X.X.:
1.4.1. Aviso de recibo y certificado de
Correos de 2 de marzo de 2000, relativos a un envío postal de DESPACHO DE
ABOGADOS, S.L. a D. X.X.X.. 1.4.2. Letra de cambio a nombre del sr. X.X.X.,
de 20 de marzo de 2000.
1.5. Designación de D. V.V.V. por el Colegio de Abogados de Álava como
letrado de oficio defensor de Dña E.E.E., de 20 de diciembre de 1993.
Según consta en Acta, durante la inspección realizada con fecha 24 de
septiembre de 2008 en el establecimiento de la entidad L& L Abogados
Asociados, S.L. se mostró al Administrador de la sociedad la documentación
hallada el 20 de junio de 2008 por los agentes de la Guardia Civil. A la vista de
los documentos mostrados, el Sr. L.L.L. realizó las siguientes declaraciones, en
respuesta a las cuestiones planteadas por los inspectores:
2.1. En el mes de diciembre de 2001 se constituyó la sociedad DESPACHO
DE ABOGADOS VITORIA GASTEIZ, S.L. para la prestación de los servicios de
Página 297 de 353
asesoramiento jurídico que hasta entonces prestaba el despacho de abogados
al que pertenecían, entre otros, el propio sr. L.L.L. y Dña. Z.Z.Z..
2.2. En el mes de enero de 2002, la denominación social de la compañía pasó
a ser la actual, L& L ABOGADOS ASOCIADOS, S.L.
2.3. Los documentos relativos a la actividad desarrollada por el despacho de
abogados, conteniendo datos de carácter personal, han sido destruidos a
medida que dejaba de ser precisa su conservación, no disponiéndose
actualmente de documentos relativos a asuntos ya finalizados. En particular, la
compañía no conserva documentación relativa a asuntos tramitados por el
bufete con anterioridad a la constitución de la sociedad limitada.
2.4. Desde hace casi dos años tales documentos son destruidos mediante una
máquina destructora de papel marca FELLOWES, modelo SB-87Cs, la cual es
mostrada a los inspectores.
2.5. El sr. L.L.L. rechaza la posibilidad de que los documentos hallados en
contenedores próximos al Centro Zabaltzen de la Cruz Roja hubieran sido
desechados por la compañía L& L ABOGADOS ASOCIADOS, S.L.
2.6. El Sr. L.L.L. desconoce el procedimiento por el que tales documentos
hubieran podido ser hallados en la mencionada ubicación, apuntando la
posibilidad de que los mismos hubieran sido desechados por los Juzgados,
cuya sede se halla en las inmediaciones del mencionado Centro de la Cruz
Roja.
La totalidad de documentos hallados por los agentes de la Guardia Civil
presentan una fecha de elaboración anterior a la constitución de L& L
ABOGADOS SOCIADOS, S.L.
Por otra parte, a excepción de los documentos relacionados en el apartado 1.4
(que están fechados en el año 2000), todos presentan una fecha anterior a la
fecha de entrada en vigor de la Ley Orgánica 15/1999.
No se ha logrado acreditar que los datos de carácter personal contenidos en
los documentos relacionados, excluyendo los nombres y apellidos de los
abogados actuantes, formen parte de ficheros de los que pueda ser
responsable L& L ABOGADOS ASOCIADOS, S.L.
6. No existe constancia de que tales documentos hayan sido accedidos por
terceros con anterioridad a su hallazgo por los miembros de la Guardia Civil.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal –LOPD- en su articulo 10 , recoge lo siguiente:
“El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero o,
en su caso, con el responsable del mismo”.
El responsable de fichero y cualquier persona que intervenga en cualquier fase
del tratamiento están sujetas al “secreto profesional” respecto de los mismos,
Página 298 de 353
por lo que, en su caso, los hechos denunciados podrían comportar una
infracción al trascrito artículo.
Del Informe de actuaciones Previas de Inspección, E /131572008, se concluye
que: a) la totalidad de documentos hallados por los agentes de la Guardia Civil
presentan una fecha de elaboración anterior a la constitución de la entidad L& L
Abogados Sociados, S.L. y son todos los documentos anteriores al año 2000 y
a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal ; b) no se ha logrado acreditar que los datos de carácter
personal contenidos en los documentos relacionados, excluyendo los nombres
y apellidos de los abogados actuantes, formen parte de ficheros de los que
pueda ser responsable la entidad L& L Abogados Asociados, S.L; y c) no
consta que a los documentos hayan sido accedidos terceros con anterioridad a
su hallazgo por los miembros de la Guardia Civil.
Pues bien el hecho de que la totalidad de documentos hallados por los agentes
de la Guardia Civil presentan una fecha de elaboración anterior a la
constitución de la entidad L& L Abogados Sociados, S.L. y de que no se ha
logrado acreditar que los datos de carácter personal contenidos en los
documentos relacionados, excluyendo los nombres y apellidos de los abogados
actuantes, formen parte de ficheros de los que pueda ser responsable dicha
entidad, lleva a no poder determinar la imputación de la infracción del deber de
guardar secreto ,de forma indubitada.
El Tribunal Constitucional viene manteniendo que los principios y garantías del
procedimiento judicial penal son, en principio y con las oportunas
modulaciones, aplicables al procedimiento administrativo sancionador, dado
que también este es manifestación del ordenamiento punitivo del Estado. La
sentencia del mismo Tribunal de 20/02/1989 indica que “Nuestra doctrina y
jurisprudencia penal han venido sosteniendo que, aunque ambos puedan
considerarse como manifestaciones de un genérico favor rei, existe una
diferencia sustancial entre el derecho a la presunción de inocencia, que
desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando
las practicadas no reúnen las garantías procesales y el principio jurisprudencial
in dubio pro reo que pertenece al momento de la valoración o apreciación
probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria
indispensable, exista una duda racional sobre la real concurrencia de los
elementos objetivos y subjetivos que integran el tipo penal de que se trate.”
La Audiencia Nacional ha señalado en su Sentencia de fecha 25/05/2001,
dictada en el recurso contencioso administrativo no 29/2000, que “.... la Sala,
como pasamos a razonar, de la valoración de la prueba obrante en el
expediente administrativo llega a la conclusión que no ha quedado
debidamente acreditado este hecho integrador del tipo, es decir no se prueba
que el Banco entregara al Sr... el respectivo extracto, suscitándole este hecho
concreto serias dudas, frente a la exigible certidumbre”. Y concluye afirmando
que “ ..sin negar que pudieron producirse los hechos como indica la
denunciante, tampoco puede rechazarse la posibilidad que el extracto no le
fuera entregado al marido por el Banco, sino que aquel lo obtuviera
aprovechando alguna visita al domicilio o mediante la actuación de algún
familiar, dicho ello en términos de pura hipótesis”.
En el presente caso, pese a la actuación inspectora, la actividad probatoria
derivada de la misma no permite excluir una duda racional sobre el origen de la
vulneración del deber de secreto. Por ello no concurre el elemento subjetivo
Página 299 de 353
imprescindible para la integración del tipo infractor, debiendo aplicarse el
principio de presunción de inocencia.
En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990 considera que
el derecho a la presunción de inocencia comporta “que la sanción esté basada
en actos o medios probatorios de cargo o incriminadores de la conducta
reprochada; que la carga de la prueba corresponda a quien acusa, sin que
nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia
en el resultado de las pruebas practicadas, libremente valorado por el órgano
sancionador, debe traducirse en un pronunciamiento absolutorio”. De acuerdo
con este planteamiento, el artículo 130.1 de la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común en lo sucesivo LRJPAC), establece que
“Sólo podrán ser sancionados por hechos constitutivos de infracción
administrativa las personas físicas y jurídicas que resulten responsables de los
mismos aun a título de simple inobservancia.”
El artículo 13 del Real Decreto 1398/1993, de 4 de agosto, por el que aprueba
el Reglamento para el ejercicio de la Potestad Sancionadora en su articulo 13
recoge lo siguiente:
“1. La iniciación de los procedimientos sancionadores se formalizaran con el
contenido mínimo siguiente: a) Identificación de la persona o personas
presuntamente responsables.”
En definitiva, lo visto anteriormente en aplicación del principio de presunción de
inocencia, impiden imputar una infracción administrativa cuando no se haya
obtenido y comprobado la existencia de una prueba de cargo acreditativa de
los hechos que motivan esta imputación o se haya determinado quien es el
responsable de la comisión de la conducta sancionada.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
PROCEDER AL ARCHIVO de las presentes actuaciones.
NOTIFICAR la presente Resolución a L& L ABOGADOS ASOCIADOS, S.L. y a
la FISCALÍA PROVINCIAL DE ÁLAVA.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
Página 300 de 353
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con
el artículo 44.1 de la citada LJCA, sólo podrá interponer directamente recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado
5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en
el artículo 46.1 del referido texto legal.
Madrid, 27 de abril de 2009
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 301 de 353
Expediente No: E/01408/2008
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante el COLEGIO DE ABOGADOS DE CADIZ, y LA MUTUALIDAD
GENERAL DE LA ABOGACIA, M.P.S.P.F., en virtud de denuncia presentada
ante la misma por DON G.G.G., y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 20 de junio de 2008, tuvo entrada en esta Agencia un
escrito remitido por D. G.G.G., en el que manifiesta lo siguiente con respecto al
COLEGIO DE ABOGADOS DE CÁDIZ:
“Que sin autorización alguna de las personas inscritas en los ficheros del
denunciado, en primer término, se viene recibiendo correspondencia con envió
de publicidad del citado Colegio de ejemplares gratuitos de la revista
"Economist í Jurist" [...], de la revista colegial "la garnacha” [...], publicidad de la
Aseguradora EOS RISQ ESPAÑA, CORREDURÍA DE SEGUROS Y
REASUGUROS, SAA; y, en segundo lugar, vienen siendo cedidos los datos
personales de los ciudadanos a diversas publicaciones jurídicas, como La Ley,
y entidades religiosas como las Hermanitas de los pobres, los cuales vienen
exigiendo donaciones y ofreciendo sus productos y servicios”.
Junto con el escrito se adjuntaban copias de los sobres en los que recibió la
publicidad proveniente del COLEGIO DE ABOGADOS DE CÁDIZ y de
WOLTERS KLUWER ESPAÑA SA, en adelante WOLTERS, así como copia del
contenido de dichos sobres. Ambos sobres iban dirigidos a la dirección
“(C/...................................)”.
El mismo día, tuvo entrada otro escrito de DON G.G.G., en el que manifiesta lo
siguiente con respecto a la MUTUALIDAD DE LA ABOGACIA:
“Que sin autorización alguna de las personas inscritas en los ficheros del
denunciado, en primer término, se viene recibiendo correspondencia con envió
de publicidad de la citada mutualidad, para lo que primeramente crearon el
denominado "club del mutualista" con la excusa de, sin consentimiento de sus
afiliados, ceder los datos de estos a empresas de servicios y que se
beneficiaran de los descuentos de dichas empresas por el hecho de pertenecer
a dicho club; y en segundo lugar crearon el servicio "Privilegia" con la finalidad
de continuar cediendo dichos datos a empresas diversas y utilizar dichos datos
para enviar publicidad a los mutualista de entidades financieras [...] en el que el
consentimiento del receptor no ha sido prestado y expresamente indica que
van a ser cedidos los datos de los afiliados a dicha mutualidad salvo que se
dirijan "por escrito a la Mutualidad de la Abogacía en el plazo de treinta días"”.
Junto con el escrito se adjuntaba copia del sobre en el que recibió la publicidad
proveniente de la MUTUALIDAD DE LA ABOGACIA, en adelante la
MUTUALIDAD, así como copia del contenido de dicho sobre que iba dirigido a
la dirección postal “(C/...................................)”.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
Página 302 de 353
Respecto del envío de publicidad por parte del COLEGIO DE ABOGADOS DE
CÁDIZ:
1.1. El COLEGIO DE ABOGADOS DE CÁDIZ figura como responsable de un
fichero denominado “COLEGIAD” inscrito en el Registro General de Protección
de Datos cuya finalidad declarada es “GESTION DE ACTIVIDADES
ASOCIATIVAS, CULTURALES, RECREATIVAS, DEPORTIVAS Y SOCIALES”.
1.2. En la página web www...X...., de la que es titular el COLEGIO DE
ABOGADOS DE CÁDIZ, se pueden consultar los datos de los colegiados. En
dicha página web figuran los datos del reclamante con la dirección postal
“(C/...................................)”.
Respecto del envío de publicidad por parte del WOLSTER: 2.1. WOLSTER
figura como responsable de un fichero denominado “MAILING” inscrito en el
Registro General de Protección de Datos cuya finalidad declarada es
“PUBLICIDAD Y PROSPECCIÓN COMERCIAL”.
Respecto del envío de publicidad por parte de la MUTUALIDAD: 3.1.La
MUTUALIDAD figura como responsable de un fichero denominado
“MUTUALISTAS” inscrito en el Registro General de Protección de Datos cuya
finalidad declarada es “GESTIÓN DE CLIENTES, CONTABLE, FISCAL Y
ADMINISTRATIVA, SERVICIOS ECONOMCO-FINANCIEROS Y SEGUROS,
PUBLICIDAD Y PROSPECCION COMERCIAL”.
3.2. La MUTUALIDAD ha aportado copia de un contrato firmado el 18 de
septiembre de 1991 a nombre del reclamante mediante el que éste se
convertía en mutualista.
3.3. La MUTUALIDAD ha aportado copia de un contrato de “Acceso a los
Servicios de Internet para Mutualistas”, firmado el 22 de julio de 2005 a nombre
del reclamante. En la cláusula novena de dicho contrato consta la información
que requiere el artículo 5.1 de la LOPD.
3.4. Los representantes de la MUTUALIDAD manifestaron en su escrito de
respuesta al requerimiento del inspector actuante que “...con fecha 18 de
septiembre de 2000, la Mutualidad General de la Abogacía remitió a todos sus
mutualistas una comunicación en la que se informó sobre el tratamiento de sus
datos y se solicitó su consentimiento tácito para la utilización de sus datos de
carácter personal “para ofrecer productos concertados, para remitir información
de los productos complementarios de la mutualidad y de los convenios de
colaboración que establezca, o para impulsar ofertas en el ámbito del Club del
Mutualista”. Aportan copia del modelo de carta utilizado en dicha comunicación.
3.5. La dirección postal que consta asociada al reclamante en el fichero de
mutualistas de la MUTUALIDAD es “(C/...................................)”.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
En cuanto al envío de publicidad por parte del Colegio de Abogados de Cádiz,
el artículo 6. 1 y 2 de la LOPD establece:
Página 303 de 353
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa”.
“2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones
Públicas en el ámbito de sus competencias; cuando se refieran a las partes de
un contrato o precontrato de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento
de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos
figuren en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o por
el del tercero a quien se comuniquen los datos, siempre que no se vulneren los
derechos y libertades fundamentales del interesado”. (el subrayado es de la
Agencia Española de Protección de Datos).
El artículo 3. j) de la LOPD, define lo siguiente:
“ Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser
realizada por cualquier persona, no impedida por una norma limitativa, o sin
más exigencia que, en su caso, el abono de una contraprestación. Tienen la
consideración de fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de su pertenencia al grupo.
Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y
Boletines oficiales y los medios de comunicación” (el subrayado es de la
Agencia Española de Protección de Datos).
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal, determina en su artículo 7, referido a
las fuentes accesibles al público, lo siguiente:
“1. A efectos del artículo 3, párrafo j de la Ley Orgánica 15/1999, se entenderá
que sólo tendrán el carácter de fuentes accesibles al público:
El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica
15/1999, de 13 de diciembre.
Las guías de servicios de comunicaciones electrónicas, en los términos
previstos por su normativa específica.
Las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos de nombre, título, profesión, actividad, grado
académico, dirección profesional e indicación de su pertenencia al grupo. La
dirección profesional podrá incluir los datos del domicilio postal completo,
número telefónico, número de fax y dirección electrónica. En el caso de
Colegios profesionales, podrán indicarse como datos de pertenencia al grupo
los de número de colegiado, fecha de incorporación y situación de ejercicio
profesional.
Los diarios y boletines oficiales.
Los medios de comunicación social.
2. En todo caso, para que los supuestos enumerados en el apartado anterior
puedan ser considerados fuentes accesibles al público, será preciso que su
consulta pueda ser realizada por cualquier persona, no impedida por una
Página 304 de 353
norma limitativa, o sin más exigencia que, en su caso, el abono de una
contraprestación”.
Por su parte, el artículo 28.3 de la LOPD, establece lo siguiente :
“3. Las fuentes de acceso público que se editen en forma de libro o algún otro
soporte físico, perderán el carácter de fuente accesible con la nueva edición
que se publique.
En el caso de que se obtenga telemáticamente una copia de la lista en formato
electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de
un año, contado desde el momento de su obtención.”
El Colegio de Abogados de Cádiz tiene inscrito el fichero de colegiados, y
pueden consultarse los datos de todos los colegiados de la provincia en la
página web www...X..... En consecuencia, los datos de los mismos se
encuentran en una fuente de acceso público, en el sentido que se indica en la
LOPD y se especifica en el Real Decreto 1720/2007 y, por tanto, pueden
tratarse con fines de publicidad sin contar con el consentimiento de los
afectados, salvo que se hubieren opuesto a ello, lo que no consta en estas
actuaciones previas. Asimismo, los datos pueden ser tratados por Wolters con
la finalidad de enviarle publicidad o la Revista La Ley, como sucede.
III
En cuanto al envío publicitario que ha recibido el denunciante desde la
Mutualidad General de la Abogacía, hay que indicar que el Sr. G.G.G. es
mutualista desde el día 18 de septiembre de 1991. Los representantes de la
Mutualidad han indicado que en el año 2000 remitieron a los mutualistas una
carta solicitando el consentimiento para la cesión de sus datos a empresas o
entidades colaboradoras para ofrecer servicios concertados o para impulsar
ofertas en el ámbito del Club del Mutualista, dando la posibilidad de oponerse a
dicha cesión. Han facilitado una copia de dicha carta. No consta que el
denunciante se haya opuesto a la cesión.
Se comprueba que el domicilio al que recibió la publicidad es el facilitado a la
Mutualidad.
De las actuaciones previas de investigación practicadas como consecuencia de
la interposición de las dos denuncias, no se ha constatado ninguna vulneración
a la normativa de protección de datos.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
PROCEDER AL ARCHIVO de las presentes actuaciones.
NOTIFICAR la presente Resolución al COLEGIO DE ABOGADOS DE CADIZ,
a la MUTUALIDAD GENERAL DE LA ABOGACIA, M.P.S.P.F., y a DON G.G.G.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
Página 305 de 353
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 9 de junio de 2009
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 306 de 353
Expediente No: E/02649/2009
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante la entidad ILUSTRE COLEGIO DE ABOGADOS DE ALAVA, en
virtud de la denuncia presentada ante la misma por Da. H.H.H., y en base a los
siguientes:
HECHOS
PRIMERO: Con fecha de 14 de agosto de 2009 tuvo entrada en esta Agencia
un escrito remitido por la Agencia Vasca de Protección de Datos, dando
traslado de la denuncia interpuesta por Da. H.H.H. (en adelante la denunciante)
en la que declaraba que el Ilustre Colegio de Abogados de Álava había tratado
y difundido sus datos personales y los de su hijo al distribuir la Circular **/**, al
dar información sobre su despido. Por otra parte, manifestaba que dicho
Colegio había aportado al Juicio de Despido, todo su historial médico personal
sin su autorización; por lo que igualmente denunciaba al Servicio Vasco de
Salud (OSAKIDETZA) por haber facilitado al Colegio dicho historial.
En el escrito remitido a esta Agencia por la Agencia Vasca de Protección de
Datos se indicaba que ésta tramitaría la denuncia frente a OSAKIDETZA.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los hechos siguientes:
1. Da. H.H.H., en su escrito con fecha de entrada de 13 de noviembre de 2009
manifestó que los destinatarios de la citada circular fueron todos los colegiados
– abogados ejercientes y no ejercientes – superando la cifra de 500 colegiados.
Asimismo, no le constaba que los documentos clínicos que aportaba con su
denuncia llegaran a ser distribuidos junto con la citada circular o colgados en la
extranet del Ilustre Colegio. Sin embargo, dichos documentos fueron aportados
por el citado Colegio en el juicio de despido, sin su autorización y sin la del juez
que resolvió el despido, al no haber sido solicitada como prueba. En cualquier
caso, dicha prueba nada tenía que ver con el despido que, finalmente, fue
declarado improcedente.
La denunciante acompañó a su escrito copia de la hoja del Recurso de
Suplicación presentado por el Ilustre Colegio de Abogados de Álava ante el
T.S.J. del País Vasco contra la sentencia dictada por el Juzgado de lo Social no
0A y donde aparecía en la página 7 cómo se había aportado dicha
documentación, proviniente de otro procedimiento, el xxx/xxxx, que nada tenía
que ver con el despido. En dicho documento se especificaba lo siguiente:
“Esta parte además ha aportado al presente proceso el historial médico de
Dña. H.H.H. (DOC. 22) ............
Dicho historial médico fue aportado por Osakidetza al proce4so xxx/xxxx
atendiendo a la prueba documental anticipada solicitada por la MUTUA
ASEPEYO......”
Da. H.H.H. manifestó no haber aportado nunca los documentos clínicos ante el
Colegio.
2. El Ilustre Colegio de Abogados de Alava, en su escrito con fecha de entrada
de 11 de noviembre de 2009 manifestó lo siguiente:
Página 307 de 353
- Adjuntó como Anexo I copia de los documentos clínicos aportados ante el
Juzgado de lo Social no 0A de ....., en el juicio por despido de la denunciante.
Dicha documentación fue aportada, a los únicos fines de articular su derecho
de defensa, por el Colegio de Abogados de Álava ante el Juzgado de lo Social
no 0A en el acto del juicio por Despido vvv/vvvv. Toda esta documentación ya
constaba en ese Juzgado en un procedimiento de determinación de
contingencia.
Dicha documentación consta de 33 hojas con el siguiente contenido:
• La primera hoja es el escrito remitido por el Servicio Vasco de Salud –
Osakidetza – al Juzgado de lo Social no 0A y se encuentra matasellada por
dicho Juzgado y por Osakidetza.
• La segunda hoja es exactamente igual a la primera pero únicamente contiene
el matasellos de Osakidetza y
• 31 hojas de información clínica acerca de Da H.H.H..
- El Colegio de Abogados de Álava era parte demandada en este
procedimiento de determinación de contingencia n° ***/**** seguido ante el
Juzgado de lo Social no 0A. Este proceso fue promovido por V.V.V. figurando
como partes demandadas el Instituto Nacional de la Seguridad Social, la
Tesorería General de la Seguridad Social, ASEPEYO, Mutua Patronal de
Accidentes de Trabajo y el Colegio de Abogados de Álava.
- El historial médico fue aportado por OSAKIDETZA al proceso a petición de la
codemandada Asepeyo (Anexo 2 hoja 6) y como consecuencia del
requerimiento efectuado por el Juzgado de lo Social no 0A. (Anexo 2 hoja 4).
- En la demanda por Despido vvv/vvvv dirigida contra el Colegio de Abogados
de Álava por la trabajadora (la denunciante) se solicitaba la nulidad del
despido, invocando la existencia de un acoso moral en el trabajo (mobbing).
Subsidiariamente se solicitaba que se declarase improcedente el despido. En
dicha demanda, la trabajadora alegaba que había venido sufriendo una
persecución contra su persona por parte del Colegio de Abogados. También
menciona una serie de periodos de IT por ansiedad que relaciona con hechos
acontecidos en el Colegio.
- Resultan relevantes las siguientes fechas:
• 9 de julio de 2008: La Junta de Gobierno del lltre. Colegio de Abogados
acordó que con efectos 14 de julio quedara extinguido el contrato de trabajo por
despido disciplinario de la empleada Da V.V.V..
• 22 de julio de 2008: Fecha de Juicio por determinación de contingencia
(Anexo 2 hoja 1).Con antelación a su celebración la parte demandante V.V.V..
desiste de su demanda de determinación de contingencia. {Anexo 2 hoja 3)
- Se estimaba que conocida por la demandante la resolución del Juzgado de
admitir la prueba solicitada y una vez comprobado que OSAKIDETZA,
siguiendo instrucciones del Juzgado remitió expediente médico completo de Da
V.V.V. no le quedó más remedio que desistir del proceso ante la contundencia
de las expresiones recogidas en mencionado informe médico que ponían de
manifiesto la inveracidad de sus alegaciones en cuanto a la causa de sus
periodos de IT (Anexo 2 hoja 25 )
- El expediente médico se presentó como prueba en el procedimiento de
despido vvv/vvvv seguido ante el mismo Juzgado a los exclusivos efectos de
defensa (art. 24 CE), para acreditar que los periodos de baja que la Sra. V.V.V.
mencionaba en la demanda de despido nulo no eran fruto de una persecución
personal. El Colegio de Abogados de Álava defendía el despido disciplinario.
Página 308 de 353
En el acto del juicio de despido S.S. se consideró pertinente la prueba aportada
y no se alegó en ningún momento por la demandante que se hubiera
conseguido de forma ilegal o fraudulenta.
- El historial médico, por otro lado, ya constaba en el Juzgado de lo Social no
0A en el procedimiento de contingencia xxx/xxxx. En este proceso, tal y como
anteriormente se ha explicado, el Colegio era parte demandada y por tanto con
acceso a la documentación del proceso para poder preparar su defensa. El
Colegio de Abogados de Álava aportó la mencionada documentación el día de
la vista del juicio de despido ante ese mismo Juzgado.
Se adjuntaron copias del procedimiento de determinación de contingencia
***/**** seguido ante el Juzgado de lo Social no 0A.
- La circular **/** fue enviada por correo electrónico, a través del sistema DSI
(Difusión Selectiva de Información) exclusivamente a los colegiados tanto
ejercientes como no ejercientes del Ilustre Colegio de Abogados de Álava.
Junto con el mensaje (anexo 7) sólo se adjuntó la circular (anexo 8) y un
informe pericial (anexo 9) que nada tiene que ver con este asunto. Los
documentos clínicos no se incluyeron para su distribución con la circular **/** ni
fueron colgados en el árbol documental.
- Además en el texto del mensaje (anexo 7) se indicaba a los colegiados que
podían consultar la Sentencia accediendo a la extranet con firma digital y
consultando en el árbol documental. Se adjuntó una impresión de pantalla del
árbol documental (anexo 10) dónde se aprecia que en el directorio circular **/**
cuelga el documento sentencia de Da V.V.V.., sentencia de despido +++/++.
- En el presente caso es la propia afectada la que facilitó los datos relativos al
salario mensual como requisito de su demanda atendido el procedimiento que
se tramitaba (despido). Se adjunta también (anexo 4 hoja 4) donde la
representante Da P.P.P. comunicó al Juzgado el salario de Da. V.V.V. en el
escrito de solicitud al Juzgado de realización de diligencia preliminar
consistente en que por parte del Colegio se exhibiera una serie de documentos
solicitados.
Se adjuntó también anexo 5 sentencia del Juzgado de lo Social no 0A sobre
despido vvv/vvvv donde aparece recogido en la hoja 2 el salario de
mencionada empleada Da V.V.V..
- Por último, el Colegio de Abogados manifestó que:
El Estatuto General de la Abogacía dice: (Anexo 5)
“La Administración pública abonará la remuneración de los servicios que se
presten en cumplimiento de lo establecido en ese capítulo y podrá efectuar el
seguimiento y control periódico del funcionamiento del servicio y de la
aplicación de los fondos públicos a él destinados, en la forma legal
establecida”.
Este Colegio remite en sus justificaciones de los gastos de los servicios
subvencionados el importe de las nóminas de los empleados que intervienen
en los procesos subvencionados por la Administración. Ej. Turno de Oficio. En
este proceso intervenía la mencionada empleada Da. V.V.V..
Además, en su artículo 53 dicho Estatuto estable que:
“Son atribuciones de la Junta de gobierno:
o) Informar a los colegiados con prontitud de cuantas cuestiones conozca que
puedan afectarles ya sean de índole corporativa, colegial, profesional o
cultural.”
Página 309 de 353
No cabe duda que el despido de un empleado afecta al colegiado ya que el
Colegio de Abogados se sustenta principalmente por cuotas de colegiados y en
menor medida por subvenciones.
“s) recaudar, distribuir y administrar los fondos del Colegio; redactar los
presupuestos, rendir las cuentas anuales y proponer a la Junta General la
inversión o disposición del patrimonio colegial, si se tratare de inmuebles.”
Y en su artículo 57 dice que:
“La Junta General ordinaria a celebrar en el primer trimestre de cada año
tendrá el siguiente orden del día:
2o Examen y votación de la cuenta general de gastos e ingresos del ejercicio
anterior.”
En cuanto a la divulgación de sus periodos de l.T. el Colegio de Abogados lo
único que colgó en el árbol documental fue la sentencia.
Conforme establecen tanto el artículo 120 de la Constitución Española como la
Ley Orgánica del Poder Judicial, las actuaciones judiciales serán públicas y las
sentencias se pronunciarán en Audiencia Pública. Las sentencias, una vez
dictadas, tienen carácter público.
Los artículos 232 y siguientes de la LOPJ y el 261.1 del mismo texto legal
establecen el derecho de información sobre actuaciones judiciales a todos los
interesados permitiendo incluso la obtención de copias de todo lo actuado. En
el presente caso, el Colegio informó a los Colegiados en su innegable
condición de interesados de la sentencia dictada en el procedimiento,
documento al que como hemos dicho tiene acceso cualquier interesado.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
El artículo 6 de la LOPD, apartados 1 y 2, dispone lo siguiente:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones
Públicas en el ámbito de sus competencias; cuando se refieran a las partes de
un contrato o precontrato de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento
de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos
figuren en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o por
el del tercero a quien se comuniquen los datos, siempre que no se vulneren los
derechos y libertades fundamentales del interesado”.
El tratamiento de datos sin consentimiento de los afectados constituye un límite
al derecho fundamental a la protección de datos. Este derecho, en palabras del
Tribunal Constitucional en su Sentencia NÚM. 292/2000, de 30 de noviembre,
Página 310 de 353
“consiste en un poder de disposición y de control sobre los datos personales
que faculta a la persona para decidir cuáles de esos datos proporcionar a un
tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y
que también permite al individuo saber quién posee esos datos personales y
para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de
disposición y control sobre los datos personales, que constituyen parte del
contenido del derecho fundamental a la protección de datos se concretan
jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a
los datos personales, su posterior almacenamiento y tratamiento, así como su
uso o usos posibles, por un tercero, sea el estado o un particular (...).”
Son elementos característicos del derecho fundamental a la protección de
datos personales, los derechos del afectado a consentir sobre la recogida y uso
de sus datos personales y a saber de los mismos.
Por su parte, de igual modo, el artículo 11 de la LOPD, apartados 1 y 2,
establece que:
“1. Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el
previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no será preciso:
a)
Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos
recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros. En
este caso la comunicación sólo será legítima en cuanto se limite a la finalidad
que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será
preciso el consentimiento cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por
objeto el tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o
para realizar los estudios epidemiológicos en los términos establecidos en la
legislación sobre sanidad estatal o autonómica”.
III
Así, en la propia LOPD existe una mención concreta a la posibilidad del
tratamiento de datos sin consentimiento del titular de los mismos, dentro del
ámbito de la tutela judicial efectiva que el artículo 24 de nuestra Constitución
consagra, ya que en su punto 2 establece:
“2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la ley,
a la defensa y a la asistencia de letrado, a ser informados de la acusación
formulada contra ellos, a un proceso público sin dilaciones indebidas y con
todas las garantías, a utilizar los medios de prueba pertinentes para su
defensa,(...)”.
Página 311 de 353
La ley 1/2000 de 7 de Enero, de Enjuiciamiento Civil (en adelante LEC) en este
sentido viene a establecer en su artículo 265.1:
“A toda demanda o contestación habrán de acompañarse: Los documentos en
que las partes funden su derecho a la tutela judicial que pretenden.”
De la lectura de los preceptos legales anteriormente indicados, se entiende que
la realización de un tratamiento de datos sin consentimiento de sus titulares
dentro del marco de un procedimiento jurisdiccional, da lugar a un conflicto
entre el derecho a la protección de datos de carácter personal, y el derecho a la
tutela judicial efectiva de los jueces y tribunales del artículo 24 de la
Constitución. En este sentido el legislador, a partir de las menciones que la
propia constitución, la ley de enjuiciamiento civil y la LOPD en su artículo 11.2.
realizan al respecto, ha creado un sistema en el que cede el derecho a la
protección de datos en favor de la defensa del derecho constitucional de tutela
judicial efectiva y a la propia defensa, dado que la exigibilidad del
consentimiento del oponente en un procedimiento judicial, para el tratamiento
de sus datos, podría dar lugar a una merma en la posibilidad de la contraparte
de aportación de elementos que permitan la identificación del mismo, así como
en la utilización de “los medios de prueba pertinentes para su defensa”,
vulnerándose las garantías derivadas del citado derecho a la tutela judicial
efectiva y coartándose el derecho a obtener el pleno desenvolvimiento de este
derecho.
En este caso, y de acuerdo con las actuaciones de investigación realizadas por
la Inspección de Datos de esta Agencia, ha quedado acreditado que Da. H.H.H.
manifestó que los documentos fueron aportados por el citado Colegio en el
juicio de despido, sin su autorización y sin la del juez que resolvió el despido, al
no haber sido solicitada como prueba, y que el Colegio de Abogados de Álava
era parte demandada en este procedimiento de determinación de contingencia
n° ***/**** seguido ante el Juzgado de lo Social no 0A. Este proceso fue
promovido por la denunciante figurando como partes demandadas el Instituto
Nacional de la Seguridad Social, la Tesorería General de la Seguridad Social,
ASEPEYO, Mutua Patronal de Accidentes de Trabajo y el propio Colegio de
Abogados de Álava.
También recordar que el historial médico fue aportado por OSAKIDETZA al
proceso a petición de la codemandada Asepeyo como consecuencia del
requerimiento efectuado por el Juzgado Social N° 0A. Asimismo, en la
demanda por Despido vvv/vvvv dirigida contra el Colegio de Abogados de
Álava por la trabajadora (la denunciante) se solicitaba la nulidad del despido,
invocando la existencia de un acoso moral en el trabajo (mobbing).
Subsidiariamente se solicitaba que se declarase improcedente el despido. En
dicha demanda, la trabajadora alegaba que había venido sufriendo una
persecución contra su persona por parte del Colegio de Abogados.
IV
En otro orden de cosas, de igual modo, en el presente caso, y de acuerdo con
las citadas actuaciones de investigación realizadas por la Inspección de Datos
de esta Agencia, ha quedado acreditado que Da. H.H.H. manifestó que los
destinatarios de la citada circular fueron todos los colegiados – abogados
ejercientes y no ejercientes – superando la cifra de 500 colegiados. Asimismo,
no le constaba que los documentos clínicos que aportaba con su denuncia
Página 312 de 353
llegaran a ser distribuidos junto con la citada circular o colgados en la extranet
del Ilustre Colegio.
La circular **/** fue enviada por correo electrónico, a través del sistema DSI
(Difusión Selectiva de Información) exclusivamente a los colegiados tanto
ejercientes como no ejercientes del Ilustre Colegio de Abogados de Álava, y
junto con el mensaje sólo se adjuntó la circular, donde no aparecen datos
personales excesivos. Sin embargo, los documentos clínicos no se incluyeron
para su distribución con la circular **/** ni fueron colgados en el árbol
documental. Además en el texto del mensaje se indicaba a los colegiados que
podían consultar la sentencia en cuestión accediendo a la extranet con firma
digital y consultando en el árbol documental.
El artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el responsable del
mismo.”
El deber de secreto tiene como finalidad evitar que, por parte de quienes están
en contacto con los datos personales almacenados en ficheros, se realicen
filtraciones de los datos no consentidas por los titulares de los mismos. Así, el
Tribunal Superior de Justicia de Madrid declaró en su sentencia de 19 de julio
de 2001: “El deber de guardar secreto del artículo 10 queda definido por el
carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene
facultad de disposición el sujeto afectado, pues no en vano el derecho a la
intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita
la comunicación a cualquier tercero, con independencia de la relación que
mantenga con él la persona a que se refiera la información (...)”.
En este sentido, la Audiencia Nacional también ha señalado, entre otras, en
sentencias de fechas 14 de septiembre de 2001 y 29 de septiembre de 2004 lo
siguiente: “Este deber de sigilo resulta esencial en las sociedades actuales
cada vez mas complejas, en las que los avances de la técnica sitúan a la
persona en zonas de riesgo para la protección de derechos fundamentales,
como la intimidad o el derecho a la protección de los datos que recoge el
artículo 18.4 de la CE.
En efecto, este precepto contiene un <<instituto de garantía de los derechos a
la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos
que, además, es en sí mismo un derecho o libertad fundamental, el derecho a
la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la
persona provenientes de un uso ilegítimo del tratamiento mecanizado de
datos>> (STC 292/2000). Derecho fundamental a la protección de los datos
que <<persigue garantizar a esa persona un poder de control sobre sus datos
personales, sobre su uso y destino>> (STC 292/2000) que impida que se
produzcan situaciones atentatorias con la dignidad de la persona, <<es decir, el
poder de resguardar su vida privada de una publicidad no querida>>.
También hay tener en consideración lo alegado por el Colegio de Abogados al
decir que el artículo 53 del Estatuto General de la Abogacía estable que:
“Son atribuciones de la Junta de gobierno:
o) Informar a los colegiados con prontitud de cuantas cuestiones conozca que
puedan afectarles ya sean de índole corporativa, colegial, profesional o cultural.
(...)
Página 313 de 353
s) recaudar, distribuir y administrar los fondos del Colegio; redactar los
presupuestos, rendir las cuentas anuales y proponer a la Junta General la
inversión o disposición del patrimonio colegial, si se tratare de inmuebles”.
Así, el despido de un empleado afecta al colegiado, ya que el Colegio de
Abogados en sí se sustenta principalmente por cuotas de colegiados y en
menor medida por subvenciones.
Y en el artículo 57 dice a su vez que:
“La Junta General ordinaria a celebrar en el primer trimestre de cada año
tendrá el siguiente orden del día:
2o Examen y votación de la cuenta general de gastos e ingresos del ejercicio
anterior.”
V
No obstante, los artículos 24.2 de la Constitución Española y 137 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, reconocen el derecho a la
presunción de inocencia en el ámbito del procedimiento administrativo
sancionador. Su contenido esencial implica no sólo la acreditación de los
hechos ilícitos, sino también “...la prueba de la responsabilidad del sujeto en la
comisión de los mismos” (sentencia del Tribunal Supremo de 2 de julio de
1990).
La presunción de inocencia debe regir, sin excepciones, en el ordenamiento
sancionador y ha de ser respetada en la imposición de cualesquiera sanciones,
pues el ejercicio del “ius puniendi” del Estado, en sus diversas manifestaciones,
está condicionado al juego de la prueba y a un procedimiento contradictorio en
el que puedan defenderse las propias posiciones. En tal sentido, el Tribunal
Constitucional, en su sentencia 76/1990 de 26 de abril de 2004, consideraba
que el derecho a la presunción de inocencia comporta: “que la sanción esté
basada en actos o medios probatorios de cargo o incriminadores de la
conducta reprochada; que la carga de la prueba corresponda a quien acusa,
sin que nadie esté obligado a probar su propia inocencia; y que cualquier
insuficiencia en el resultado de las pruebas practicadas, libremente valorado
por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio.”
Conforme señalaba, asimismo, el Tribunal Supremo, en su sentencia de 26 de
octubre de 1998, el derecho a la presunción de inocencia “no se opone a que la
convicción judicial en un proceso pueda formarse sobre la base de una prueba
indiciaria, pero para que esta prueba pueda desvirtuar dicha presunción debe
satisfacer las siguientes exigencias constitucionales: los indicios han de estar
plenamente probados – no puede tratarse de meras sospechas – y tiene que
explicitar el razonamiento en virtud del cual, partiendo de los indicios probados,
ha llegado a la conclusión de que el imputado realizó la conducta
infractora, pues, de otro modo, ni la subsunción estaría fundada en Derecho ni
habría manera de determinar si el proceso deductivo es arbitrario, irracional o
absurdo, es decir, si se ha vulnerado el derecho a la presunción de inocencia al
estimar que la actividad probatoria pueda entenderse de cargo.”
Como conclusión de las actuaciones realizadas por parte de la Inspección de
Datos y del presente procedimiento en relación a los hechos comunicados por
Da. H.H.H. y, en atención a lo expuesto, no se ha podido acreditar que los
datos que dan soporte a la información difundida fuesen excesivos.
Ello frente a la certeza y concreción exigida en estos supuestos para poder
calificar la conducta como sancionable, debe concluirse que no existe prueba
Página 314 de 353
de cargo suficiente, por lo que procede acordar en archivo del presente
expediente.
En todo caso, si se considera lesionado el derecho al honor o a la intimidad
personal, la persona afectada podrá acudir a los tribunales de la jurisdicción
ordinaria de orden civil, al amparo de la Ley Orgánica 1/1982, de 5 de mayo, de
Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la
Propia Imagen, dado que la Agencia Española de Protección de Datos no es el
órgano competente para dirimir estas cuestiones, que deben ser resueltas en
sede jurisdiccional.
En consecuencia, no se aprecia infracción de la normativa de protección de
datos personales por parte de la entidad investigada, por lo que procede el
archivo de las presentes actuaciones.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA:
PROCEDER AL ARCHIVO de las presentes actuaciones.
NOTIFICAR la presente Resolución al ILUSTRE COLEGIO DE ABOGADOS
DE ALAVA y a Da. H.H.H..
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 17 de diciembre de 2009
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 315 de 353
Expediente No: E/00259/2010
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante la AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA en
virtud de denuncia presentada ante la misma por don A.A.A. y en base a los
siguientes
HECHOS
PRIMERO: Con fecha 25 de enero de 2010, tuvo entrada en esta Agencia un
escrito de don A.A.A. (en lo sucesivo el denunciante) en el que denuncia a la
AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA (AEAT), en relación
con el acceso por terceros a datos del denunciante por medio de la firma
electrónica que tiene instalada en el ordenador de otros colaboradores de su
despacho profesional.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
El denunciante, que se declara “colaborador social” de la AEAT, ha declarado
que desde que entró en funcionamiento la sede electrónica de la AEAT viene
observando que el enlace “Mis expedientes” de la Oficina Virtual permite que
colaboradores suyos, que por razones de trabajo tienen instalada en sus
respectivos ordenadores la firma electrónica del denunciante, accedan al
expediente de este.
En respuesta al requerimiento efectuado por la Inspección de Datos, la AEAT
ha manifestado lo siguiente en relación con el procedimiento de colaboración
social al que se refiere el denunciante:
“1. La colaboración social en el ámbito tributario como instrumento para permitir
la actuación electrónica a través de representante. 1.1 La Administración
Tributaria ha tratado de fomentar al máximo la utilización de los medios
electrónicos en sus relaciones con los ciudadanos. Para ello ha fomentado la
utilización del registro electrónico, con medidas como la obligatoriedad de la
utilización de la vía electrónica en algunos casos en los que así lo permite la
ley, pero sobre todo, facilitando la actuación electrónica a través de
representante.
1.2 Presentación electrónica a través de representante. De acuerdo con el
régimen general, la actuación ante la Administración, salvo para actos de mero
trámite, en representación de tercero exige la acreditación de la representación
por cualquier medio válido en derecho que deje constancia fidedigna o
mediante comparecencia personal del interesado.
La aplicación de este régimen a la actuación a través de medios electrónicos
haría normalmente perder las ventajas de tal actuación, que se vería dilatada
por la necesaria acreditación de la representación por los medios
convencionales, en cuanto que los apoderamientos en documentos
electrónicos, como un poder notarial electrónico, con firma electrónica del
notario, no se hallan aún generalizados y además aún no se contempla la
posibilidad de su aportación por vía telemática.
Página 316 de 353
Para paliar este inconveniente y permitir la generalización de la actuación ante
la Administración en representación de terceros por vía electrónica se han
adoptado, en el ámbito tributario algunas medidas entre las que destacan la
regulación de la colaboración social.
2. Colaboración social
2.1 Naturaleza y regulación
La colaboración social en la gestión de los tributos implica la participación
activa de las entidades, instituciones y organismos representativos de sectores
o intereses sociales, laborales, empresariales o profesionales, para facilitar y
favorecer el cumplimiento de las obligaciones tributarias por parte de los
contribuyentes.
El artículo 92 de la Ley 5 8/2003, General Tributaria, de forma similar a como lo
hacía la Ley General tributaria de 1963, recoge la figura de la colaboración
social, estableciendo los diferentes aspectos a los que puede referirse, - como
realización de estudios o informes sobre la aplicación de disposiciones
generales, simplificación del cumplimiento de las obligaciones tributarias,
asistencia en la confección de liquidaciones;- De ellos nos interesa el de la
“presentación y remisión a la Administración Tributaria de autoliquidaciones,
declaraciones, comunicaciones o cualquier otro documento con trascendencia
tributaria, previa autorización de los obligados tributarios”.
El Reglamento de Aplicación de los Tributos, aprobado por Real Decreto
1065/2007, de 27 de julio, que se ocupa de la colaboración social en los
artículos 79 y 81, y en el ámbito de las competencias del Estado, prevé que el
Ministro de Economía y Hacienda determine los requisitos y condiciones para
la presentación electrónica de documentos con trascendencia tributaria en el
marco de los acuerdos de colaboración social.
2.2 Principales aspectos de su régimen jurídico.
A) Régimen de acreditación de la representación
La particularidad de colaboración social para la presentación electrónica de
documentos en nombre de terceros radica en que el colaborador social, en
virtud de convenio firmado al efecto, puede actuar en representación de tercero
en la presentación telemática de declaraciones, comunicaciones y otros
documentos tributarios, sin tener que acreditar la representación con la que
actúa, si bien sí debe estar en condiciones de hacerlo, pues deberá aportar los
documentos que la acrediten si es requerido expresamente para ello.
En este marco jurídico, la principal característica de la colaboración social viene
determinada por su especial régimen de acreditación de la representación que
han de ostentar del tercero en cuyo nombre actúan. Este régimen se recoge
actualmente en el artículo 46.4 de la LGT 58/2003, en cuanto prevé:
“4. Cuando en el marco de la colaboración social en la Lestión tributaria, o en
los supuestos que se prevean reglamentariamente, se presente por medios
telemáticos cualquier documento ante la Administración tributaria, el
presentador actuará con la representación que sea necesaria en cada caso. La
Administración tributaria podrá requerir, en cualquier momento, la acreditación
de dicha representación, que podrá efectuarse de acuerdo con lo establecido
en el apartado 2 de este artículo.”
Ello no supone modificación alguna de la existencia de representación
suficiente, con la que debe contar en todo momento el colaborador social, sino
que se flexibiliza la exigencia de su acreditación fehaciente, que sólo será
exigible a requerimiento expreso de la Administración.
Página 317 de 353
B) Sujetos de la colaboración social
Administraciones públicas, entidades privadas o instituciones u organizaciones
representativas de sectores o intereses sociales, laborales o empresariales. (El
artículo 79.1 RAT las enumera)
Entre ellas aparecen las instituciones y organizaciones representativas de
sectores o intereses sociales, laborales, empresariales o profesionales,
entendiéndose incluidas, a estos efectos, las organizaciones corporativas de
las profesiones colegiadas. En estos casos, los acuerdos firmados pueden
extender sus efectos a las personas o entidades colegiados, asociados o
miembros de la institución u organización firmante, mediante la firma, por los
interesados, de un documento individualizado de adhesión, salvo en el caso de
convenios con Notarios y Registradores, en los que no será necesario la firma
del documento individualizado de adhesión.
C) Forma
La colaboración social se instrumenta a través de Convenios de colaboración.
En el caso de que los convenios se firmen con asociaciones u otros colectivos
de personas, las personas que formen parte de esos colectivos (como es ci
caso del interesado), pueden adherirse al convenio, mediante la firma de un
documento individualizado de adhesión, momento desde el cual podrá actuar
como colaboradores sociales para la presentación de documentos
electrónicamente en nombre de terceros.
Los colaboradores sociales, para actuar como tales en la presentación
electrónica de documentos en nombre de terceros, deben disponer del
certificado de firma electrónica X.509.V3 expedido por la Fábrica Nacional de
Moneda y Timbre-Real Casa de la Moneda, de acuerdo con el procedimiento
establecido en los Anexos de la Orden de 24 de abril de 2000, por la que se
establecen las condiciones generales y el procedimiento para la presentación
telemática de declaraciones del IRPF, si bien son igualmente válidos los
certificados expedidos por aquellas otras entidades prestadoras de servicios de
certificación electrónica cuyos certificados hayan sido admitidos por la AEAT a
efectos de cumplimiento de las obligaciones tributarias.
Así, cuando el colaborador social vaya a presentar un documento a través del
registro electrónico de la AEAT deberá identificarse con su certificado de firma
electrónica que deberá estar entre los certificados admitidos por la AEAT. No
se trata de un certificado de firma electrónica de atributos en el que conste su
condición de colaborador social, sino un certificado normal que permita su
identificación como persona física o, en su caso, persona jurídica. Una vez
identificado, las aplicaciones informáticas de la AEAT comprueban si es
colaborador social y el ámbito en el que puede actuar como tal, si bien tal
comprobación se realiza con la información que obra en las bases de datos de
la AEAT a las que se incorpora la condición de colaborador social de quienes
hayan firmado los correspondientes convenios o se hayan adherido a ellos.
De acuerdo con ello el colaborador social utiliza un mismo certificado para
actuar en su nombre o en nombre de otro, pues lo único que tiene que hacer
con su certificado es identificarse, ya que la comprobación de ámbito en el que
puede actuar se realiza mediante el cotejo de su identificación con la
información que obra en las bases de la AEAT.
Así, si, por ejemplo, [el denunciante] quiere presentar una declaración de IRPF
en nombre de un cliente, utilizará su certificado de firma electrónica que lo
identifica como [nombre y apellidos del denunciante - DNI] y, una vez
Página 318 de 353
identificado, las aplicaciones de la AEAT comprobarán, mediante consulta a
sus bases de datos, si puede actuar en nombre del cliente para realizar la
gestión, lo que así será si consta en las bases de la AEAT su condición de
colaborador social para la presentación de declaraciones de IRPF. Si es así, le
permitirá hacerlo.
D) Efectos de la utilización del certificado de colaboración social por terceros.
La utilización del certificado de firma electrónica del colaborador social por
terceros a quienes el colaborador social se lo haya facilitado constituye una
triple infracción:
En primer lugar, el colaborador social incumple las obligaciones asumidas al
solicitar y obtener el certificado de firma electrónica, como son las de custodia y
no revelación de datos que permitan operar con el certificado. Así resulta del
artículo 23 de la Ley 59/2003, de 19 de diciembre, de firma electrónica que
exonera de responsabilidad a los prestadores de servicios de certificación por
los daños y perjuicios ocasionados al firmante o terceros de buena fe, si el
firmante incurre en negligencia en la conservación de sus datos de creación de
firma, en el aseguramiento de su confidencialidad y en la protección de todo
acceso o revelación. En este sentido, la declaración de prácticas de
certificación de la Fábrica Nacional de Moneda y Timbre- Real Casa de la
Moneda, que el solicitante del certificado de firma electrónica debe declarar
conocer y aceptar, señala, entre las obligaciones del suscriptor, la de actuar
con diligencia respecto de la custodia y conservación de los Datos de Creación
de Firma o cualquier otra información sensible como claves, códigos de
activación del certificado, palabras de acceso, números de identificación
personal, etc
• Igualmente permite que sus empleados vulneren el régimen de colaboración
social, suplantando su identidad al actuar con su certificado de firma
electrónica, de forma que con ello, a pesar de no tener la condición de
colaboradores sociales, consiguen realizar una gestión que solo pueden
realizar éstos.
• Por último, igualmente infringirán la representación que para actuar en
nombre de terceros ha de tener el colaborador social, que autoriza a éste, y no
a otros, a presentar en su nombre escritos ante la AEAT de forma electrónica.”
3. En relación con la aceptación, por parte del denunciante, de las condiciones
en que debe desarrollar su tarea de “colaboración social” y a la posible
delegación de esa tarea, la AEAT ha aportado a la Agencia copia del
documento de adhesión del interesado al convenio de colaboración social
firmado por el Colegio de Abogados de Valladolid, producida el 24 de
noviembre de 2003, a través de la cual adquirió la condición de colaborador
social, así como copia de dicho convenio. La AEAT ha señalado que “la
imposibilidad de delegar las labores del colaborador social para la presentación
electrónica de documentos en nombre de terceros deriva del propio régimen
jurídico de la colaboración social y de la firma electrónica, lo que no puede
alterarse, como de hecho no se altera, a través de los convenios de
colaboración social ni de las adhesiones a los mismos.” A este respecto, la
AEAT ha manifestado: “El certificado de firma electrónica es el instrumento con
el que el interesado se identifica como [nombre y apellidos del denunciante],
pudiendo con él realizar ante la Administración tributaria todo lo que pueda
hacer en su nombre o en el nombre de terceros como colaborador social.”
También ha remitido a la Agencia copia de la solicitud del certificado de firma
Página 319 de 353
electrónica de la FNMT- RCM, firmado por el interesado, asumiendo “las
correspondientes obligaciones de confidencialidad que obran en las
condiciones de utilización que declara conocer y aceptar.” A juicio de la
AEAT, es responsabilidad del denunciante “la custodia y utilización del
certificado, pues todo lo que venga firmado con ese certificado se le imputará.
Por lo tanto, si lo cede a un tercero, asumirá la responsabilidad de lo que ese
tercero realice con él y los daños o perjuicios que ello le origine. [...] En el caso
de la colaboración social además, la conducta que reconoce realizar vulnera
directamente el régimen de la colaboración social, pues sólo pueden actuar
como colaboradores sociales quienes lo sean, que deberán tener en su poder
la representación otorgada por el interesado para que actúe en su nombre. Así
el colaborador social debe tener la representación de sus clientes lo que le
habilita sólo a él a actuar en nombre del cliente, no a sus colaboradores. La
conducta que el denunciante reconoce consiste en que a pesar de ser él quien
tiene la representación de sus clientes, en realidad la gestión la realizan sus
colaboradores, suplantándole (aunque con su consentimiento), a pesar de
carecer de la representación para actuar en nombre de tercero y la condición
de colaborador social. Ello supone una vulneración del régimen de la
colaboración social y un posible engaño a sus clientes que le apoderan a él y
no a sus colaboradores.”
4. En resumen, la AEAT entiende que el denunciante “ha incumplido su deber
de custodia y confidencialidad de los datos de su certificado de firma
electrónica”, así como las “obligaciones propias de su condición de colaborador
social permitiendo su suplantación por terceros que no tienen tal condición”,
vulnerando “la representación otorgada por sus clientes pues, de acuerdo con
el régimen de colaboración social, han debido designarle a él como
representante para presentar electrónicamente documentos ante la AEAT, si
bien tal actuación se ha producido por un tercero que carece de tal
representación.”
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
El artículo 9 de la LOPD establece en su apartado 1: “El responsable del
fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las
medidas de índole técnica y organizativas necesarias que garanticen la
seguridad de los datos de carácter personal y eviten su alteración, pérdida,
tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología,
la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya
provengan de la acción humana o del medio físico o natural.”
El artículo 93 del Reglamento de desarrollo de la LOPD, aprobado mediante
Real Decreto 1720/2007, de 21 de diciembre, establece en su apartado 1: “El
responsable del fichero o tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios”.
La AEAT, de conformidad con lo previsto en el artículo 1 de la Ley 11/2007, de
acceso de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios
Públicos, ofrece al denunciante la posibilidad de acceder electrónicamente a
Página 320 de 353
los expedientes que le conciernen, los cuales incluyen datos de carácter
personal contenidos en ficheros de los que es responsable la propia AEAT.
Para garantizar la correcta identificación y autenticación de los ciudadanos
resulta un medio válido el certificado electrónico emitido por la Fábrica Nacional
de Moneda y Timbre (FNMT).
En el escenario planteado por el denunciante, por su condición de colaborador
con la AEAT asume unas funciones de intermediación indelegables, para las
que debe también hacer uso de su certificado electrónico personal emitido por
la FNMT, de acuerdo con lo previsto en las condiciones del convenio de
colaboración suscrito.
El derecho de los ciudadanos a hacer uso de su certificado electrónico personal
en sus relaciones con la Administración Pública lleva asociadas, no obstante,
ciertas obligaciones de confidencialidad por parte de los ciudadanos, las cuales
contribuyen a garantizar que su identidad sea adecuadamente autenticada,
entre ellas la de proteger las claves privadas y custodiar los certificados
asociados, tomando las precauciones razonables para evitar su pérdida,
revelación, alteración o uso no autorizado, previsión esta que no parece haber
sido convenientemente atendida por el denunciante, al no haber impedido el
uso por terceros de su propio certificado electrónico.
Por lo tanto, de acuerdo con lo señalado y sin perjuicio de las
responsabilidades en que pudiera haber incurrido el denunciante en su
condición de colaborador social de la AEAT,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
2. NOTIFICAR la presente Resolución a la AGENCIA ESTATAL DE
ADMINISTRACIÓN TRIBUTARIA y a don A.A.A..
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el Reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Página 321 de 353
Madrid, 16 de noviembre de 2010
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 322 de 353
Expediente No: E/02319/2010
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante Da. A.A.A., en virtud de denuncia presentada ante la misma por Da.
B.B.B. y D. C.C.C. Y OTRO y en base a los siguientes
HECHOS
PRIMERO: Con fecha de 4 de junio 2010 tiene entrada en esta Agencia escrito
remitido por Da. B.B.B. y D. C.C.C. (en adelante los denunciantes)
comunicando posible infracción a la Ley Orgánica 15/1999 motivada por la
existencia de cámaras de videovigilancia en (C/...........1) de Colmenar Viejo
(Madrid) cuyos titulares son Da. A.A.A. Y SU ESPOSO (en adelante los
denunciados) afectando a la privacidad de la familia de los denunciantes en su
propia vivienda. Por otra parte los denunciantes manifiestan haber sido
grabados en la vía pública por los denunciados y las imágenes han sido
aportadas como prueba en una denuncia.
Adjunta a su denuncia CD con la grabación realizada y copia de la diligencia en
la que se hace constar que no se aprecia ilícito penal en las referidas imágenes
contenidas en el CD.
En el CD aportada por los denunciantes se aprecian del orden de dos minutos
y medio de imágenes con inscripción de la fecha correspondiente al 7 de
agosto de 2009, en dichas imágenes se aprecia a una persona tras la valla que
separa una vivienda de la vía pública.
SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos:
Con fecha 19 de julio de 2010 y se solicita información al denunciado teniendo
entrada en esta Agencia con fecha 17 de agosto de 2010 escrito en el que
manifiesta:
“ ... que no existe como tal un sistema de videovigilancia instalado, pues las
dos cámaras que se encuentran dentro de mi domicilio, es decir, dirigidas al
interior, y en absoluto al exterior o vía pública, están desconectadas desde que
se ubicaron en el mismo, y por ello no se ha realizado grabación alguna con las
mismas, si bien, efectivamente existe carteles de información de su existencia,
es a efectos disuasorios, pues como ya hemos comentado se encuentran
desconectadas, y en ningún momento se han captado imágenes con las
citadas cámaras.”
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
Página 323 de 353
En primer lugar procede situar la materia de videovigilancia en su entorno
normativo. Así el artículo 1 de la LOPD dispone: “La presente Ley Orgánica
tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor e intimidad personal y familiar”
En cuanto al ámbito de aplicación de la LOPD, el artículo 2.1 de la misma
señala: “La presente Ley Orgánica será de aplicación a los datos de carácter
personal registrados en soporte físico que los haga susceptibles de tratamiento,
y a toda modalidad de uso posterior de estos datos por los sectores público y
privado”, definiéndose el concepto de dato de carácter personal en el apartado
a) del artículo 3 de la LOPD, como “Cualquier información concerniente a
personas físicas identificadas o identificables”.
El artículo 3 de la LOPD define en su letra c) el tratamiento de datos como
aquellas “operaciones y procedimientos técnicos de carácter automatizado o
no, que permitan la recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias”.
El artículo 5.1. f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal, define datos de
carácter personal como: “Cualquier información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas
identificadas o identificables”.
En este mismo sentido se pronuncia el artículo 2.a) de la Directiva 95/46/CE del
Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la Protección
de las Personas Físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos, según el cual, a efectos de dicha
Directiva, se entiende por dato personal “toda información sobre una persona
física identificada o identificable; se considerará identificable toda persona cuya
identidad pueda determinarse, directa o indirectamente, en particular mediante
un número de identificación o uno o varios elementos específicos,
característicos de su identidad física, fisiológica, psíquica, económica, cultural o
social”. Asimismo, el Considerando 26 de esta Directiva se refiere a esta
cuestión señalando que, para determinar si una persona es identificable, hay
que considerar el conjunto de los medios que puedan ser razonablemente
utilizados por el responsable del tratamiento o por cualquier otra persona para
identificar a aquélla.
La Exposición de Motivos de la Instrucción 1/2006, de 8 de noviembre, de esta
Agencia Española de Protección de Datos, relativa al tratamiento de los datos
con fines de videovigilancia señala que: “La seguridad y la vigilancia, elementos
presentes en la sociedad actual, no son incompatibles con el derecho
fundamental a la protección de la imagen como dato personal, lo que en
consecuencia exige respetar la normativa existente en materia de protección de
datos, para de esta manera mantener la confianza de la ciudadanía en el
sistema democrático”. Sigue señalando: “Las imágenes se consideran un dato
de carácter personal, en virtud de los establecido en el artículo 3 de la Ley
Orgánica 15/1999...”.
La garantía del derecho a la protección de datos, conferida por la normativa de
referencia, requiere que exista una actuación que constituya un tratamiento de
Página 324 de 353
datos personales en el sentido expresado. En otro caso las mencionadas
disposiciones no serán de aplicación.
Por su parte, la citada Instrucción 1/2006, dispone en su artículo 1.1 lo
siguiente:
“1. La presente Instrucción se aplica al tratamiento de datos personales de
imágenes de personas físicas identificadas o identificables, con fines de
vigilancia a través de sistemas de cámaras y videocámaras.
El tratamiento
objeto de esta Instrucción comprende la grabación, captación, transmisión,
conservación, y almacenamiento de imágenes, incluida su reproducción o
emisión en tiempo real, así como el tratamiento que resulte de los datos
personales relacionados con aquéllas. Se considerará identificable una persona
cuando su identidad pueda determinarse mediante los tratamientos a los que
se refiere la presente instrucción, sin que ello requiera plazos o actividades
desproporcionados.
Las referencias contenidas en esta Instrucción a videocámaras y cámaras se
entenderán hechas también a cualquier medio técnico análogo y, en general, a
cualquier sistema que permita los tratamientos previstos en la misma.” (el
subrayado es de la Agencia Española de Protección de Datos).
La Instrucción 1/2006 en su artículo 2 establece lo siguiente:
“1. Sólo será posible el tratamiento de los datos objeto de la presente
instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y
2 y el artículo 11.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.
2. Sin perjuicio de lo establecido
en el apartado anterior la instalación de cámaras y videocámaras deberá
respetar en todo caso los requisitos exigidos por la legislación vigente en la
materia.”
De lo anteriormente expuesto se desprende que el concepto de dato personal,
según la definición de la LOPD, requiere la concurrencia de un doble elemento:
por una parte, la existencia de una información o dato y, por otra, que dicho
dato pueda vincularse a una persona física identificada o identificable, por lo
que la imagen de una persona física identificada o identificable constituye un
dato de carácter personal.
De acuerdo con los preceptos transcritos, la cámara reproduce la imagen de
los afectados por este tipo de tratamientos y, a efectos de la LOPD, la imagen
de una persona constituye un dato de carácter personal, toda vez que la
información que capta concierne a personas que las hacen identificadas o
identificables y suministra información sobre la imagen personal de éstas, el
lugar de su captación y la actividad desarrollada por el individuo al que la
imagen se refiere.
III
En el presente expediente se denuncia por parte de Da. B.B.B. Y D.C.C.C., a
su vecina Da A.A.A. y esposo, en primer lugar, por la aportación por los
denunciados, en fecha 28 de julio de 2009, de las captaciones realizadas
desde su vivienda a la denunciante con una cámara y aportadas como prueba
a los Juzgados del Partido Judicial de Colmerar Viejo, de supuestos actos
ilícitos realizados por la denunciante en las plantas de su jardín, y en segundo
lugar, la instalación por parte de los denunciados con posterioridad a la
Página 325 de 353
denuncia, de dos cámaras de videovigilancia que podrían captar imágenes de
la vivienda de los denunciantes.
En primer lugar procede analizar la aportación por parte de los denunciados de
las captaciones realizadas por una cámara desde la ventana de su casa, según
los denunciantes, con el fin de obtener pruebas para aportar en juicio, del autor
de los daños que se vienen produciendo en las plantas de su jardín. Por lo
tanto el objetivo de la captación de las citadas imágenes, objeto de denuncia,
es demostrar judicialmente el autor o autores de los daños producidos en su
propiedad dando traslado al Juez, con el fin de incoar en su caso el
correspondiente procedimiento judicial. Asimismo cabe señalar que las
imágenes captadas no tienen buena calidad.
Hay que señalar respecto al consentimiento que el artículo 6 de la LOPD nos
dice, en sus puntos 1o y 2o, lo siguiente :
“1.-El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa
2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones
públicas en el ámbito de sus competencias; cuando se refieran a las partes de
un contrato o precontrato de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento
de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos
figuren en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o por
el del tercero a quien se comuniquen los datos, siempre que no se vulneren los
derechos y libertades fundamentales del interesado.”(el subrayado es de la
Agencia Española de Protección de Datos).
Por otro lado, junto a lo dispuesto en el artículo 6.2 de la LOPD, el artículo 11
de la LOPD, recoge otras excepciones, complementarias a las anteriores, a la
exigencia del consentimiento:
“1.- Los datos de carácter personal objeto de tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el
previo consentimiento del interesado. 2.-El consentimiento exigido en el
apartado anterior no será preciso: a.-Cuando la cesión esté autorizada en una
ley.(...)
d.-Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas.(...)”( el
subrayado es de la Agencia Española de Protección de Datos).
En este caso, la controversia se refiere a la grabación para su aportación en
juicio, de las imágenes de la denunciante, captadas con una cámara por la
denunciada desde su propiedad, dentro de los medios de prueba en
procedimientos jurisdiccionales, para la defensa de sus intereses legítimos. Así
hemos de partir de lo indicado en el artículo 24 de la Constitución, apartados 1
y 2, referidos a la “Tutela Judicial Efectiva”, y que dispone lo siguiente:
“1. Todas las personas tienen derecho a obtener la tutela efectiva de los jueces
y tribunales en el ejercicio de sus derechos e intereses legítimos, sin que en
ningún caso, pueda producirse indefensión.
Página 326 de 353
2. Asimismo, todos tienen derecho a utilizar los medios de prueba pertinentes
para su defensa.”
Así, teniendo en cuenta lo anterior, en el caso en el que se lleve a cabo un
tratamiento de datos sin consentimiento de su titular realizado como parte de la
defensa en un procedimiento o como elemento que acompañare una demanda,
este hecho produce una colisión entre el derecho a la protección de datos de
carácter personal, y el derecho a la tutela judicial efectiva de los jueces y
tribunales, contenido en el artículo 24 de la Constitución, anteriormente
trascrito.
Por otro lado, hay que señalar que el artículo 299 de la Ley 1/2000, de 7 de
enero de Enjuiciamiento Civil, admite la aportación como medio de prueba, de
medios de reproducción de imágenes que sean relevantes para el proceso. Así
establece, el precitado artículo:
“1. Los medios de prueba de que se podrá hacer uso en juicio son:
Interrogatorio de las partes.
Documentos públicos.
Documentos privados.
Dictamen de peritos.
Reconocimiento judicial.
Interrogatorio de testigos. 2. También se admitirán, conforme a lo dispuesto
en esta Ley, los medios de reproducción de la palabra, el sonido y la imagen,
así como los instrumentos que permiten archivar y conocer o reproducir
palabras, datos, cifras y operaciones matemáticas llevadas a cabo con fines
contables o de otra clase, relevantes para el proceso..
2. Cuando por cualquier otro medio no expresamente previsto en los apartados
anteriores de este artículo pudiera obtenerse certeza sobre hechos relevantes,
el tribunal, a instancia de parte, lo admitirá como prueba, adoptando las
medidas que en cada caso resulten necesarias”.
A este respecto, el artículo 11 de la LOPD, establece como norma general que
para ceder los datos de carácter personal a un tercero debe contarse con el
consentimiento previo del interesado. No obstante, el párrafo 2 del mismo
artículo señala una lista de excepciones, en cuyo apartado 2.d) señala: “El
consentimiento exigido en el apartado anterior no será preciso: Cuando la
comunicación que deba efectuarse tenga por destinatario al Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas,
en el ejercicio de las funciones que tienen atribuidas...”.
A la vista de estos preceptos, el legislador ha creado un sistema en que el
derecho a la protección de datos de carácter personal cede en aquellos
supuestos en que el propio legislador (constitucional u ordinario) haya
considerado la existencia de motivos razonados y fundados que justifiquen la
necesidad del tratamiento de los datos, incorporando dichos supuestos a
normas de, al menos, el mismo rango que la que regula la materia protegida.
En efecto, la exigibilidad del consentimiento del oponente para el tratamiento
de sus datos supondría dejar a disposición de aquél el almacenamiento de la
información necesaria para que el denunciante pueda ejercer, en plenitud, su
derecho a la tutela judicial efectiva. Así, la falta de estos datos o su
comunicación a la contraparte, puede implicar, lógicamente, una merma en la
posibilidad de aportación por el interesado de "los medios de prueba
pertinentes para su defensa", vulnerándose otra de las garantías derivadas del
Página 327 de 353
citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el
pleno desenvolvimiento de este derecho.
La Sentencia del Tribunal Supremo de 6 de abril de 1994, establece: “El
derecho a utilizar la prueba pertinente pertenece a todas las partes, acusadoras
y acusadas, porque forma parte esencial del derecho más amplio a la tutela
judicial efectiva y a un proceso justo, sin dilaciones indebidas y con todas las
garantías. Esta prueba no sería utilizable cuando, por razón de su origen y
desarrollo, fuera nula de pleno derecho y lo será, sin duda, cuando atentara a
algún derecho fundamental o introdujera una situación de indefensión, lo que
no ha acontecido en este caso, por lo que debe dar lugar a la desestimación
del motivo...”.
“... Es legítima la prueba que consiste en una filmación videográfica si la misma
no ha vulnerado algún derecho, es decir, si con ella no se ha violado la
intimidad o la dignidad de la persona afectada por la filmación...”.
Así pues, en este caso, los denunciados, estaban habilitados para presentar,
ante el Juzgado la citada prueba videográfica, sin contar con el consentimiento
previo de los denunciantes, al existir una habilitación legal para ello, a tenor del
artículo 11.2.d). Así la aportación de la prueba videográfica, tuvo como finalidad
la defensa e intereses legítimos de los denunciados.
Por tanto, y en base a la doctrina y jurisprudencia instaurada dentro del ámbito
de protección de datos vista, la aportación de los datos recabados por los
denunciados, dentro de un procedimiento judicial no supone una vulneración de
la LOPD, por lo que para este caso no cabría calificar como ilegítima la
actuación de los mismos.
IV
Por otro lado, respecto al artículo 4 de la LOPD, los datos obtenidos se
consideran adecuados, pertinentes y no excesivos en relación con el ámbito y
las finalidades determinadas y explícitas para la que fueron obtenidos, no
siendo otro su objetivo que el constituir un elemento probatorio en un
procedimiento judicial.
De conformidad con la doctrina del Tribunal Constitucional, la
constitucionalidad de cualquier medida restrictiva de derechos fundamentales
viene determinada por la estricta observancia del principio de proporcionalidad.
A los efectos que aquí importan, basta recordar que (como sintetizan las SSTC
66/1995, de 8 de mayo [RTC 1995\66], F.5; 55/1996, de 28 de marzo [RTC
1996\55], FF. 6, 7, 8 y 9; 207/1996, de 16 de diciembre [RTC1996\207], F.4.e) y
37/1998, de 17 de febrero [RTC 1998\37], F.8) para comprobar si una medida
restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es
necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal
medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad);
si, además, es necesaria, en el sentido de que no exista otra medida más
moderada para la consecución de tal propósito con igual eficacia (juicio de
necesidad); y, finalmente, si la misma es ponderada o equilibrada, por
derivarse de ella más beneficios o ventajas para el interés general que
perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad
en sentido estricto).
En primer lugar, debemos analizar si la medida adoptada por los denunciados
es adecuada y, en efecto, concluimos que así era pues su objetivo era obtener
pruebas del autor de los daños y perjuicios que se venían produciendo en su
propiedad.
Página 328 de 353
Resultaba idónea y necesaria ya que se trataba de recabar exclusivamente
pruebas de cómo se habían producido los supuestos daños en su jardín, y es
equilibrada pues la grabación se limita a una determinada zona limitada, y a
dos minutos y medio de un día, en los que se producen los supuestos daños.
De conformidad con la normativa expuesta, la captación de imágenes a través
de videocámaras constituye un tratamiento de datos personales. Sin embargo,
en el supuesto que nos ocupa, la captación de las imágenes objeto de
denuncia, fueron utilizadas como medio de prueba en un procedimiento judicial,
donde ha sido admitida, (si bien visionada la cinta no se apreció ilícito penal), y
cumpliendo los requisitos de finalidad y proporcionalidad exigidos por la actual
normativa en materia de protección de datos.
V
En segundo lugar, se plantea por los denunciantes, la instalación por parte, de
los denunciados de dos cámaras, con posterioridad a la denuncia analizada en
el Fundamento de Derecho anterior, que supuestamente captarían imágenes
de su vivienda.
A este respecto, debe decirse que la resolución del presente expediente pone
de manifiesto que los elementos probatorios aportados en la denuncia basados
en la constatación de la existencia de lo que parecen ser cámaras, no resultan
suficientes para enervar el principio de presunción de inocencia, pues de la
mera existencia de unas cámaras de videovigilancia no se desprende, por un
lado, que las mismas funcionen, que capten imágenes de personas y que las
imágenes captadas sean de tal nitidez que pueda identificarse a las personas,
y, por otro, que la instalación no cumpla con las garantías exigidas en la
normativa de protección de datos
Así, solicitada información al denunciado, por parte de los Servicios de
Inspección de esta Agencia, para el esclarecimiento de los hechos
denunciados, el mismo manifiesta “ ... que no existe como tal un sistema de
videovigilancia instalado, pues las dos cámaras que se encuentran dentro de
mi domicilio, es decir, dirigidas al interior, y en absoluto al exterior o vía pública,
están desconectadas desde que se ubicaron en el mismo, y por ello no se ha
realizado grabación alguna con las mismas, si bien, efectivamente existe
carteles de información de su existencia, es a efectos disuasorios, pues como
ya hemos comentado se encuentran desconectadas, y en ningún momento se
han captado imágenes con las citadas cámaras.”
Por lo tanto, no puede obviarse que al Derecho Administrativo Sancionador le
son de aplicación, con alguna matización pero sin excepciones, los principios
inspiradores del orden penal, resultando clara la plena virtualidad de los
principios de presunción de inocencia. La presunción de inocencia debe regir
sin excepciones en el ordenamiento sancionador y ha de ser respetada en la
imposición de cualesquiera sanciones, pues el ejercicio del ius puniendi en sus
diversas manifestaciones está condicionado al juego de la prueba y a un
procedimiento contradictorio en el que puedan defenderse las propias
posiciones. En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990
considera que el derecho a la presunción de inocencia comporta “que la
sanción esté basada en actos o medios probatorios de cargo o incriminadores
de la conducta reprochada; que la carga de la prueba corresponda a quien
acusa, sin que nadie esté obligado a probar su propia inocencia; y que
cualquier insuficiencia en el resultado de las pruebas practicadas, libremente
valorado por el órgano sancionador, debe traducirse en un pronunciamiento
Página 329 de 353
absolutorio”. De acuerdo con este planteamiento, el artículo 130.1 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común en lo sucesivo LRJPAC),
establece que “Sólo podrán ser sancionados por hechos constitutivos de
infracción administrativa las personas físicas y jurídicas que resulten
responsables de los mismos aún a título de simple inobservancia.”
Conforme señala el Tribunal Supremo (STS 26/10/98) el derecho a la
presunción de inocencia “no se opone a que la convicción judicial en un
proceso pueda formarse sobre la base de una prueba indiciaria, pero para que
esta prueba pueda desvirtuar dicha presunción debe satisfacer las siguientes
exigencias constitucionales: los indicios han de estar plenamente probados –
no puede tratarse de meras sospechas – y tiene que explicitar el razonamiento
en virtud del cual, partiendo de los indicios probados, ha llegado a la conclusión
de que el imputado realizó la conducta infractora, pues, de otro modo, ni la
subsución estaría fundada en Derecho ni habría manera de determinar si el
proceso deductivo es arbitrario, irracional o absurdo, es decir, si se ha
vulnerado el derecho a la presunción de inocencia al estimar que la actividad
probatoria pueda entenderse de cargo.”
El Tribunal Constitucional, en su Sentencia 24/1997, tiene establecido que “los
criterios para distinguir entre pruebas indiciarias capaces de desvirtuar la
presunción de inocencia y las simples sospechas se apoyan en que:
a) La prueba indiciaria ha de partir de hechos plenamente probados.
b) Los
hechos constitutivos de delito deben deducirse de esos indicios (hechos
completamente probados) a través de un proceso mental razonado y acorde
con las reglas del criterio humano, explicitado en la sentencia condenatoria
(SSTC 174/1985, 175/1985, 229/1988, 107/1989, 384/1993 y 206/1994, entre
otras).”
La Sentencia del Tribunal Constitucional de 20/02/1989 indica que “Nuestra
doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos
puedan considerarse como manifestaciones de un genérico favor rei, existe
una diferencia sustancial entre el derecho a la presunción de inocencia, que
desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando
las practicadas no reúnen las garantías procesales y el principio jurisprudencial
in dubio pro reo que pertenece al momento de la valoración o apreciación
probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria
indispensable, exista una duda racional sobre la real concurrencia de los
elementos objetivos y subjetivos que integran el tipo penal de que se trate.”
En definitiva, aquellos principios impiden imputar una infracción administrativa
cuando no se haya obtenido y acreditado una prueba de cargo acreditativa de
los hechos que motivan esta imputación o de la intervención en los mismos del
presunto infractor, aplicando el principio “in dubio pro reo” en caso de duda
respecto de un hecho concreto y determinante, que obliga en todo caso a
resolver dicha duda del modo más favorable al interesado.
En el presente caso, al tratarse de cámaras que no están en funcionamiento,
no existe constancia de que las cámaras instaladas en el lugar denunciado
capten imágenes de personas físicas identificadas o identificables, fuera de la
propiedad del denunciado. Asimismo cabe indicar que de las fotografías
aportadas se infiere, por la orientación de ambas cámaras, que captarían
supuestamente espacios propiedad de los denunciados y por lo tanto tendrían
carácter doméstico.
Página 330 de 353
Por lo tanto, a la vista de lo expuesto, al tratarse de cámaras sin
funcionamiento, al no haberse acreditado la captación o grabación de
imágenes de datos personales por parte del denunciado, y atendiendo al
principio de presunción de inocencia, procede el archivo del presente
expediente de actuaciones previas.
A la vista de lo expuesto, procede el archivo del presente expediente de
actuaciones previas al considerar que no se ha vulnerado la normativa relativa
a la protección de datos, por parte de los denunciados.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
PROCEDER AL ARCHIVO de las presentes actuaciones.
NOTIFICAR la presente Resolución a Da. A.A.A. y D.C.C.C. y a Da. B.B.B... De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el Reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid, 24 de enero de 2011
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 331 de 353
Expediente No: E/01134/2010
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante D.a A.A.A. y G. ELIAS Y MUÑOZ ABOGADOS en virtud de
denuncia presentada ante la misma por D. C.C.C., Da D.D.D., Da E.E.E. y Da
F.F.F., y en base a los siguientes
HECHOS
PRIMERO: Con fecha 16 de marzo de 2010, tuvo entrada en esta Agencia un
escrito de D. C.C.C., Da D.D.D., Da E.E.E. y Da F.F.F., (en lo sucesivo los
denunciantes) en el que denuncian que han recibido en sus domicilios
particulares telegramas individuales por los que se les convoca a una
Asamblea General de trabajadores con el fin de revocar a los miembros del
Comité de Empresa.
SEGUNDO: Mediante escrito con entrada de fecha 26/11/2010 todos los
denunciantes señalan como representante a Da D.D.D..
TERCERO: Tras la recepción de la denuncia, el Director de la Agencia
Española de Protección de Datos ordenó a la Subdirección General de
Inspección de Datos la realización de las actuaciones previas de investigación
para el esclarecimiento de los hechos denunciados, teniendo conocimiento de
los siguientes extremos
1. Solicitada información al despacho de abogados G. Elías y Muñoz
Abogados, S.C., dicho despacho manifiesta:
a) Que Da A.A.A. (en lo sucesivo la denunciada) trabajaba para dicho
despacho en virtud de contrato de trabajo suscrito con el mismo en el que
permitíamos la existencia de clientes a titulo particular.
b) Debido a los gravísimos incumplimientos cometidos por la misma entre ellos
"fraude, deslealtad, trasgresión de la buena fé contractual y abuso de
confianza" se produjo el despido disciplinario.
Entre los diferentes hechos que motivaron la adopción de la medida, se
encontraban, entre otros, los relacionados con la denuncia que originó las
presentes actuaciones, dado que la denunciada actuó al margen del Despacho
en todas las actuaciones que realizó, sin que ni siquiera hubiese carpeta física
del mismo, sin respetar ninguna de las normas de procedimiento existentes en
el Despacho y sin que diese cuenta de las actuaciones que realizaba por lo que
no pudieron conocer ni controlar sus actuaciones.
c) Informa el Despacho de Abogados de la dirección de la denunciada,
aportando como acreditación un justificante de demanda de empleo.
2. Mediante escrito de fecha 27/9/2010 se remitió escrito a la denunciada por el
que se le requería información, escrito devuelto por el servicio de correos.
Remitido nuevo escrito en fecha 18/10/2010, resultó igualmente devuelto por el
servicio de correos.
3. Solicitada información a los denunciantes, estos identifican a la entidad en
que trabajan como LIMPISA GRUPO NORTE, S.A. y aportan copia del escrito
mediante el que se solicita a la Conserjería de Empleo y Mujer de la CC.AA. de
Madrid, con fecha de entrada 5/1/2010, la convocatoria de Asamblea General
de Trabajadores para la revocación de todos los miembros del Comité de
Empresa.
Entre la documentación aportada no figura información alguna que permita
identificar con seguridad a quien realizó el encargo a la denunciada.
Página 332 de 353
4. Mediante diligencia de fecha 13/1/2011 se comprueba que la denunciada
figura en la página web del Ilustre Colegio de Abogados de Álava, en la que
aparece una dirección de contacto.
A través de escrito de fecha 13 de enero de 2011, la inspección se dirigió
escrito a la denunciada a dicha dirección requiriéndola información, sin que a
fecha del presente informe haya resultado positiva al haber sido devuelta con la
indicación de “Ausente de reparto”, tras dos intentos de entrega en fechas 21 y
24/1/2011.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el Director de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el
artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
II
La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal -LOPD- en su artículo 6, recoge lo siguiente:
“ 1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal....;
se refieran a las partes de un contrato o precontrato de una relación negocial,
laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento
En el presente caso, los datos de los denunciantes fueron tratados por la
denunciada que les remitió un correo a sus domicilios particulares
convocándoles a una Asamblea General de trabajadores con el fin de revocar a
los miembros del Comité de Empresa, por lo que, la denunciada trato el dato
del domicilio particular de los afectados y que conozcan la fuente de su
obtención y sin el consentimiento de los implicados, conducta que, en principio,
supone una un “tratamiento de datos” sin consentimiento.
La Inspección de datos en el trámite de actuaciones previas ha requerido al
despacho de abogados, G. Elías y Muñoz Abogados, S.C., en el que la
denunciante prestó sus servicios, informando que la denunciada ya no
colaboraba y que durante su estancia el régimen era de independencia
respecto al despacho en determinados asuntos como el analizado y que
desconocen su actual dirección.
Asimismo, la Inspección de datos se ha dirigido a LIMPISA GRUPO NORTE,
S.A. en la que los denunciantes prestan servicios a fin de que aclarasen el
encargo realizado a la denunciada sin que se haya obtenido resultado positivo
respecto a la señas de la denunciada y a la dirección que sobre ella figura en el
anuario del Colegio de Abogados de Álava. No ha sido posible contactar con la
denunciada ya que han sido devueltas las cartas por el servicio de correos.
Hemos de tener en cuenta que al Derecho Administrativo Sancionador, por su
especialidad, le son de aplicación, con alguna matización pero sin excepciones,
los principios inspiradores del orden penal que exige determinar la
responsabilidad del presunto infractor, ya que de lo contrario resulta clara la
plena virtualidad del principio de presunción de inocencia.
En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990 considera que
el derecho a la presunción de inocencia comporta “que la sanción esté basada
en actos o medios probatorios de cargo o incriminadores de la conducta
Página 333 de 353
reprochada; que la carga de la prueba corresponda a quien acusa, sin que
nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia
en el resultado de las pruebas practicadas, libremente valorado por el órgano
sancionador, debe traducirse en un pronunciamiento absolutorio”. De acuerdo
con este planteamiento, el artículo 130.1 de la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común en lo sucesivo LRJPAC), establece que
“Sólo podrán ser sancionados por hechos constitutivos de infracción
administrativa las personas físicas y jurídicas que resulten responsables de los
mismos aun a título de simple inobservancia.”
La Sentencia del Tribunal Constitucional de 20/02/1989 indica que “Nuestra
doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos
puedan considerarse como manifestaciones de un genérico favor rei, existe
una diferencia sustancial entre el derecho a la presunción de inocencia, que
desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando
las practicadas no reúnen las garantías procesales y el principio jurisprudencial
in dubio pro reo que pertenece al momento de la valoración o apreciación
probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria
indispensable, exista una duda racional sobre la real concurrencia de los
elementos objetivos y subjetivos que integran el tipo penal de que se trate.”
En definitiva, en aplicación del principio de “ presunción de inocencia” que
impiden imputar una infracción administrativa cuando no se haya obtenido y
comprobado la existencia de una prueba de cargo acreditativa de los hechos
que motivan esta imputación y en aplicación del principio “in dubio pro reo” que
en caso de duda respecto de un hecho concreto y determinante, no cabría
activar un procedimiento sancionador, al no poder acreditarse suficientemente
vulneración alguna de la LOPD, en este sentido y para este caso, debemos
determinar que no se han aportado ni obtenido elementos probatorios que nos
permita establecer como han producido los hechos denunciados.
Por lo tanto, de acuerdo con lo señalado,
Por el Director de la Agencia Española de Protección de Datos,
SE ACUERDA:
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
c. Jorge Juan
2. NOTIFICAR la presente Resolución a Da D.D.D., como representante de D.
C.C.C., , Da E.E.E. y Da F.F.F. .
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el Reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, los interesados podrán
interponer, potestativamente, recurso de reposición ante el Director de la
Agencia Española de Protección de Datos en el plazo de un mes a contar
Página 334 de 353
desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto
legal.
Madrid 7 de marzo de 2011
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 335 de 353
IV. RECURSOS
Actuaciones previas de investigación no.: E/00501/2006.
ASUNTO: Recurso de Reposición.
Examinado el recurso de reposición interpuesto por D. E.C.V. contra la
resolución dictada por el Director de la Agencia Española de Protección de
Datos, en relación con el expediente de actuaciones previas de investigación,
E/00501/2006, y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 17/01/2007, se dictó Resolución por el Director de la
Agencia Española de Protección de Datos en relación con las actuaciones
previas de investigación no E/00501/2006, en virtud de la cual se acordó el
archivo de las citadas actuaciones, tramitadas frente a la Asociación Mundo
Plus T.V. (en lo sucesivo Mundo Plus), en virtud de la denuncia presentada por
D. E.C.V. (en lo sucesivo el recurrente), con fecha 30/03/2006.
Dicha resolución, fue notificada al recurrente en fecha 23/01/2007.
SEGUNDO: Por la parte recurrente se ha presentado en esta Agencia
Española de Protección de Datos recurso de reposición, con fecha 23/02/2007,
fundamentándolo, básicamente, en que Mundo Plus ha vulnerado su derecho
fundamental a la protección de datos, que el derecho a informar y ser
informado no puede ser utilizado como pretexto para vulnerar otros derechos
fundamentales, que Mundo Plus ha utilizado su imagen y sus datos personales
sin su consentimiento para una finalidad distinta para la que le fueron
proporcionados, al haber sido incluidos en una página web accesible a
cualquier persona para informar de la interposición de una demanda, y que
Mundo Plus ha incluido sus datos personales en un fichero sin que haya sido
informado.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de
las Administraciones Públicas y del Procedimiento Administrativo Común.
II
En relación con las manifestaciones efectuadas por la recurrente, cabe señalar
que las mismas ya fueron analizadas y desestimadas en los Fundamentos de
Derecho II y III de la Resolución recurrida de 17/01/2007, tal como se transcribe
a continuación:
<< II El artículo 20 de la Constitución Española (en lo sucesivo C.E.) dispone
en su epígrafe 1, apartados a) y d) lo siguiente:
Página 336 de 353
"Se reconocen y protegen los derechos:
a) A expresar y difundir libremente los pensamientos, ideas y opiniones
mediante la palabra, el escrito o cualquier otro medio de reproducción.”
“d) A comunicar o recibir libremente información veraz por cualquier medio de
difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto
profesional en el ejercicio de estas libertades.”
III
La expresión "cualquier medio” recogida en los preceptos constitucionales
transcritos, permite admitir todo medio capaz de realizar dicha reproducción o
difusión. La falta de especificación hace que sea admisible cualquier
procedimiento de divulgación, debiendo sólo aplicar una interpretación
restrictiva fundada en la protección de otros derechos constitucionales.
El Tribunal Constitucional, en la Sentencia 12/1982, declaró que "no hay
inconveniente en entender que el derecho de difundir las ideas y opiniones
comprende en principio el derecho de crear los medios materiales a través de
los cuales la difusión se hace posible.”
La Sentencia del Tribunal Supremo de fecha 04/11/1986, indica que “la
Constitución política ciertamente reconoce con el rango que le es propio y
dentro de su artículo 20 la libertad de expresión manifestada en el derecho a
expresar y difundir libremente los pensamientos, ideas y opiniones mediante la
palabra, el escrito o cualquier otro medio de reproducción; pero advierte
expresamente que este derecho tiene su límite en el respeto a los derechos
reconocidos en el Título, en los preceptos de las leyes que lo desarrollan y,
especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la
protección de la juventud y de la infancia.”
La difusión de datos personales en las página web de Mundo Plus con fines
periodísticos, de acuerdo con la citada interpretación sería conforme con las
libertades de opinión e información, encuadradas en el artículo 20 de la C.E.
con la denominación genérica de libertad de expresión.
No obstante, la publicación de la noticia relativa al denunciante contiene datos
personales que encuentran su amparo en el derecho fundamental a la
protección de datos. Por tanto, la cuestión a dilucidar es determinar qué
derecho es preferente en el caso que nos ocupa.
La Jurisprudencia del Tribunal Constitucional tiende a otorgar una posición
preferente a la libertad de expresión frente a otros derechos constitucionales,
siempre y cuando los hechos comunicados se consideren de relevancia pública
(Sentencias del Tribunal Constitucional 105/1983 y 107/1988) y atendiendo a la
veracidad de la información facilitada (Sentencias del Tribunal Constitucional
6/1988, 105/1990 y 240/1992).
Así el citado Tribunal, en la Sentencia 171/1990, afirma: "Dada su función
institucional, cuando se produzca una colisión de la libertad de información con
el derecho a la intimidad y al honor aquélla goza, en general, de una posición
Página 337 de 353
preferente y las restricciones que de dicho conflicto puedan derivarse a la
libertad de información deben interpretarse de tal modo que el contenido
fundamental del derecho a la información no resulte, dada su jerarquía
institucional desnaturalizado ni incorrectamente relativizado. ...resulta obligado
concluir que en esa confrontación de derechos, el de la libertad de información
transmitida sea veraz, y esté referida a asuntos públicos que son de interés
general por las materias a que se refieren y por las personas que en ellos
intervienen, contribuyendo, en consecuencia, a la formación de la opinión
pública.”
En el mismo sentido se pronuncia la Sentencia 204/1997 indicando "las
libertades del art. 20 de la Constitución no sólo son derechos fundamentales de
cada ciudadano, sino también de condición de existencia de la opinión pública
libre, indisolublemente unida al pluralismo político, que es su valor fundamental
y requisito de funcionamiento del Estado democrático que, por lo mismo,
transcienden el significado común y propio de los demás derechos
fundamentales. ...el valor preponderante de las libertades del art. 20 de la
Constitución sólo puede verse apreciado y protegido cuando aquéllas se
ejerciten en conexión con asuntos que son de interés general, por las materias
a que se refieran y por las personas que en ellos intervienen y contribuyan, en
consecuencia, a la formación de la opinión pública...”
La Sentencia 107/1998 del Tribunal Constitucional concreta que “el valor
preponderante de las libertades públicas del art. 20 de la Constitución, en
cuanto se asienta en la función que éstas tienen de garantía de una opinión
pública libre indispensable para la efectiva realización del pluralismo político,
solamente puede ser protegido cuando las libertades se ejerciten en conexión
con asuntos que son de interés general por las materias a que se refieren y por
las personas que en ellos intervienen y contribuyan, en consecuencia, a la
formación de la opinión pública, alcanzando entonces su máximo nivel de
eficacia justificadora frente al derecho al honor, el cual se debilita,
proporcionalmente, como límite externo de las libertades de expresión e
información, en cuanto sus titulares son personas públicas, ejercen funciones
públicas o resultan implicadas en asuntos de relevancia pública, obligadas por
ello a soportar un cierto riesgo de que sus derechos subjetivos de la
personalidad resulten afectados por opiniones o informaciones de interés
general, pues así lo requieren el pluralismo político, la tolerancia y el espíritu de
apertura, sin los cuales no existe sociedad democrática.”
De acuerdo con la doctrina constitucional expuesta, la difusión de la
información escrita y gráfica sobre el denunciante estaría amparada en el
artículo 20 de la Constitución, debiendo prevalecer el derecho de la sociedad
en general a ser informada, por lo que resulta aplicable la teoría de la posición
preferente del derecho a la libertad de expresión.>>.
III
Adicionalmente, conviene recordar que como ha señalado la Audiencia
Nacional en Sentencias de 12/01/2001 y 16/03/2006 la expresión “salvo que la
Ley disponga otra cosa” contenida en el artículo 6 de la LOPD “permite
Página 338 de 353
entender que no es necesario el consentimiento del afectado, cuando el Art. 20
de la CE permite el tratamiento. Lo que exigirá una ponderación del caso
concreto y desde los principios de adecuación, pertinencia y congruencia
recogidos en el Art. 4 de la LOPD”.
Analizando la cuestión controvertida en el recurso contencioso administrativo
de que trae causa la citada Sentencia de 16/03/2006, la Audiencia Nacional, en
el Fundamento de derecho Sexto de la misma, recoge lo siguiente:
<<SEXTO. La noticia en cuestión (que obra en el expediente) expone en el
encabezamiento que "EL fiscal se querella contra un abogado por dudar de la
imparcialidad de la Audiencia", a continuación, más pequeño, que" Sostiene
que rebasó el derecho de crítica, atacando la honorabilidad de los
magistrados," y explica también que “ (...) es funcionario de la Xunta y
licenciado en Derecho por lo que solicitó una habilitación del Colegio de
Abogados para ejercer la autodefensa en los recursos derivados de un pleito
civil contra la constructora de su plaza de garaje. Pero, según el Ministerio
Fiscal, en un escrito que dirigió a la Sala que resolvió su asunto, en contra de
sus intereses, se extralimitó en el derecho a la libertad de expresión al decir
que la segunda sección de la Audiencia había decidido de forma "arbitraria e
injusta". Esta razón sustenta la querella criminal por calumnias contra el
abogado que ha recaída en el Juzgado ...”.
En la parte central explica y detalla un poco más lo anterior y después figura
una pequeña columna con la declaración del querellado (el ahora recurrente)
bajo el título "Ejercité el legítimo derecho de defensa," otra con la del Fiscal
bajo el titulo "La libre expresión no ampara la calumnia" y otra con una breve
descripción de "los hechos" acontecidos.
Pues bien, aplicando la anterior doctrina al supuesto analizado y leyendo con
detalle el contenido de la repetida información de prensa, resulta que tal noticia
tiene una indudable trascendencia pública y social, noticia publicada sin la
intención de desacreditar al recurrente, sino únicamente en el ejercicio legítimo
de informar a los ciudadanos sobre aquellos eventos de mayor trascendencia
y/o notoriedad ocurridos en uno de los Tribunales de Justicia con competencia
en toda la región. Consideramos, por ello que también en el presente caso ha
de prevalecer el derecho a comunicar o recibir libremente información veraz, en
cuanto la noticia refiere un hecho de interés para los ciudadanos,
especialmente para aquellos que de uno u otro modo se relacionan con los
Tribunales. Prevalencia que conlleva necesariamente el sacrificio respecto del
derecho a la protección de los datos personales del demandante, y por tanto
que la resolución combatida que acuerda el Archivo de las actuaciones, ha de
ser confirmada por esta Sala.>>.
En el supuesto examinado, la noticia cuya publicación se denuncia tiene como
título “Un “Cargo 1” de deportes de Sogecable demanda a Mundoplus.tv por
50.000€” y recoge la noticia relativa a que el recurrente, “Cargo 1” de Canal+,
presentó una demanda contra Mundo Plus por vulneración del derecho al honor
con motivo de las opiniones vertidas en un foro de deportes.
Página 339 de 353
Analizada la noticia en cuestión se observa que la finalidad perseguida con la
citada noticia es informar a los ciudadanos de la interposición de la citada
demanda que resulta de interés por la profesión del recurrente y referirse al
desarrollo de su actividad periodística, por lo que en este caso, debe prevalecer
el derecho a comunicar o recibir libremente información veraz sobre el derecho
fundamental a la protección de datos personales.
IV
Por tanto, en el recurso de reposición, la recurrente no ha aportado nuevos
hechos o argumentos jurídicos que permitan reconsiderar la validez de la
resolución impugnada.
Vistos los preceptos citados y demás de general aplicación
El Director de la
Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por D. E.C.V.
contra la Resolución de la Agencia Española de Protección de Datos de
17/01/2007.
SEGUNDO:
NOTIFICAR
la
presente
(C/...........................................................).
resolución
a
D.
E.C.V.,
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer
en el plazo de dos meses a contar desde el día siguiente a la notificación de
este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio,
reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia
Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la
disposición adicional cuarta del referido texto legal.
Madrid, 6 de marzo de 2007
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 340 de 353
Procedimiento no.: E/01630/2007
ASUNTO: Recurso de Reposición No RR/00376/2008
Examinado el recurso de reposición interpuesto por DON M.M.M., contra la
resolución dictada por el Director de la Agencia Española de Protección de
Datos en el expediente de actuaciones previas de investigación, E/01630/2007,
y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 30 de septiembre de 2008, se dictó resolución por el
Director de la Agencia Española de Protección de Datos en el expediente de
actuaciones previas de investigación, E/01630/2007, procediéndose al archivo
de actuaciones en aplicación del principio de presunción de inocencia y porque
tenía inscrito el fichero.
Dicha resolución, que fue notificada al recurrente en fecha 10 de octubre de
2008, según aviso de recibo que figura en el expediente.
SEGUNDO: DON M.M.M. (en los sucesivo el recurrente) ha presentado en
fecha 23 de octubre de 2008, con fecha de entrada en esta Agencia Española
de Protección de Datos el 7 de noviembre de 2008, recurso de reposición
fundamentándolo, básicamente, en que el denunciado ha inscrito el fichero
después que el le solicitara el acceso a sus datos. Se le preguntó por las
medidas de seguridad que incumplía el denunciado y el no puede conocerlas,
además se produjo una cesión inconsentida de datos.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de
las Administraciones Públicas y del Procedimiento Administrativo Común (en lo
sucesivo LRJPAC).
II
En relación con las manifestaciones efectuadas por el recurrente referidas a la
falta de inscripción del fichero y la inexistencia de medidas de seguridad, hay
que señalar que en los Fundamentos de Derecho de la Resolución recurrida se
justificaba lo siguiente:
“En cuanto a la primera cuestión planteada por el denunciante, relativa a la
ausencia de inscripción del fichero en el Registro de Protección de Datos, los
artículos 25 y 26 de la LOPD establecen lo siguiente:
Artículo 25. “Podrán crearse ficheros de titularidad privada que contengan
datos de carácter personal cuando resulte necesario para el logro de la
actividad u objeto legítimos de la persona, empresa o entidad titular y se
Página 341 de 353
respeten las garantías que esta Ley establece para la protección de las
personas.”
Artículo 26. “1. Toda persona o entidad que proceda a la creación de ficheros
de datos de carácter personal lo notificará previamente a la Agencia Española
de Protección de Datos.
2. Por vía reglamentaria se procederá a la regulación detallada de los distintos
extremos que debe contener la notificación, entre los cuales figurarán
necesariamente el responsable del fichero, la finalidad del mismo, su ubicación,
el tipo de datos de carácter personal que contiene, las medidas de seguridad,
con indicación del nivel básico, medio o alto exigible y las cesiones de datos de
carácter personal que se prevean realizar y, en su caso, las transferencias de
datos que se prevean a países terceros.”
De las actuaciones de investigación practicadas ha quedado acreditado que el
denunciado notificó a la Agencia de Protección de Datos la existencia de un
fichero que contenía datos personales del denunciante y cuya finalidad
declarada era su asesoramiento jurídico y presentación de demanda civil en su
nombre, por lo que queda acreditado el cumplimiento de los deberes impuestos
en esta materia por la LOPD.
III
La segunda cuestión que plantea la denuncia es la inaplicación de medidas de
seguridad por parte del denunciado.
El Real Decreto 994/1999 de 11 de junio de 1999, por el que se aprueba el
Reglamento de medidas de seguridad de los ficheros automatizados que
contengan datos de carácter personal, dispone en su artículo 4:
“1. Todos los ficheros que contengan datos de carácter personal deberán
adoptar las medidas de seguridad calificadas como de nivel básico.
2. Los ficheros que contengan datos relativos a la comisión de infracciones
administrativas o penales, Hacienda Pública, servicios financieros y aquellos
ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica
5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas
como de nivel medio.
3. Los ficheros que contengan datos de ideología, religión, creencias, origen
racial, salud o vida sexual así como los que contengan datos recabados para
fines policiales sin consentimiento de las personas afectadas deberán reunir,
además de las medidas de nivel básico y medio, las calificadas de nivel alto.
4. Cuando los ficheros contengan un conjunto de datos de carácter personal
suficientes que permitan obtener una evaluación de la personalidad del
individuo deberán garantizar las medidas de nivel medio establecidas en los
artículos 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición de
mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias
específicas vigentes.”
Página 342 de 353
En el presente caso, el denunciante no concreta en que consiste el
incumplimiento alegado, efectuándose solamente una referencia genérica a la
inobservancia de las medidas de seguridad exigidas en la normativa vigente.
De la investigación realizada por la Inspección de Datos no queda constancia
alguna de la realidad del incumplimiento alegado por lo que debe desestimarse
dicha imputación en aplicación del principio de presunción de inocencia
previsto en los artículos 24.2 de la Constitución Española y 137 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común.
En este sentido, la Jurisprudencia tiene declarado respecto de este principio
que “Su contenido esencial implica no sólo la acreditación de los hechos
ilícitos, sino también “...la prueba de la responsabilidad del sujeto en la
comisión de los mismos” (Sentencia del Tribunal Supremo de 02/07/1990).
La presunción de inocencia debe regir, sin excepciones, en el ordenamiento
sancionador y ha de ser respetada en la imposición de cualesquiera sanciones,
pues el ejercicio del “ius puniendi” en sus diversas manifestaciones está
condicionado al juego de la prueba y a un procedimiento contradictorio en el
que puedan defenderse las propias posiciones. En tal sentido, el Tribunal
Constitucional en su Sentencia 76/1990 de 26/04 considera que el derecho a la
presunción de inocencia comporta: “que la sanción esté basada en actos o
medios probatorios de cargo o incriminadores de la conducta reprochada; que
la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a
probar su propia inocencia; y que cualquier insuficiencia en el resultado de las
pruebas practicadas, libremente valorado por el órgano sancionador, debe
traducirse en un pronunciamiento absolutorio.”
IV
Respecto a la tercera cuestión planteada en el expediente, esto es, la
comunicación de los datos personales del denunciante por parte del
denunciado al Colegio de Abogados el artículo 10 de la LOPD establece lo
siguiente:
“El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero o,
en su caso, con el responsable del mismo."
El deber de secreto profesional que incumbe a los responsables de los ficheros
y a todos aquellos que intervengan en cualquier fase del tratamiento de los
datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su
obligación de no revelar ni dar a conocer su contenido, así como “deber de
guardarlos”. Continúa dicho artículo añadiendo: “obligaciones que subsistirán
aún después de finalizar sus relaciones con el titular del fichero o, en su caso,
con el responsable del mismo”. Este deber es una exigencia elemental a que
se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de
noviembre, y por lo que ahora interesa, comporta que los datos tratados no
Página 343 de 353
pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos
autorizados por la Ley, pues en eso consiste, precisamente, el secreto.
En el presente supuesto debe analizarse si desde el punto de vista de la
protección de datos de carácter personal, la actuación denunciada constituye
una vulneración del deber de secreto.
En las actuaciones de Investigación realizadas por la Inspección se ha
constatado que, como consecuencia de las desavenencias surgidas entre el
denunciante y el denunciado, se solicitó la intermediación del Colegio de
Abogados, entregándose al denunciante, a través de dicho Colegio, los
documentos relativos al pleito en que el denunciado actuó como Letrado suyo
y, posteriormente, el escrito mediante el cual el denunciado le facilita el
ejercicio del derecho de acceso a sus datos personales. Consta también que a
instancia del denunciante, y con anterioridad al ejercicio del derecho de acceso,
la Comisión deontológica del Colegio de Abogados había iniciado un
expediente disciplinario al denunciado, por lo que dicho expediente contenía los
datos personales del denunciante. Es por ello que, teniendo en cuenta que el
propio denunciante había facilitado sus datos personales al Colegio de
Abogados, los hechos denunciados no pueden calificarse como una
vulneración del deber de secreto regulado en la LOPD.
En este sentido, la Audiencia Nacional, en Sentencia de fecha 22 de
septiembre de 2004 ha considerado que no puede hablarse de comunicación
de datos de carácter personal contraria a las prescripciones de la LOPD
cuando los datos ya fueran conocidos por los posibles destinatarios de la
misma, en este caso el Colegio de Abogados de Sevilla, dado que “... no se
puede trasmitir o revelar a un tercero aquello que previamente ya ha sido
revelado al mismo”.
III
En consecuencia, en el presente recurso de reposición, el recurrente no ha
aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la
validez de la resolución impugnada.
Vistos los preceptos citados y demás de general aplicación, El Director de la
Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por DON
M.M.M., contra la Resolución de esta Agencia Española de Protección de
Datos dictada con fecha 30 de septiembre de 2008, en el expediente de
actuaciones previas de investigación E/01630/2007.
SEGUNDO: NOTIFICAR la presente resolución a DON M.M.M., con domicilio
en (c/....................................).
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
Página 344 de 353
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer
en el plazo de dos meses a contar desde el día siguiente a la notificación de
este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio,
reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia
Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la
disposición adicional cuarta del referido texto legal.
Madrid, 17 de noviembre de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 345 de 353
Procedimiento no.: E/02649/2009
ASUNTO: Recurso de Reposición No RR/00082/2010
Examinado el recurso de reposición interpuesto por la entidad Da. A.A.A.
contra la resolución dictada por el Director de la Agencia Española de
Protección de Datos en el expediente de actuaciones previas de investigación,
E/02649/2009, y en base a los siguientes:
HECHOS
PRIMERO: Con fecha 17 de diciembre de 2009 se dictó resolución por el
Director de la Agencia Española de Protección de Datos en el expediente de
actuaciones previas de investigación, E/02649/2009, procediéndose al archivo
de actuaciones en aplicación del principio de presunción de inocencia.
Dicha resolución, que fue notificada al recurrente en fecha 4 de enero de 2010,
según aviso de recibo que figura en el expediente.
SEGUNDO: Da. A.A.A. (en lo sucesivo la recurrente) ha presentado en fecha 3
de febrero de 2010 en esta Agencia Española de Protección de Datos, recurso
de reposición fundamentándolo, básicamente, en que el colegio de abogados
denunciado “difunde mediante Circular a todos los Colegiados de Alava, datos
de salud y datos económicos referidos a mi persona”, dado que la historia
clínica no podía ser tratada en un procedimiento judicial distinto a aquél para la
que fue obtenida, estando obligados a cancelar los datos personales.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el
artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de
las Administraciones Públicas y del Procedimiento Administrativo Común (en lo
sucesivo LRJPAC).
II
En relación con las manifestaciones efectuadas por la recurrente, debe
señalarse que ya fueron analizadas y desestimadas en los Fundamentos de
Derecho II a V de la Resolución recurrida de archivo de actuaciones de 17 de
diciembre de 2009; y se advertía suficientemente sobre la doctrina mantenida
por la Audiencia Nacional en relación con las reglas que rigen en materia
probatoria. En dichos Fundamentos de Derecho se indica lo siguiente:
<<II El artículo 6 de la LOPD, apartados 1 y 2, dispone lo siguiente:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones
Página 346 de 353
Públicas en el ámbito de sus competencias; cuando se refieran a las partes de
un contrato o precontrato de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento
de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos
figuren en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o por
el del tercero a quien se comuniquen los datos, siempre que no se vulneren los
derechos y libertades fundamentales del interesado”.
El tratamiento de datos sin consentimiento de los afectados constituye un límite
al derecho fundamental a la protección de datos. Este derecho, en palabras del
Tribunal Constitucional en su Sentencia NÚM. 292/2000, de 30 de noviembre,
“consiste en un poder de disposición y de control sobre los datos personales
que faculta a la persona para decidir cuáles de esos datos proporcionar a un
tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y
que también permite al individuo saber quién posee esos datos personales y
para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de
disposición y control sobre los datos personales, que constituyen parte del
contenido del derecho fundamental a la protección de datos se concretan
jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a
los datos personales, su posterior almacenamiento y tratamiento, así como su
uso o usos posibles, por un tercero, sea el estado o un particular (...).”
Son elementos característicos del derecho fundamental a la protección de
datos personales, los derechos del afectado a consentir sobre la recogida y uso
de sus datos personales y a saber de los mismos.
Por su parte, de igual modo, el artículo 11 de la LOPD, apartados 1 y 2,
establece que:
“1. Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el
previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no será preciso:
a)
Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos
recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros. En
este caso la comunicación sólo será legítima en cuanto se limite a la finalidad
que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será
preciso el consentimiento cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas.
Página 347 de 353
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por
objeto el tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o
para realizar los estudios epidemiológicos en los términos establecidos en la
legislación sobre sanidad estatal o autonómica”.
III
Así, en la propia LOPD existe una mención concreta a la posibilidad del
tratamiento de datos sin consentimiento del titular de los mismos, dentro del
ámbito de la tutela judicial efectiva que el artículo 24 de nuestra Constitución
consagra, ya que en su punto 2 establece:
“2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la ley,
a la defensa y a la asistencia de letrado, a ser informados de la acusación
formulada contra ellos, a un proceso público sin dilaciones indebidas y con
todas las garantías, a utilizar los medios de prueba pertinentes para su
defensa,(...)”.
La ley 1/2000 de 7 de Enero, de Enjuiciamiento Civil (en adelante LEC) en este
sentido viene a establecer en su artículo 265.1:
“A toda demanda o contestación habrán de acompañarse: Los documentos en
que las partes funden su derecho a la tutela judicial que pretenden.”
De la lectura de los preceptos legales anteriormente indicados, se entiende que
la realización de un tratamiento de datos sin consentimiento de sus titulares
dentro del marco de un procedimiento jurisdiccional, da lugar a un conflicto
entre el derecho a la protección de datos de carácter personal, y el derecho a la
tutela judicial efectiva de los jueces y tribunales del artículo 24 de la
Constitución. En este sentido el legislador, a partir de las menciones que la
propia constitución, la ley de enjuiciamiento civil y la LOPD en su artículo 11.2.
realizan al respecto, ha creado un sistema en el que cede el derecho a la
protección de datos en favor de la defensa del derecho constitucional de tutela
judicial efectiva y a la propia defensa, dado que la exigibilidad del
consentimiento del oponente en un procedimiento judicial, para el tratamiento
de sus datos, podría dar lugar a una merma en la posibilidad de la contraparte
de aportación de elementos que permitan la identificación del mismo, así como
en la utilización de “los medios de prueba pertinentes para su defensa”,
vulnerándose las garantías derivadas del citado derecho a la tutela judicial
efectiva y coartándose el derecho a obtener el pleno desenvolvimiento de este
derecho.
En este caso, y de acuerdo con las actuaciones de investigación realizadas por
la Inspección de Datos de esta Agencia, ha quedado acreditado que Da. A.A.A.
manifestó que los documentos fueron aportados por el citado Colegio en el
juicio de despido, sin su autorización y sin la del juez que resolvió el despido, al
no haber sido solicitada como prueba, y que el Colegio de Abogados de Álava
Página 348 de 353
era parte demandada en este procedimiento de determinación de contingencia
n° 897/2008 seguido ante el Juzgado de lo Social n° 3. Este proceso fue
promovido por la denunciante figurando como partes demandadas el Instituto
Nacional de la Seguridad Social, la Tesorería General de la Seguridad Social,
ASEPEYO, Mutua Patronal de Accidentes de Trabajo y el propio Colegio de
Abogados de Álava.
También recordar que el historial médico fue aportado por OSAKIDETZA al
proceso a petición de la codemandada Asepeyo como consecuencia del
requerimiento efectuado por el Juzgado Social N° 3. Asimismo, en la demanda
por Despido 766/2008 dirigida contra el Colegio de Abogados de Álava por la
trabajadora (la denunciante) se solicitaba la nulidad del despido, invocando la
existencia de un acoso moral en el trabajo (mobbing). Subsidiariamente se
solicitaba que se declarase improcedente el despido. En dicha demanda, la
trabajadora alegaba que había venido sufriendo una persecución contra su
persona por parte del Colegio de Abogados.
IV
En otro orden de cosas, de igual modo, en el presente caso, y de acuerdo con
las citadas actuaciones de investigación realizadas por la Inspección de Datos
de esta Agencia, ha quedado acreditado que Da. A.A.A. manifestó que los
destinatarios de la citada circular fueron todos los colegiados – abogados
ejercientes y no ejercientes – superando la cifra de 500 colegiados. Asimismo,
no le constaba que los documentos clínicos que aportaba con su denuncia
llegaran a ser distribuidos junto con la citada circular o colgados en la extranet
del Ilustre Colegio.
La circular 11/08 fue enviada por correo electrónico, a través del sistema DSI
(Difusión Selectiva de Información) exclusivamente a los colegiados tanto
ejercientes como no ejercientes del Ilustre Colegio de Abogados de Álava, y
junto con el mensaje sólo se adjuntó la circular, donde no aparecen datos
personales excesivos. Sin embargo, los documentos clínicos no se incluyeron
para su distribución con la circular 11/08 ni fueron colgados en el árbol
documental. Además en el texto del mensaje se indicaba a los colegiados que
podían consultar la sentencia en cuestión accediendo a la extranet con firma
digital y consultando en el árbol documental.
El artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el responsable del
mismo.”
El deber de secreto tiene como finalidad evitar que, por parte de quienes están
en contacto con los datos personales almacenados en ficheros, se realicen
filtraciones de los datos no consentidas por los titulares de los mismos. Así, el
Tribunal Superior de Justicia de Madrid declaró en su sentencia de 19 de julio
de 2001: “El deber de guardar secreto del artículo 10 queda definido por el
Página 349 de 353
carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene
facultad de disposición el sujeto afectado, pues no en vano el derecho a la
intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita
la comunicación a cualquier tercero, con independencia de la relación que
mantenga con él la persona a que se refiera la información (...)”.
En este sentido, la Audiencia Nacional también ha señalado, entre otras, en
sentencias de fechas 14 de septiembre de 2001 y 29 de septiembre de 2004 lo
siguiente: “Este deber de sigilo resulta esencial en las sociedades actuales
cada vez mas complejas, en las que los avances de la técnica sitúan a la
persona en zonas de riesgo para la protección de derechos fundamentales,
como la intimidad o el derecho a la protección de los datos que recoge el
artículo 18.4 de la CE.
En efecto, este precepto contiene un <<instituto de garantía de los derechos a
la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos
que, además, es en sí mismo un derecho o libertad fundamental, el derecho a
la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la
persona provenientes de un uso ilegítimo del tratamiento mecanizado de
datos>> (STC 292/2000). Derecho fundamental a la protección de los datos
que <<persigue garantizar a esa persona un poder de control sobre sus datos
personales, sobre su uso y destino>> (STC 292/2000) que impida que se
produzcan situaciones atentatorias con la dignidad de la persona, <<es decir, el
poder de resguardar su vida privada de una publicidad no querida>>.
También hay tener en consideración lo alegado por el Colegio de Abogados al
decir que el artículo 53 del Estatuto General de la Abogacía estable que:
“Son atribuciones de la Junta de gobierno:
o) Informar a los colegiados con prontitud de cuantas cuestiones conozca que
puedan afectarles ya sean de índole corporativa, colegial, profesional o cultural.
(...)
s) recaudar, distribuir y administrar los fondos del Colegio; redactar los
presupuestos, rendir las cuentas anuales y proponer a la Junta General la
inversión o disposición del patrimonio colegial, si se tratare de inmuebles”.
Así, el despido de un empleado afecta al colegiado, ya que el Colegio de
Abogados en sí se sustenta principalmente por cuotas de colegiados y en
menor medida por subvenciones.
Y en el artículo 57 dice a su vez que:
“La Junta General ordinaria a celebrar en el primer trimestre de cada año
tendrá el siguiente orden del día:
2o Examen y votación de la cuenta general de gastos e ingresos del ejercicio
anterior.”
V
Página 350 de 353
No obstante, los artículos 24.2 de la Constitución Española y 137 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, reconocen el derecho a la
presunción de inocencia en el ámbito del procedimiento administrativo
sancionador. Su contenido esencial implica no sólo la acreditación de los
hechos ilícitos, sino también “...la prueba de la responsabilidad del sujeto en la
comisión de los mismos” (sentencia del Tribunal Supremo de 2 de julio de
1990).
La presunción de inocencia debe regir, sin excepciones, en el ordenamiento
sancionador y ha de ser respetada en la imposición de cualesquiera sanciones,
pues el ejercicio del “ius puniendi” del Estado, en sus diversas manifestaciones,
está condicionado al juego de la prueba y a un procedimiento contradictorio en
el que puedan defenderse las propias posiciones. En tal sentido, el Tribunal
Constitucional, en su sentencia 76/1990 de 26 de abril de 2004, consideraba
que el derecho a la presunción de inocencia comporta: “que la sanción esté
basada en actos o medios probatorios de cargo o incriminadores de la
conducta reprochada; que la carga de la prueba corresponda a quien acusa,
sin que nadie esté obligado a probar su propia inocencia; y que cualquier
insuficiencia en el resultado de las pruebas practicadas, libremente valorado
por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio.”
Conforme señalaba, asimismo, el Tribunal Supremo, en su sentencia de 26 de
octubre de 1998, el derecho a la presunción de inocencia “no se opone a que la
convicción judicial en un proceso pueda formarse sobre la base de una prueba
indiciaria, pero para que esta prueba pueda desvirtuar dicha presunción debe
satisfacer las siguientes exigencias constitucionales: los indicios han de estar
plenamente probados – no puede tratarse de meras sospechas – y tiene que
explicitar el razonamiento en virtud del cual, partiendo de los indicios probados,
ha llegado a la conclusión de que el imputado realizó la conducta infractora,
pues, de otro modo, ni la subsunción estaría fundada en Derecho ni habría
manera de determinar si el proceso deductivo es arbitrario, irracional o
absurdo, es decir, si se ha vulnerado el derecho a la presunción de inocencia al
estimar que la actividad probatoria pueda entenderse de cargo.”
Como conclusión de las actuaciones realizadas por parte de la Inspección de
Datos y del presente procedimiento en relación a los hechos comunicados por
Da. A.A.A: y, en atención a lo expuesto, no se ha podido acreditar que los
datos que dan soporte a la información difundida fuesen excesivos.
Ello frente a la certeza y concreción exigida en estos supuestos para poder
calificar la conducta como sancionable, debe concluirse que no existe prueba
de cargo suficiente, por lo que procede acordar en archivo del presente
expediente.
En todo caso, si se considera lesionado el derecho al honor o a la intimidad
personal, la persona afectada podrá acudir a los tribunales de la jurisdicción
ordinaria de orden civil, al amparo de la Ley Orgánica 1/1982, de 5 de mayo, de
Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la
Propia Imagen, dado que la Agencia Española de Protección de Datos no es el
Página 351 de 353
órgano competente para dirimir estas cuestiones, que deben ser resueltas en
sede jurisdiccional.
En consecuencia, no se aprecia infracción de la normativa de protección de
datos personales por parte de la entidad investigada, por lo que procede el
archivo de las presentes actuaciones>>.
III
En consecuencia, en el presente recurso de reposición, la recurrente no ha
aportado nuevos hechos o argumentos jurídicos, aparte de lo ya expuesto, que
permitan reconsiderar la validez de la Resolución impugnada.
Vistos los preceptos citados y demás de general aplicación,
El Director de la
Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por Da. A.A.A.
contra la Resolución de esta Agencia Española de Protección de Datos dictada
con fecha 17 de diciembre de 2009, en el expediente de actuaciones previas de
investigación E/02649/2009.
SEGUNDO: NOTIFICAR la presente Resolución a Da. A.A.A..
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,
de medidas fiscales, administrativas y del orden social, la presente Resolución
se hará pública, una vez haya sido notificada a los interesados. La publicación
se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de
diciembre, de la Agencia Española de Protección de Datos sobre publicación
de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real
Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de
desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer
en el plazo de dos meses a contar desde el día siguiente a la notificación de
este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio,
reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia
Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la
disposición adicional cuarta del referido texto legal.
Madrid, 25 de febrero de 2010
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Página 352 de 353
Documentos relacionados
SANCIONES POR INFRINGIR LA LEY DE PROTECCION DE
SANCIONES POR INFRINGIR LA LEY DE PROTECCION DE
La Ley de Protección de Datos y la Puesta en Marcha de su aplicación
La Ley de Protección de Datos y la Puesta en Marcha de su aplicación
Autorización a terceroshot!
Autorización a terceroshot!
Presentación LOPD - Financial Software Developers
Presentación LOPD - Financial Software Developers
Cf,NTRO: Nombre y Apellidos: .,,.,.......,. Dirección: C.P.
Cf,NTRO: Nombre y Apellidos: .,,.,.......,. Dirección: C.P.
Estimado asociado, El motivo del presente es informarle acerca de las
Estimado asociado, El motivo del presente es informarle acerca de las
CIRCULAR INFORMATIVA SOBRE EL USO DE DATOS DE
CIRCULAR INFORMATIVA SOBRE EL USO DE DATOS DE
Descargar
Anuncio
Anuncio