1 PROTECCIÓN DE DATOS Notificaciones 1. Planteamiento La
Anuncio
PROTECCIÓN DE DATOS Notificaciones La publicación de información en el tablón de anuncios municipal está sujeta a la protección de datos de carácter personal. Resolución del Director de la Agencia Española de Protección de datos R/00131/2014. Antecedente normativo Cita: -Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. -Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. -Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999. 1. Planteamiento La Agencia Española de Protección de Datos afirma que la publicación de información en el tablón de anuncios municipal ha de cumplir con la normativa legal de protección de datos de carácter personal, sin que el deber de publicación que se recoge en la Ley de Régimen Jurídico y del Procedimiento Administrativo Común sea óbice para su cumplimiento. La cuestión se plantea con ocasión de la denuncia presentada por un particular ante la Agencia Española de Protección de Datos contra un Ayuntamiento y contra la Dirección General de la Consejería de Agricultura de una Comunidad Autónoma, por la exposición al público de la contestación que ésta dio a un escrito de denuncia formulado per el mismo particular, en la que constan su nombre y apellidos. Acordado, en un principio, no incoar actuaciones inspectoras y archivada la denuncia, el particular interpuso recurso de reposición en el que reitera la argumentación del primer escrito y lo fundamenta en la falta de justificación suficiente en la difusión de datos personales del denunciante, al exponer al público la contestación del órgano autonómico con expresión de sus datos personales. El Ayuntamiento justificó la exposición al público del escrito de la Consejería de Agricultura a la vista de su contenido (se reconocía la existencia de amianto en los vertidos de residuos denunciados) y por la existencia de un grave riesgo para la salud de los ciudadanos. El Director de la Agencia Española de Protección de Datos inició procedimiento de declaración de infracciones de Administraciones públicas al Ayuntamiento, por infracción del artículo 10 de la Ley Orgánica de Protección de Datos de Carácter Personal, relativo al deber de secreto, tipificada como grave en el artículo 44.3.d) de dicha Ley Orgánica. Estos preceptos dicen lo siguiente: “Artículo 10. Deber de secreto. 1 El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Artículo 44. Tipos de infracciones 3. Son infracciones graves: d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.” Entre las alegaciones formuladas por el Ayuntamiento en el procedimiento sancionador incoado, se afirma que no ha vulnerado el referido artículo 10 pues no es el responsable del fichero; que, en todo caso, es sobre éste sobre quien recaen las principales obligaciones que establece la Ley Orgánica, entre otras, garantizar el cumplimiento de los deberes de secreto y seguridad. 2. Consideraciones del Director de la Agencia Española de Protección de Datos La resolución del Director de la Agencia Española de Protección de Datos, tras recordar cual es el objeto y ámbito de aplicación de la Ley Orgánica, y los conceptos de términos como el de datos de carácter personal, responsable de fichero y tratamiento de datos, se centra, en primer lugar, en el deber de secreto en su fundamento y en los efectos de una desatención de este deber legal (a) y, en segundo lugar, en las alegaciones formuladas por el Ayuntamiento, relativas a la consideración del responsable del fichero y al deber legal de dar publicidad de determinados actos administrativos tal y como establece el artículo 60 de la Ley de Régimen jurídico y del procedimiento administrativo común (b). a) Deber legal de secreto La resolución del Director de la Agencia Española de Protección de Datos señala que el deber de secreto tiene como “finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos.” En este sentido, recuerda cómo el Tribunal Superior de Justicia de Madrid, en sentencia de 29 de julio de 2001, declaró que “el deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)”. Por otra parte, recuerda cómo la Audiencia Nacional en sentencias varias, de entre las que la resolución del Director de la Agencia destaca las de 14 de septiembre de 2001 y 29 de septiembre de 2004, califica este deber de sigilo como esencial en las sociedades actuales. Es, además y así lo ha reconocido el Tribunal Constitucional, una garantía de los derechos a la intimidad y al honor que es en sí mismo un derecho o libertad fundamental, “el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Es un derecho fundamental 2 que persigue garantizar a la persona el “poder de control sobre sus datos personales, su uso y destino” y que impide que se produzcan “situaciones atentatorias con la dignidad de la persona” (STC 292/2000). El desatender este deber legal de cuidado supone, a juicio del Tribunal Supremo, que no se ha obrado con la diligencia exigible y, por lo tanto, existe imprudencia. Esta falta de diligencia se produciría incluso en el supuesto de que se hubiera cometido algún error. En este sentido, la resolución que traemos a estas líneas recuerda cómo el Tribunal Superior de Justicia de Madrid, en sentencia de 16 de octubre de 2001 (recurso núm. 1136/1998), justifica la posibilidad de sancionar aún en el supuesto en que se hubiera padecido algún tipo de error; en este caso, “el mismo constituiría una falta de diligencia plenamente imputable a la entidad sancionada, con claro incumplimiento del artículo 10 (...) tipificado correctamente y sancionado como falta grave (...).”1 b) Deber legal de dar publicidad a ciertos actos administrativos en base a la Ley de Régimen jurídico y del procedimiento administrativo común El Ayuntamiento fundamenta la exposición en el tablón de anuncios de la contestación de la Consejería sobre la denuncia de vertido formulada, en el artículo 60, apartado primero, de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico y del Procedimiento Administrativo Común según el cual, se deberán publicar los actos administrativos “cuando así lo establezcan las normas reguladoras de cada procedimiento o cuando lo aconsejen razones de interés público apreciadas por el órgano competente.” La resolución del Director de la Agencia considera que el deber contenido en la Ley 30/1992 no impide el cumplimiento de la Ley de Protección de Datos de Carácter Personal, pues aunque el asunto era de indudable interés público, podía haberse expuesto en el tablón de anuncios con la eliminación de los datos personales. 3. Conclusiones del Director de la Agencia Española de Protección de Datos La resolución desestima las alegaciones del Ayuntamiento y considera que éste actúa como responsable del tratamiento respecto del escrito remitido por la Consejería de Agricultura, puesto que es el que ha decidido sobre la finalidad, contenido y uso del tratamiento al haber procedido a la exposición pública de dicho documento; incumplió con el deber de secreto con la revelación de datos personales de terceros con la publicación del escrito de respuesta a la denuncia de vertidos formulada, datos que fueron difundidos sin el consentimiento de su titular ni habilitación legal para ello, sin que lo establecido en el artículo 60 de la 1 La referida sentencia trae a colación las consideraciones recogidas por el Tribunal Constitucional respecto al principio de culpabilidad inherente a los principios de legalidad y de prohibición de exceso o de las exigencias inherentes al Estado de Derecho; recuerda cómo la STC 246/1991, de 19 de diciembre, manifiesta la inadmisibilidad en el ámbito del derecho administrativo sancionador de una responsabilidad sin culpa e interpreta la regulación contenida en el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, cuando establece que “sólo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aún a título de simple inobservancia”. La sentencia recoge la idea probable de que “el legislador de la Ley 30/92 haya pretendido aludir a que serán sancionables las infracciones meramente formales, aunque no produzcan un resultado dañosos al interés público e, igualmente, que será incriminable la culpa inconsciente o sin representación, atendiendo al aspecto normativo de la culpabilidad según el cual puede reprocharse no haber previsto lo que se podía y debía prever.” 3 Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, impida la publicación de actos por razones de interés público sin difundir los datos personales. 4
