Blog Derecho en Red » Protección de Datos

Sentencias del TS sobre el Reglamento de Protección de Datos

derechoenred — Wed, 28 Jul 2010 15:02:55 +0000

El pasado día 27 de julio se dieron a conocer 3 sentencias del Tribunal Supremo en relación a diversos artículos del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Lo cierto es que el titular con el que el medio que ha dado a conocer las sentencias es a todas luces exagerado si analizamos el contenido de las mismas, ya que el Supremo en ningún caso ha "revolucionado el marco de Protección de Datos en España", los cambios para los ciudadanos son importantes, sobre todo en relación a sus derechos y la inclusión de sus datos en laos ficheros de solvencia patrimonial, pero esa expresión es desorbitada.

En las 3 sentencias (1, 2 y 3 .doc)se da respuesta a varias cuestiones planteadas por empresas relacionadas con los servicios de información comercial y de gestión de información sobre solvencia patrimonial.

Así, la Federación de Comercio Electrónico y Marketing Directo, en recurso 25/2008 solicitaba:

1.- Declarar la nulidad de pleno derecho del Real Decreto 1720/2007, nulidad que resulta de lo dispuesto en los artículo 23.2 de la Ley 50/1997 y 62.2 de la Ley 30/1992, dada la infracción de los preceptos legales y constitucionales mencionados en el cuerpo de este escrito, en particular la infracción grave y generalizada del procedimiento de elaboración de Reglamentos previsto en el artículo 24 de la Ley 50/1997.

2.- Subsidiariamente, declarar la nulidad de pleno derecho de los artículos .5.1 q), 49, 47, 12.1 2º, 8.5, 18, 20.1, 10.2 a) y b), 45.1 b), 46.2, 46.3, 46.4, 13.4, 42, Artículo 38, apartado 1a) (la frase "y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero"), y apartado 1 b), 38.2 y 38.3 RLOPD, así como los artículos 41,15 y 83 de la LOPD

3. -El planteamiento de 3 cuestiones prejudiciales ante el Tribunal de Justicia de las Comunidades Europeas.

Por su parte la empresa EXPERIAN BUREAU DE CREDITO, S.A., en recurso 26/2008, solicitaba la declaración de nulidad de:

A) El inciso "cumplimiento o"; en la rúbrica de la Sección 2ª del Capítulo I del Título IV.

B) El inciso; cumplimiento o; en el artículo 39.

C) El inciso "o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

D) El artículo 41.1, párrafo segundo.

E) El inciso "por escrito" del párrafo primero del art. 42.2 y todo el párrafo segundo del art. 42.2."

Y la Asociación Nacional de establecimientos Financieros de Crédito (ASNEF), en recurso 23/2008 pidió:

La nulidad del artículo 5.1.q) inciso "aunque no lo realizase materialmente". artículo 8.5 3º, 10.2.a) 1º, 10.2.b) 1º, 11, 12.2, 13.4, 18.1, 18.2, 21.2 a), 23.2 c), 24.3 1º y 2º, Enunciado de la Sección 2ª, del Capítulo I del Título IV, en cuanto se refiere también al "cumplimiento" de obligaciones dinerarias, 38 en sus apartados 1.a) (en el inciso "y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero") y b) (en el inciso "o del plazo concreto si aquélla fuera de vencimiento periódico"), 2 y 3, 39. en el inciso "en el momento en que se celebre el contrato", 40.2, 41.1, 41.2,en el inciso "o del plazo concreto si aquélla fuera de vencimiento periódico", 42.2 inciso "por escrito" del párrafo primero y todo el párrafo segundo, 44.3 1º en el inciso "en el plazo de siete días", 45.1 b) en el inciso "habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad", 46.2 b) y c), 46.3, 47, 49.2, 49.4, 69.1 b) inciso "o no van a adoptar en el futuro", 70.3 c) inciso "o no serán respetadas", o inciso "o no serán" y 70.3 d), 123.2 inciso "o a funcionarios que no presten sus funciones en la Agencia."

Como se ve son muchos los artículos que han sido objeto de impugnación por parte de estas asociaciones y empresas y el fallo únicamente ha declarado, entre las 3 sentencias, la anulación de los artículos 11, 18, 38. 2, y 123.2 así como la frase del artículo 38.1.a) que dice así: "… y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero"

Por lo que puede colegirse que el texto del Reglamento ha superado gran parte de los problemas que se le habían planteado, puesto que las anulaciones, aunque algunas son de mucha trascendencia para los ciudadanos, han sido en un número menor.

Pues bien, las razones para suprimir los artículos (o parte de estos) son las siguientes:

- Artículo 11, Fundamento Jurídico Sexto: Recurso 23/2008

[Texto anulado] Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.

La razón para la anulación es que supone un tratamiento o cesión de datos sin consentimiento y sin la habilitación legal exigida por los artículos 6 y 11 de la Ley Orgánica. Lo curioso de este caso es que la inclusión en el RD 1720/2007 de este precepto provenía del Ministerio de Administraciones Públicas, pero con una redacción diferente que en salvaba el problema al reconocer el consentimiento tácito del solicitante, pero en la redacción posterior esto se modificó y no se incluyó, por lo que con esa redacción se habilitaba una cesión de datos al margen de los supuestos autorizados (consentimiento del titular o habilitación legal).

Esta anulación supone un engorro para el ciudadano, ya que a pesar de que se entienda de su solicitud que si notifica que los datos pedidos están en otra administración, se necesitará que el ciudadano vuelva a presentar la documentación o a acreditar la realidad de la misma.

Un ejemplo de lo que supone esto es que si por ejemplo queremos solicitar la matrícula en una universidad en un curso de posgrado diferente a nuestra universidad de licenciatura tendremos que aportar el documento original o certificación de esa universidad digitalmente, cuando antes indicando la universidad de origen sería suficiente para que ambas puedan ponerse de acuerdo y averiguarse si realmente somos o no licenciados y cumplimos los requisitos para acceder al curso.

Al final es una cuestión menor que puede resolverse incorporando en los formularios que rellenen los ciudadanos una autorización expresa para esa “investigación” por parte de la administración.

- Artículo 18.1, Fundamento Jurídico Noveno: Recurso 25/2008

[Texto anulado] Artículo 18. Acreditación del cumplimiento del deber de información.

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

La razón es que por el RD 1720/2007 se impone una obligación de constancia documental que no se impone en el artículo 5 de la LOPD, que consagra la libertad de forma en la recogida del consentimiento (verbal, escrita, etc.). Por lo tanto entiende que el legislador se ha extralimitado en la exigencia de este requisito.

En principio es correcta la apreciación del Supremo en este caso, y el artículo podría salvarse indicando que “en el caso de que se recoja el consentimiento por escrito o de otra forma que permita acreditar su cumplimiento, deberá conservarse mientras persista el tratamiento”.

Así quedaría vigente la libertad de forma en la recepción del consentimiento al tiempo que se mantiene esta obligación de conservación de los documentos.

- Artículo 38.1.a Fundamento Jurídico Decimocuarto: Recurso 23/2008 y Fundamento Jurídico Cuarto: Recurso 26/2008

[Texto modificado, versión final] Artículo 38. Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.

[Texto eliminado] Artículo 38.1.a “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

La supresión del párrafo final supone un golpe duro a los ciudadanos que nos vemos muchas veces indefensos ante las prácticas de empresas que ante una deuda nos incluyen en un fichero de morosos por deudas en las que podemos tener razones para discrepar.

Hasta ahora, y desde la entrada en vigor del RD 1720/2007, una empresa con la que mantuviésemos una deuda nos incluía en estos ficheros de solvencia patrimonial bastando su mera declaración de las circunstancias de la deuda, aunque pudiesen existir circunstancias de hecho y de derecho que no diesen lugar a la obligación de pago. Es decir que la cantidad adeudada fuese discutida. Para solucionar esto, se iniciaba un procedimiento administrativo en el caso de servicios financieros o un procedimiento arbitral en las oficinas de consumo y se remitía a la entidad y se salía del fichero.

Lo que se defendía por ASNEF es que ese redactado permitía dejar en manos del afectado el poder convertir unilateralmente en controvertida una deuda que no lo es lo que, a su juicio, iba en contra del principio de calidad de dato.

El Tribunal resuelve que el artículo presenta una defectuosa redacción del precepto reglamentario por inconcreción en su texto no solo de aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos se refieren, sino también porque esa vaguedad permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero.

El Tribunal añade que mal puede entenderse que unos datos no son exactos y no se encuentran actualizados como consecuencia de una reclamación de cualquier naturaleza en instancias judiciales, arbitrales, administrativas o ante los Comisionados, pero ello es absurdo puesto que en el procedimiento concreto se puede discutir la existencia o no de la deuda, que es el dato, y llegarse a la conclusión de que nunca nació, por ejemplo.

Entonces, si en el procedimiento de la reclamación se declara, por ejemplo, la nulidad de un contrato, entonces la deuda nunca nació, debería poder reclamarse contra las empresas de ficheros de solvencia patrimonial y de las empresas que comunicaron los datos puesto que los mismos no cumplieron con los principios de calidad de los datos cuando fueron inscritos.

Estas consideraciones del Tribunal Supremo, como se ve, pueden tener importantes repercusiones y problemas de aplicación práctica.

- Artículo 38.2, Fundamento Jurídico Decimocuarto: Recurso 23/2008

[Texto anulado] Artículo 38.Requisitos para la inclusión de los datos.

2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Este párrafo es eliminado por que según el Tribunal, si bien la prueba indiciaria es una prueba admitida en nuestro derecho, pero no es equiparable a la prueba de presunciones.

“Sin duda juega un papel relevante en el ámbito cautelar, pero ha de reconocerse que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.”

En este caso parece confundirse el principio de prueba con los medios de prueba. Es decir, el principio de prueba es el derecho a valerse de los medios de prueba existentes y aceptados, pero mientras sean estos vale cualquiera de los medios, con independencia de que se indiquen o no. Y el medio es el instrumento concreto reflejo de la realidad.

Aquí la desprotección del ciudadano aumenta todavía más, ya que la presunción del declarante no puede combatirse por parte del ciudadano. De hecho la redacción eliminada era coherente con el contenido del artículo 13 de la LOPD que regula el derecho a la impugnación de las valoraciones

13.1 Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.

De todas formas ese derecho debe poder seguir haciéndose efectivo a pesar de lo resuelto por el Tribunal Supremo y deben admitirse por las empresas de ficheros de solvencia patrimonial impugnación de las deudas inscritas así como por las entidades que hacen uso de esos ficheros para conceder o denegar un crédito, por ejemplo.

- Artículo 123.2, Fundamento Jurídico: Recurso 23/2008

[Texto anulado] Artículo 123. Personal competente para la realización de las actuaciones previas.

2. En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.

Esta es una cuestión que afecta a las capacidades de contratación por parte del director de la Agencia, y que al referirse a supuestos excepcionales no delimitados, entiende el Tribunal Supremo que por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión de los artículos 35, 37 y 40 de la LOPD.

En conclusión, unas sentencias que provocan problemas en el campo de mayor interés para los recurrentes los ficheros de solvencia patrimonial en detrimento de la protección de los ciudadanos que ven parcialmente limitadas sus facultades de actuación contra decisiones que en muchas ocasiones no responden a la realidad y sirven de abuso para cobrar deudas aun en ausencia de fundamentos jurídicos que las respalden.

De hecho es habitual que estas empresas, o aquellas que contratan para gestionar el cobro, utilicen como amenaza la inclusión en estos ficheros para forzar un pago aun en supuestos dudosos ya que los perjuicios que sufre el supuesto deudor son mayores que el importe de la deuda o las molestias para salir de estos ficheros

Sobre las cuestiones prejudiciales planteadas al TJCE habrá que esperar a su resolución por parte de este tribunal para poder valorar como afectan al contenido y aplicación del RD 1720/2007

Los datos de cientos de niños adoptados aparecen en redes P2P

derechoenred — Sat, 03 Oct 2009 08:58:41 +0000

Los datos personales de un gran número de niños en proceso de adopción o adoptados y las correspondientes parejas de adoptantes, se hallaban en redes de intercambio de ficheros P2P; la información se contenía en dos bases de datos .mdb. La Agencia Española de Protección de Datos ha sancionado a la Asociación que estaba a cargo de estas adopciones, pero los ficheros podrían haber sido intercambiados por multitud de usuarios.

Un caso más de aparición en este tipo de redes de documentos o bases de datos con información personal, confidencial o privada. Sin embargo en esta ocasión considero el asunto de especial gravedad, pues la información de los ficheros hace referencia a los datos personales de niños en fase de adopción o adoptados y sus adoptantes.

En concreto se trataba de 2 bases de datos de Microsoft Access, cuyos nombre de fichero eran “ecai-cmancha.mdb” y “ecai-madrid.mdb” (no os molestéis en buscarlos porque ya han sido eliminados).

¿Cómo se produjo la fuga de datos?

Parece que no fue la clásica torpeza becerril de instalar el eMule en el servidor de la Asociación y compartir C:\, sino que por el relato de los hechos se desprende que la esposa del programador de la base de datos se copió en un pen-drive dicha base de datos, sin autorización de la Asociación, la volvió a copiar a su ordenador de casa y la estuvo compartiendo en el eMule. Pudo copiarla sin problemas porque era trabajadora de la Asociación, pero después de descubrir el asunto fue despedida.

La Ley Orgánica de Protección de Datos es plenamente aplicable en este supuesto. El artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Sintetizando las previsiones legales puede afirmarse que:

a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso –la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.
b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD.
c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.
d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
En este caso la Asociación vulneró este principio de seguridad de los datos al permitir el acceso de terceros no autorizados a información personal.

La Agencia Española de Protección de Datos sancionó finalmente con 6000 euros a dicha Asociación, sanción que a mi juicio se muestra insuficiente dada la naturaleza de los datos difundidos.

Otro asunto que levanta mi curiosidad desde hace algún tiempo es el procedimiento seguido por la Agencia para averiguar el titular de la línea telefónica desde la que se estaba compartiendo el fichero. Recordemos que no era la Asociación quien compartía el fichero sino una ex-trabajadora desde su casa; la Agencia descubre este extremo al inicio de las actuaciones cuando Telefónica le remite el nombre, apellidos y dirección del titular de la línea que a la fecha y hora indicada estaba haciendo uso de la dirección IP que compartía el fichero.

¿Fue esta prueba obtenida de forma lícita? ¿Puede la Agencia, directamente y sin autorización judicial, requerir dicha información a los ISP? Recordemos que la Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones obliga con carácter general a solicitar autorización judicial para conseguir precisamente, y entre otra, la información relativa al titular de una dirección IP en un momento determinado.
Para ampliar esta información recomiendo dos geniales artículos de David Maeztu: El rastreo de usuarios en internet por la policia. Sentencia del TS 236/2008 y La viga propia o los métodos de la Agencia de Protección de Datos.

La Resolución sancionadora es de fecha 2 de abril de 2009.

Fuente: http://www.samuelparra.com