La Agencia Española de Protección de Datos ha sancionado al Banco Cetelem con 60.000 euros de multa por dejar visible, en una comunicación postal con un cliente, las palabras «ha devuelto impagado, el recibo» desde el exterior del sobre.
Además del nombre, apellidos y dirección se podía leer esa frase desde la ventanilla del sobre.
El manto protector de la protección de datos se extiende, como vemos, a muchos momentos cotidianos de nuestras vidas; en este caso, al parecer, se produjo un error en el ensobrado de las cartas, lo que ocasionó que fuera accesible información excesiva en el exterior de una carta.
La sanción trae causa de la correspondiente denuncia por parte del afectado. Se inicia entonces la fase de inspección, desplazándose los inspectores a las oficinas de este Banco. Allí se realiza la impresión y ensobrado de una muestra de 240 comunicaciones a clientes, verificando que al examinar uno a uno todos los sobres cerrados, en ninguno de ellos es visible a través de la ventanilla de la que disponen, ningún dato diferente del nombre y apellidos del destinatario y su dirección postal, salvo en dos de ellos, en los que figura un número de contrato.
No obstante, los inspectores comprueban que, golpeando los sobres verticalmente contra una mesa, para seis de ellos se hace visible parte del texto de la comunicación a través de la ventanilla del sobre, ocurriendo este hecho para seis de los documentos ensobrados, aunque en realidad, estos hechos luego no se tienen en cuenta para resolver el expediente.
En base a las pruebas aportadas por el denunciante (fotocopia y originales cerrados de algunas de estas comunicaciones), se le imputa a la entidad una infracción del artículo 10 de la Ley Orgánica de Protección de Datos, que indica:
«El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.»
Numerosa jurisprudencia, como la Sentencia de la Audiencia Nacional de fecha de 18 de enero de 2002 determina que el deber de secreto profesional que incumbe a los responsables de ficheros, recogido en el artículo 10 de la Ley Orgánica 15/1999, supone que el responsable o cualquiera que intervenga en la fase del tratamiento no puede revelar ni dar a conocer el contenido de esos ficheros, teniendo el deber de guardarlos en los términos previstos en ese artículo 10.
Como ya ha repetido el Tribunal Constitucional, este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida.
Afirma finalmente la AEPD, que «en el presente caso, ha quedado acreditado que el banco, como responsable del fichero, vulneró el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD al permitir que cualquiera ajeno al afectado pudiera ver un contenido del escrito del interior, que explicita datos financieros que unidos a los de identidad permiten obtener una evaluación de la persona destinataria.»
La consecuencia jurídica de dejar a la vista esa frase en el sobre del cliente le supone al banco una multa de 60000 euros. Curiosamente, a pesar de que esta entidad solicita expresamente la aplicación del artículo 45.5 (que sirve para atenuar la responsabilidad), la AEPD no aprecia motivos para su aplicación y terminan por imponer, a mi juicio, una sanción desmesurada para los «daños» y hechos producidos.
Si lo pensamos fríamente, y aunque estemos ante una entidad financiera, 60000 euros por los hechos comentados aquí parece una cifra un tanto elevada, sobre todo porque no aprecio que se haya inferido daño alguno al afectado. ¿Realmente que un tercero se haya podido enterar que fulanito ha dejado de pagar un recibo debe ser castigado con tanta dureza?.
Lo que tampoco encaja en mi lógica es la afirmación de que: nombre + apellidos + dirección + «ha devuelto impagado, el recibo» = obtener una evaluación de la personalidad del afectado.
Es que claro, si decimos que los datos filtrados permiten realizar una evaluación de la personalidad del afectado, nos encontramos ante una infracción GRAVE, mientras que si no permiten evaluar la personalidad, y en este caso, nos encontraríamos ante una infracción LEVE. A efectos pecuniarios, habría supuesto seguramente imponer una multa de 6000 euros en vez de 60000 euros.
Quizá mi interpretación de la ley no sea la adecuada (desde luego no coincide con la de la Agencia) pero cuando el artículo 44.3.g establece que son infracciones graves:
«La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a […] así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo»,
lo de «evaluación de la personalidad» debe ser entendido de forma literal: yo sinceramente no soy capaz de evaluar la personalidad de nadie conociendo simplemente que un banco le ha enviado una carta donde pone que «ha devuelto impagado, el recibo».
Creo que cuando el legislador estableció esa distinción tenía en mente otro conjunto de datos… datos, que sin llegar a ser especialmente protegidos (salud, religión, etc), supondrían alcanzar un conocimiento de la esfera interna del individuo, más allá de la mera identificación personal, en relación a características concretas, como su forma de pensar en determinadas situaciones, su forma de actuar, etc… pero desde luego, «ha devuelto impagado, el recibo» no dice nada sobre la personalidad de nadie.
Fuente: www.samuelparra.com