Parece que se acumulan los problemas legales para el proceso independentista de Cataluña.
Al margen de juicios e inhabilitaciones, en noviembre de 2015, pocos meses después del nombramiento de la nueva Directora de la AEPD, se publicó una resolución (PS/00235/2015), contra ASSEMBLEA NACIONAL CATALANA (en adelante, ANC) y OMNIUM CULTURAL (en adelante, OMNIUM), por la que imponía las siguientes sanciones al constatarse una infracción del artículo 7.1 LOPD:
- 200.000€ a ANC y 200.000€ a OMNIUM por tratar datos especialmente protegidos sin consentimiento expreso y por escrito al haber “recogido y conservado información sobre datos de ideología relativos a personas que negaron su participación en la encuesta o que, aun habiéndola realizado, no consintieron expresamente el tratamiento de sus datos personales” (concretamente su opinión sobre la independencia catalana y su intención de votar en la consulta soberanista del 9 de noviembre de 2014).
El recurso presentado por las entidades ante tales sanciones fue denegado y la Audiencia Nacional procedió a ejecutar el embargo de 400.000 euros por la vía de apremio.
- 40.000€ a ANC por conservar dichos datos sin las debidas medidas de seguridad, ya que bastaba con un numero de DNI (sin contraseña) para acceder a la base de datos. ANC asumió su responsabilidad por esta infracción.
En abril de 2017 se ha publicado una nueva resolución (PS/00391/2016) contra las mismas entidades por causas diferentes a las anteriores.
En esta ocasión, se demostró que ambas entidades alojaron datos personales en los sistemas de un proveedor estadounidense (Blue State Digital, Inc.), sin la correspondiente autorización de la AEPD y sin declarar en el Registro General de la AEPD que existía dicha transferencia de datos, lo que contraviene, a tenor de la sanción el artículo 33 de la LOPD.
ANC y OMNIUM hicieron múltiples alegaciones, desde que la norma no es clara a la hora de definir “transferencia internacional”, hasta su falta de intencionalidad (ya que bloquearon los datos del fichero cuando el TJUE decidió anular la Decisión de “Safe Harbour”), pasando por denunciar cierta intencionalidad política en la resolución de la AEPD.
Sin embargo, dichas alegaciones no tuvieron todo el éxito que las entidades hubieran deseado, imponiendo la AEPD, sendas sanciones de 90.000 € a cada una de las entidades.
No obstante, no es un mal resultado, teniendo en cuenta que las transferencias internacionales ilícitas son infracciones muy graves de la normativa de protección de datos y podrían ser sancionadas con multas entre 300.000 y 600.000 euros.
En cualquier caso, resulta reconfortante comprobar que no siempre todas las sanciones se dirigen contra el sector empresarial y que se aplican los mismos controles y restricciones a organizaciones y entidades que participan del sector político. Un tema interesante ahora que el RGPD abre la puerta a la imposición de sanciones a las Administraciones Públicas.
Sara de Diego Hermida
Departamento Legal