El hallazgo de documentos con datos de carácter personal en contenedores de basura o en la vía pública, y por tanto accesibles a terceros, se ha convertido desgraciadamente en un hecho bastante habitual de un tiempo a esta parte en nuestro país, lo que unido al eco cada vez mayor que los medios de comunicación realizan del mismo está generando una creciente alarma en la sociedad, dando lugar consecuentemente a un aumento de las denuncias ante la AGPD por este motivo. Por ello resulta de gran importancia para las empresas y entes públicos conocer su repercusión jurídica, así como los pasos a dar para mitigar en la medida de lo posible sus consecuencias.
Hemos de indicar, en primer término, que estos hechos constituyen una vulneración de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, (en adelante LOPD), concretamente de los artículos 9 (obligación del responsable del fichero de “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado”) y 10 (obligación tanto del responsable como de quien intervenga en cualquier fase del tratamiento de los datos “al secreto profesional respecto de los mismos y al deber de guardarlos”), pues si un documento interno que contiene información sobre datos personales sale del ámbito de la entidad responsable de su confidencialidad, se está produciendo un incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una omisión del deber de secreto. En estos casos, y de acuerdo al artículo 4.4 del Real Decreto 1398/1993, de 4 de agosto (Reglamento de la Potestad Sancionadora), se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida.
La violación de ambos preceptos es catalogada como infracción GRAVE, de acuerdo a los apartados h) y d) del artículo 44.3 de la LOPD, y lleva aparejada sanciones que van desde 40.0001 a 300.000 €, según el Nuevo Régimen Sancionador de la LOPD aprobado recientemente por la Ley de Economía Sostenible.
Debe ponerse de relieve que con esta modificación del Régimen Sancionador, el incumplimiento de la obligación de secreto nunca puede ser calificado como infracción leve, al contrario de lo que ocurría anteriormente, siendo en todo caso constitutivo de infracción grave, por lo que queda de manifiesto el especial celo que ha puesto el legislador en la tutela de este principio fundamental, lo cual tiene su proyección en la aplicación del mismo por la AGPD y los jueces y tribunales.
Es precisamente en los criterios de la AGPD y de los órganos jurisdiccionales a la hora de aplicar estos preceptos donde nos vamos a detener, para estudiar las consecuencias que se derivan para las entidades por este tipo de actuaciones, y los medios a utilizar para atenuar los posibles efectos perniciosos.
El artículo 44.3.h) de la LOPD señala como infracción grave “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.
La mera constatación del hecho de la aparición de documentación con datos personales, de cuyo tratamiento es responsable una entidad u organismo, en un contenedor o abandonado en la vía pública y accesible por tanto a terceros, supone una inobservancia del deber de adoptar y aplicar las medidas de seguridad pertinentes por parte del responsable del tratamiento. Es por tanto insuficiente que la empresa acredite la existencia o la adopción de las pertinentes medidas de seguridad respecto los datos personales, pues es criterio de la Agencia Española de Protección de Datos, así como reiterada jurisprudencia de la Audiencia Nacional, la imposición de una obligación de resultado al responsable del tratamiento, por lo que además de acreditar el establecimiento de esas medidas, debe responder de que las mismas se cumplan y se ejecuten con rigor. Esta postura viene refrendada y encuentra sus sustento legal en el artículo 130
de la Ley 30/92, de 26 de noviembre, de Régimen Jurídico de las Administraciones Publicas y del Procedimiento Administrativo Común (LRJPAC), que advierte que “sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aún a título de simple inobservancia”.
Por tanto, la falta de culpabilidad del responsable del tratamiento (las medidas de seguridad están implantadas pero se produce una pérdida accidental, la actuación negligente de un empleado…) no es óbice para la aplicación de las sanciones previstas en la ley.
Sin embargo, la acreditación de la previa adopción de las medidas exigibles por la Ley sí que es tenida en cuenta de forma efectiva a la hora de una posible atenuación de las sanciones, reduciéndolas ostensiblemente. Así lo establece el artículo 45.4 de la LOPD, que proclama el principio de proporcionalidad, permitiendo que la cuantía de las sanciones se gradúe en atención a diversos criterios, como “la acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor” (art. 45.4.i), o “cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora”, los cuales permitan apreciar “una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho” (art. 45.5).
Además, el Nuevo Régimen Sancionador instaurado por la recientemente aprobada Ley de Economía Sostenible, otorga la facultad discrecional a la AGPD de excepcionalmente, y de acuerdo a la naturaleza de los hechos y a los criterios establecidos anteriormente, no abrir procedimiento sancionador, y en su lugar apercibir al responsable, cuando “los hechos fuesen constitutivos de infracción leve o grave” o “el infractor no hubiese sido sancionado o apercibido con anterioridad” (art. 45.6 LOPD)
En conclusión, la implantación meramente formal de las medidas de seguridad para la protección de los datos personales establecidas en la Ley, no garantiza la protección de los datos ni por tanto la inmunidad frente a posibles infracciones, siendo necesaria la observancia material de las mismas para evitar posibles extravíos o pérdidas de documentación. En caso de producirse este hecho, es vital regularizar cuanto antes de forma diligente la situación producida y adoptar las medidas correctoras necesarias para reparar el daño causado, pues pueden favorecer una ostensible atenuación de las sanciones a aplicar, pudiendo incluso eximir de las mismas y dar lugar a un mero apercibimiento si se dan las circunstancias previstas legalmente.
Áudea Seguridad de la Información
Departamento Legal
Javier Villegas
www.audea.com