Feed RSS para esta sección

Archivo | LOPD

Sobre la validez del consentimiento presunto en materia de Protección de Datos

El artículo 6 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) exige la existencia, con carácter general, de consentimiento para el tratamiento de datos de carácter personal. Por su parte, el art. 7 de la misma norma exige que el consentimiento sea expreso para el tratamiento de datos especialmente protegidos. Dado que el artículo 7 especifica el consentimiento expreso para algunos casos, es fácilmente deducible que son válidos a estos efectos otros tipos de consentimiento.

Hecha esta pequeña introducción para los no iniciados, debemos preguntarnos qué otros tipos de consentimiento o qué otras formas de expresar la voluntad, pueden ser válidas. No es objeto de este artículo entrar en profundidades ni analizar los matices que pueden encontrarse en la doctrina, pero no obstante podemos distinguir:

Consentimiento expreso: la voluntad del interesado se expresa a través de una declaración clara por su parte.

Consentimiento tácito: la voluntad del interesado se deduce de su falta de actuación.

Consentimiento presunto: la voluntad del interesado se deduce de su comportamiento.

Pese a que en documentos anteriores podemos encontrar la aceptación, por parte de la Agencia Española de Protección de Datos , de estas tres formas de expresar la voluntad, al menos desde el año 2000 no admite el consentimiento presunto, por considerar que no cumple con el requisito de “inequívoco” que exige la LOPD en su art. 6.

Así lo expresaba un informe de 2000, en el que, recogiendo “los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa”, se establecía que el consentimiento debe ser libre, específico, informado e inequívoco “lo que implica que no resulta admisiblededucir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento”. Esta interpretación de lo que ha de ser un consentimiento inequívoco ha sido repetida por la AEPD en multitud de resoluciones, y está presente en su página web para explicar las obligaciones de la LOPD en lo referido al consentimiento.

Conociendo esto, me ha sorprendido enormemente leer una resolución por la que se archivan las actuaciones iniciadas contra la Federación de Comunicación y Transportes de Comisiones Obreras, por una denuncia debida a la grabación de las intervenciones realizadas en un congreso de esta organización sin obtener el consentimiento de los afectados. La Agencia considera que “es conforme a derecho la idea de que existiría un consentimiento implícito al respecto del tratamiento de datos referidos a la celebración practicada […] en base a la participación de éstos [los afiliados intervinientes] en el propio congreso. Esto es así dado que en materia de protección de datos se articulan tipos de consentimiento más allá del calificado como expreso, como son los consentimientos tácitos y presuntos, desprendiéndose éste último del primigenio comportamiento de los denunciantes, que participaron en el acto sin oposición, debiendo conocer, por tanto, que el acto referido podría ser objeto de grabación”.

Como vemos, la Agencia claramente acepta la existencia de un consentimiento presunto por parte de los intervinientes en el congreso, dado que conocían la realización de las grabaciones. Puede que haya más resoluciones en las que se acepta el consentimiento presunto, pero no hemos encontrado ninguna.

Hay en la doctrina división de opiniones sobre este asunto y he de decir que estoy de acuerdo con esta interpretación de la Agencia, pero es evidente que estamos ante una resolución que va en contra de la doctrina de la propia AEPD, repetida una y otra vez en multitud de documentos. Es más, en materia de videovigilancia, en la que a mi juicio se da un claro caso de consentimiento presunto (una vez se informa de que una zona está videovigilada, se puede deducir que aquél que entra está consintiendo la grabación de su imagen) la Agencia acude a la Ley 23/1992, de 30 de julio, de Seguridad Privada, para eximir de consentimiento por habilitación legal.

Lo más curioso de todo es que la propia AEPD “tira” del consentimiento presunto en los actos que organiza y graba, informando a los asistentes, pero sin obtener su consentimiento expresamente (y sin que se pueda amparar en la seguridad, puesto que la finalidad de la grabación es dar difusión al acto y no la videovigilancia por razones de seguridad).

En fin, que estamos ante un claro caso de inconsistencia en las resoluciones de la Agencia, que deberían garantizar más seguridad jurídica y un criterio más uniforme.

El TJUE, el tratamiento de datos sin consentimiento, y las fuentes accesibles al público.

El Tribunal de Justicia de la Unión Europa (TJUE) ha dictado una sentencia por la que se resuelven dos cuestiones prejudiciales elevadas por el Tribunal Supremo. Estas cuestiones se derivan de los recursos presentados por la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y la Federación de Comercio Electrónico y Marketing Directo (FECEMD) contra determinado contenido del artículo 10 del Real Decreto 1720/2007, por el que se desarrolla la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). Este artículo, entre otras cosas, permite el tratamiento de datos sin consentimiento del interesado cuando los “datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado“.

Este precepto trata de recoger lo dispuesto en el artículo 7 de la Directiva 95/46, que establece que podrán tratarse datos sin consentimiento si “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.

¿Cuál es el problema? Pues que la normativa española exige, además del requisito del interés legítimo del responsable del tratamiento, y de que no prevalezca el interés o los derechos del afectado, que los datos figuren en fuentes accesibles al público. Esta es la primera pregunta que realiza el Supremo al TJUE, y la respuesta es clara: la Directiva se opone a que se exija este requisito adicional. A la vista de esto, al Supremo no le queda otro remedio que llevar a su fallo esta sentencia del TJUE, con lo que el artículo 10 del Real Decreto 1720/2007 no podrá seguir exigiendo que los datos figuren en fuentes accesibles al público.

La Agencia Española de Protección de Datos (AEPD) ha reaccionado a esta sentencia y en una nota de prensa ha dicho, básicamente, que la sentencia (resumida aquí por Gontzal Gallo) no altera el marco vigente de la Protección de Datos en España, puesto que ya venía interpretando el hecho de que los datos figuren en fuentes accesibles al público como un mero criterio de ponderación entre el interés legítimo del responsable del tratamiento y los derechos del interesado que se ven afectados por el tratamiento de datos sin consentimiento. Sin embargo, no es difícil encontrar procedimientos sancionadores, incluso recientes, en los que no se realiza ninguna ponderación en este sentido, rechazando la posibilidad del tratamiento de datos sin consentimiento si no figuran los datos en fuentes accesibles al público. Es más, la propia Agencia dice que, dado que se trata de una excepción, “debe aplicarse de forma restrictiva”. Por tanto, quizá sea más correcto decir que este será el criterio interpretativo a partir de ahora, con lo que, en mi opinión, sí que hay alteración del estado de las cosas.

Además tenemos que tener muy en cuenta la resolución de la segunda cuestión prejudicial planteada, en relación con el efecto directo del art. 7.f de la Directiva. El TJUE responde, como era de esperar, que sí que tiene efecto directo, con lo cual lo dispuesto en esta norma puede ser invocado por un particular y aplicado por los órganos jurisdiccionales nacionales. Esto tiene una importancia adicional, puesto que debemos recordar que el artículo 6.2 de la LOPD también incorpora el requisito de que los datos figuren en fuentes accesibles al público, requisito que, por lo que acabamos de ver en esta sentencia, es contrario a lo dispuesto en la Directiva.

Sanción de la AEPD por abrir un perfil falso

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 2.000 euros a una persona por haber abierto un perfil falso en la red social Badoo haciéndose pasar por otra persona. Esta resolución es bastante jugosa por varias razones.

En primer lugar por su instrucción: primero se solicita a la Oficina del Comisionado Chipriota para la Protección de Datos, (cuyo nombre oficial es, por si les pica la curiosidad, Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) información sobre la dirección IP desde la que se creó el perfil y se realizaron conexiones. Conocida esa IP, el operador Euskaltel le facilita a la AEPD la identificación del titular que tenía asignada esa dirección IP en el periodo en el que se realizaron las mencionadas conexiones.

Puede llamar la atención las inmensas posibilidades que tiene la AEPD de investigación e identificación de usuarios de servicios de telecomunicaciones. La Agencia se ampara en el art. 40 de la LOPD, en el que se dice que las autoridades de control, en su labor de inspección, podrán recabar “cuantas informaciones precisen para el cumplimiento de sus cometidos”. Es cierto que una interpretación amplia de este precepto puede llevar a aceptar que pueden “pedir” lo que quieran, pero también es verdad que una cosa es que puedan pedir y otra que el poseedor de esa información tenga la obligación de facilitarla. Por otro lado, está el viejo debate que trae a colación lo establecido en los arts. 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, en los que se dice que los datos de tráfico sólo pueden ser cedidos previa autorización judicial y con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Respecto a este debate, nos remitimos a esta entrada de David Maeztu y a las aportaciones realizadas en sus comentarios.

También es interesante que en esta resolución se recuerda que, en caso de que haya abierto un proceso penal, se debe suspender el procedimiento hasta que recaiga resolución judicial. No se produjo en este caso, aunque lo alegaba la denunciada, puesto que la Agencia no tenía conocimiento de la apertura de ningún proceso penal con identidad de sujeto, hecho y fundamento, tal como exige el art. 7 del Real Decreto 1398/1993.

En cuanto a la cuestión de fondo, la Agencia entiende que, dado que se abrió un perfil utilizando el nombre de pila, número de teléfono y fotografía de otra persona, hay un tratamiento de datos sujeto a la LOPD, tratamiento realizado sin consentimiento, lo que supone una infracción del art. 6. En primer lugar puede llamar la atención que estamos ante el tratamiento de datos realizado por un particular, con lo que cabría pensar que estamos fuera del ámbito de aplicación de la LOPD, atendiendo a la conocida como “excepción doméstica“. Aunque es sabido y es reiterada la doctrina de la AEPD por la que se entiende que en el momento en que se tratan datos personales públicamente en Internet esta excepción no se tiene en cuenta, creo que debería haberse analizado este aspecto.

El caso es que debemos plantearnos si la AEPD entra a conocer de cuestiones que parecen ajenas a la normativa sobre Protección de Datos y por tanto sobre su competencia. La suplantación de identidad en una red social podría pensarse que supone un delito de usurpación del estado civil, tipificado en el art. 401 del Código Penal, pero es muy complicado aplicar este artículo, puesto que la jurisprudencia viene exigiendo que el infractor se haga pasar en su totalidad por otra persona, y además con carácter permanente. También puede ser un medio para la comisión de otras infracciones y delitos, pero sólo eso, un medio. Por tanto la mera suplantación de identidad en una red social puede quedar sin sanción y no parece que sea una actuación no merecedora de reproche.

Esta actuación de la AEPD ha sido muy criticada por entender, como hemos dicho, que estamos ante una actuación que debe quedarse fuera de sus competencias, pero lo que es incuestionable es que se ha realizado un tratamiento de datos personales sin consentimiento, y ante eso la Agencia no tiene más remedio que actuar. Espero los comentarios discrepantes con mucho interés.

Sobre la obligatoriedad de consultar la Lista Robinson

La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a Telefónica Móviles España (TME) por haber realizado llamadas a un cliente suyo, pese a que este se encontraba incluido en la Lista Robinson. La sanción, de 3.000 euros, se fundamenta en la existencia de un tratamiento de datos contrario al principio de calidad de los datos (art. 4 de la LOPD), originado por el incumplimiento del art. 30.4 de la LOPD, que obliga a atender las peticiones de oposición de los titulares de los datos.

Mucha tela hay que cortar aquí sobre esta forma de sancionar, pero nos centraremos en la obligatoriedad de consultar el fichero de exclusión publicitaria, “Lista Robinson”, de la Asociación Española de la Economía Digital (Adigital). Al hacerse pública esta resolución, hemos podido leer afirmaciones sobre la necesidad de que se consulte este fichero antes de utilizar datos personales con finalidad publicitaria y es necesario recordar que no es así, o al menos no es así para todas las empresas que realicen esta actividad.

El artículo 49,4 del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD (RDLOPD), establece que “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación“. Una de las cosas que llama la atención en la resolución, es que en ningún momento se explica ni se justifica la obligación por parte de TME de consultar la Lista Robinson de la FECEMD (antigua denominación de Adigital), no se argumenta por qué ese fichero se trata de un fichero común “que pudiera afectar a su actuación”, tal y como establece el art. 49 del RDLOPD. La única razón por la que TME pueda estar obligado es porque sea usuaria de ese fichero, o mejor dicho, como claramente denominó hace ya tiempo Félix Haro, “cliente” de ese fichero. No se puede, con la normativa en la mano, exigir a cualquier empresa que tenga que consultar la Lista Robinson. Además, en este caso, ni siquiera se puede argumentar que TME estará obligada por ser socia de Adigital (sin llegar a ser usuaria, de hecho, del fichero), dado que TME no forma parte de la Asociación Española de la Economía Digital (nueva denominación de la FECEMD): sólo está asociada la matriz, Telefónica de España, como se puede ver en la web de la asociación.

En fin, entenderán el por qué del desastroso título de esta entrada: en resumidas cuentas, es obligatorio consultar la Lista Robinson de Adigital si usted, voluntariamente, se obliga a ello. Si no, la consulta de la Lista Robinson no es obligatoria. No conozco ninguna sanción de la AEPD por no haberlo hecho, si la hay, me encantaría que me la indicaran.

Por cierto, en la resolución se recoge, como hecho probado, que la FECEMD envió a TME “un fichero de solicitudes de inclusión en lista Robinson, que mezclaba clientes y no clientes de TDE y TME”. Me pregunto yo, ejem, si no estamos ante una cesión ilícita de datos de carácter personal, lo cual supone una infracción grave de acuerdo con el artículo 44.3.k de la LOPD. Dado que la Agencia ya conoce este hecho, puesta que está recogido, insisto, como hecho probado en la resolución, supongo que en este momento ya estará abriendo el procedimiento sancionador.

Consejos para el uso legal de las redes sociales

Los pasados días 15, 16 y 17 de junio se celebró en Valladolid, organizada por la Confederación Vallisoletana de Empresarios, la I Semana de las Redes Sociales de Castilla y León. El evento suscitó un gran interés con carácter previo y ha obtenido una gran repercusión con posterioridad. Contó con la participación de un buen número de profesionales conocedores de la materia, entre los que se encontraba el Director Comercial de Lex Nova, Jesús Cadenas.

Los organizadores amablemente me invitaron a tomar parte en una de las sesiones, con el objeto de informar a los asistentes sobre cuestiones de contenido jurídico relacionadas con el uso de las redes sociales.

La ponencia se centró en una serie de aspectos a tener en cuenta, entre muchos otros, a la hora de gestionar las redes sociales dentro la empresa. Seis son los puntos que tratamos:

La conveniencia de leer las condiciones de uso de los servicios de redes sociales. Si vamos a utilizarlos con una finalidad profesional, es fundamental conocerlas y saber qué está permitido o prohibido en cada servicio, de forma que podamos evitar problemas como que nuestro perfil sea cerrado por incumplimientos de los términos del servicio.
La organización de concursos, aun gratuitos, está sujeta a algunas obligaciones, como la comunicación de su celebración a Loterías y Apuestas del Estado y el pago de la tasa del juego.
A la hora de utilizar contenidos creados por terceros es necesario saber que, salvo que su autor permita otra cosa, está prohibida su reproducción y cualquier otra modalidad de explotación. Es interesante conocer las licencias Creative Commons tanto para poder utilizar obras de terceros como para licenciar las propias.
La responsabilidad sobre los comentarios que los usuarios introduzcan en nuestros blogs recae exclusivamente sobre ellos, salvo que no se tenga conocimiento efectivo sobre la ilicitud de los mismos o, teniéndolo, no se haya sido diligente en su retirada.
En caso de problemas de reputación online, con el objeto de no ser víctimas de lo que se conoce como “Efecto Streisand“, es conveniente ser precavido a la hora de actuar. Es recomendable acudir primero al autor de los contenidos que nos puedan perjudicar, así como a los titulares de los servicios utilizados, antes de acudir a reclamaciones administrativas o judiciales.
Por último, un aspecto importante es la conveniencia de que los empleados sepan qué uso pueden dar a las redes sociales en la horario laboral. Del mismo modo, en relación con los empleados o los profesionales o empresas externas encargadas de gestionar las redes sociales en las que tiene presencia una empresa, se recomienda que se pacten y consten por escrito las condiciones sobre qué actuaciones pueden y no pueden realizarse, de forma que se prevean problemas, tanto de reputación de la empresa, como de divulgación de información confidencial.

En definitiva, son muchas y cada vez más evidentes las oportunidades que se les presentan a las empresas con el uso profesional de los servicios de redes sociales, pero es a la vez necesario, como en cualquier otro ámbito, recordar que hay cuestiones legales que no deben dejarse de lado, tanto por la prevención de conflictos jurídicos, como por el daño que puede sufrir la propia imagen de la empresa.

I Congreso Nacional de Privacidad

El pasado 19 de mayo se celebró el I Congreso Nacional de Privacidad, organizado por la Asociación Profesional Española de Privacidad. Se trata del primer gran encuentro de profesionales del sector a nivel nacional. Desde mi punto de vista, fue un encuentro muy provechoso, fundamentalmente por la posibilidad de comentar aquellos aspectos relacionados con nuestra profesión.

Se trataron asuntos relacionados con el fraude del “coste cero”, el intrusismo, la necesidad de formación, etc. En relación con esto, debe hacerse mención a la intervención de Ricard Martínez, profesor de Derecho Constitucional de la Universidad de Valencia, que habló de estos temas y de los retos de futuro que deben afrontar los profesionales de la privacidad.

Rosa Barceló, asesora del Supervisor Europeo de Protección de Datos nos contó por dónde van los tiros en el desarrollo de la modificación de la Directiva 95/46/CE, de protección de datos, la cual, por lo que nos transmitió, no estará aprobada antes de 2013. También resultó interesante la mesa redonda sobre protección de datos y medios de comunicación, en la que se comentó, fundamentalmente, el tan de moda “derecho al olvido“.

Por su parte, Pablo Pérez San José, gerente del Observatorio de Seguridad de la Información de Inteco, en una interesante ponencia, comentó las amenazas a la privacidad que pueden suponer las, por otra parte muy útiles, etiquetas RFID. Otra intervención muy didáctica y destacable fue la del magistrado Ricardo Bodas Martín, quien desgranó y repasó los precedentes jurisprudenciales que afectan a la normativa sobre protección de datos en las relaciones laborales.

En definitiva, un muy interesante encuentro que esperemos que se repita y que sirva no sólo como evento de conocimiento, sino también para la reivindicación de actuaciones profesionales de calidadrelacionadas con la protección de datos de carácter personal.

Instalación de cámaras de videovigilancia falsas

La instalación de sistemas de videovigilancia se encuentra sometida a lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). La imagen de una persona se considera un dato de carácter personal y, por tanto, el tratamiento de imágenes (incluida la mera transmisión de las mismas, sin que se almacenen) constituye un tratamiento de datos de carácter personal. Incluso la Agencia Española de Protección de Datos dictó una instrucción específica sobre la materia (Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras), que regula las obligaciones concretas aplicables a estos tratamientos de datos.

¿Y qué sucede con la instalación de cámaras falsas, sistemas que no estén en funcionamiento, o simplemente, meras carcasas de cámaras? Es una consulta bastante habitual si resulta conforme a la legalidad la instalación de cámaras de videovigilancia falsas, con un interés únicamente disuasorio. La lógica dice que, dado que no hay un tratamiento de datos, no puede aplicarse la LOPD, tan sencillo como eso. Sin embargo, tal y como han apuntado algunos colegas blogueros (1 y 2), la Agencia ha amenazado en algunos casos con la imposición de sanciones si no se retiran estos dispositivos meramente disuasorios, declarando que pueden constituir “prueba indiciaria suficiente“ de que las cámaras realmente captan imágenes. Por tanto, insta a su retirada, advirtiendo de que en caso contrario podrían imponerse sanciones “de hasta 300.506,05 €”. Esto ha sucedido, al menos, en los procedimientos E-01297-2008, E-00903-2009, PS-00155-2010 y E-00888-2010. Cierto es que hay archivos de actuaciones en las que no se incluye esta “amenaza” (como el E-00704-2007), pero no parece ser la tendencia actual.

No podemos estar de acuerdo con estas resoluciones de la Agencia. En primer lugar, por lo que ya hemos comentado, no hay tratamiento de imágenes. Si se iniciara un nuevo procedimiento sancionador contra alguno de los denunciados, la inspección volvería a determinar que no existen grabaciones, con lo que no hay tratamiento de datos, y por tanto, estamos fuera de la LOPD. Es decir, no se sostendría la existencia de una prueba indiciaria suficiente, puesto que la propia inspección comprobará la inexistencia de grabaciones.

Es más, aun aceptando que pudiera haber indicios de tratamientos de datos, deberían utilizarse esta argumentación exclusivamente en casos concretos, basándose en hechos que justificaran tal calificación y no, como parece que está empezando a hacer la Agencia, en todos los casos en los que se denuncian cámaras falsas.

No tendría sentido que lo que pretenda la AEPD sea que se inscriba el fichero, se coloquen carteles y se cumplan con todas las obligaciones derivadas del tratamiento de imágenes, puesto que no se puede inscribir algo que no existe. Por tanto, lo que parece que pretende la Agencia es que no se instalen sistemas disuasorios. La generalización de resoluciones de este tipo supondría que, por la vía de los hechos, la Agencia prohibiera la realización de una actuación (la instalación de cámaras falsas) no prohibidas por ninguna ley, y sobre la que además no tiene competencia (puesto que no debe aplicarse la LOPD).

En conclusión, ante la pregunta que titula esta entrada, instalen ustedes las cámaras falsas que estimen oportunas, como mínimo hasta que se le abra el primer procedimiento sancionador. Aunque se le haya abierto, ya han visto que de momento no se ha sancionado a nadie, con lo que en ese momento usted deberá decidir si mantiene las cámaras falsas o las retira, asustado por la amenaza de la Administración. Yo no lo haría, la verdad (entre otras cosas porque me encantaría ver cómo argumenta la Agencia en ese caso), pero el miedo es libre y ahí ya no me puedo meter.

Actualización: es interesante conocer que la Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de videovigilancia, de la Agencia Catalana de Protección de Datos, excluye de su ámbito de aplicación, en su artículo 1.2.d, “la instalación de cámaras falsas que no sean aptas para captar imágenes”.

Protección de datos, libros de bautismo y apostasía

La Sala Primera del Tribunal Constitucional, mediante Auto 20/2011, de 28 de febrero de 2011, ha inadmitido a trámite el recurso de amparo 9929-2008, promovido por la Agencia Española de Protección de Datos (AEPD), al respecto del contencioso que viene manteniendo desde hace unos años con el Arzobispado de Valencia en relación con la cancelación de datos en los libros de bautismo. Recapitulando, que la cosa viene de lejos:

El 23 de mayo de 2006, la AEPD estimó una reclamación de tutela de derechos (TD/00046/2006) por la que se ordenaba al Arzobispado de Valencia anotar en el libro de bautismo la solicitud de cancelación realizada por el interesado.
El 10 de octubre de 2007, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional desestima el recurso interpuesto por el Arzobispado contra la resolución de la AEPD.
El 19 de septiembre de 2008, el Tribunal Supremo estimó el recurso de casación interpuesto por el Arzobispado contra la anterior sentencia, por lo que la Resolución inicial de la AEPD quedó anulada.
El 12 de noviembre de 2008, la Sección Sexta de la Sala de lo Contencioso-Administrativo del Tribunal Supremo dictó providencia por la que inadmitió el incidente de nulidad de actuaciones promovido por la AEPD.

El auto en cuestión, por tanto, inadmite el recurso de amparo presentado por la AEPD contra esta providencia. El TC considera que la Agencia adolece de falta de legitimación activa para interponer el recurso, puesto que no es titular (en este caso) del derecho a la tutela judicial efectiva, ni (en ningún caso) del derecho a la protección de datos personales. El TC estima que sólo los titulares de los derechos, el Defensor del Pueblo y el Ministerio Fiscal estarían legitimados.

Por tanto, como vemos, el Tribunal Constitucional, aparte de darle un esperado varapalo a la AEPD, no hace nada más, porque no entra en el fondo del asunto. Así pues, no se puede afirmar, como hemos podido leer, que como consecuencia de este auto se avale que la Iglesia no borre datos, o que se cargue el derecho a ejercer la apostasía, etc. Simplemente, no se valora.

Aclarado este extremo, conviene recordar lo que dijo el Tribunal Supremo en su sentencia de 2008, cuya doctrina es la que hay que aplicar al caso que nos ocupa:

Los libros de bautismo quedan fuera del ámbito de aplicación de la LOPD, dado que no constituyen un fichero, sino que se trata de una pura acumulación de datos que comporta una difícil búsqueda, acceso e identificación, en cuanto no están ordenados ni alfabéticamente, ni por fecha de nacimiento, sino sólo por las fechas de bautismo, siendo absolutamente necesario el conocimiento previo de la Parroquia donde aquel tuvo lugar.
Además, en los libros de bautismo no cabe apreciar ninguna inexactitud de datos, en cuanto en los mismos se recoge un dato histórico cierto, salvo que se acredite la falsedad, cual es el referente al bautismo de una persona. Es más, cuando se solicita la cancelación de ese hecho, no se está pretendiendo que se corrija una inexactitud, sino que en se está intentando y solicitando un sistema nuevo y diferente de registro de nuevos datos personales.

A todo esto, no está de más aclarar que el derecho de cancelación en relación con el contenido de los libros de bautismo no tiene nada que ver con la apostasía, contrariamente a lo que se suele pensar. La apostasía es, en general, la negación de la fe o el abandono de una religión, de acuerdo con la definición de la Real Academia Española y, específicamente, según el Canon 751 del Código de Derecho Canónico, “el rechazo total de la fe cristiana“ . No se entiende el especial interés en acudir a la normativa sobre protección de datos por parte de los pretendidos apóstatas. Acudan simplemente a las instrucciones de la Iglesia Católica y verán que, el que quiera salir de ésta, sólo tiene que manifestar su intención “en forma escrita, delante de la autoridad competente de la Iglesia católica: Ordinario o párroco propio”. Y ante esto, oh sorpresa, “proveerá para que en el libro de bautizados (cfr. can. 535, § 2) se haga la anotación con la expresión explícita de que ha tenido lugar la “defectio ab Ecclesia catholica actu formali”. ¿Les suena?

Reforma de la LOPD

La Ley 2/2011, de 4 de marzo, de Economía Sostenible (LES), ha sido muy comentada fundamentalmente por contener la llamada “Ley Sinde“, de la que ya hemos hablado y seguro volveremos a hablar en el futuro, porque es de esperar que tanto su desarrollo reglamentario, como su puesta en práctica, den para mucho. Sin embargo, lo cierto es que, como se puede ver en este completo resumen, tanto cualitativa como cuantitativamente la Ley Sinde era un asunto menor dentro del conjunto del texto de la LES. Y dentro de las materias que tiene este blog como competencia, lo más significativo es la importante reforma que opera la disposición final quincuagésima sexta de la LES, que modifica sustancialmente el régimen sancionador de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD).

Dado que, como consecuencia de la criticable práctica de incorporar la modificación en la LES, la Exposición de Motivos no explica las razones de la reforma, tendremos que pensar que su objetivo es probable que sea, como dice la Agencia Española de Protección Datos en una nota de prensa, aportar “mayor seguridad jurídica” y contribuir a lograr una “mayor precisión en la aplicacion de la norma”. Será la aplicación práctica la que nos permitirá saber si se logran estos objetivos, pero a priori podemos estar sólo parcialmente de acuerdo.

Las principales novedades de la reforma son las siguientes:

Las modificaciones más significativas son las referidas a la tipificación de las sanciones. En general, el cambio es bueno, puesto que se aclaran algunas infracciones y se armonizan distintas sanciones. La más acertada, en mi opinión, es la modificación del antiguo “cajón de sastre” que suponía en art. 44.3.d, que ahora se refiere (44.3.c), a la conculcación de los principios del artículo 4 de la Ley, es decir, sólo del principio de calidad de los datos.
Se modifican los importes de las sanciones leves y graves (art. 45.1 y 2): las sanciones por infracciones leves pasan a ser sancionadas con multa de 900 a 40.000 euros, y las graves con multa de 40.001 a 300.000 euros. Es decir, que sube el mínimo y baja el máximo de las sanciones leves. No encuentro ninguna razón, ni a favor ni en contra, para realizar este cambio, la verdad.
Se modifican los criterios de graduación de las sanciones (art. 45.4): prácticamente la única novedad estriba en que se introduce como criterio “el volumen de negocio o actividad del infractor”. Está bien que se incorpore este criterio, el cual, la mayoría de los profesionales de la materia suponíamos que en realidad ya lo ha venido teniendo en cuenta la Agencia en la determinación de las sanciones. Lo mismo sucede con el hecho de que la entidad imputada tuviera implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, beneficiando de este modo a aquellos que puedan demostrar haber tenido una preocupación en el cumplimiento de la Ley.
Se introducen modificaciones en los circunstancias que permiten aplicar una sanción inferior en grado (art. 45.5): aquí hay importantes novedades, puesto que se introducen nuevos criterios que antes no se tenían en cuenta. Lo más significativo es el caso en el que el infractor haya “regularizado la situación irregular de forma diligente”. El problema es determinar cómo se puede regularizar la situación irregular, teniendo en cuenta que sólo se puede afirmar que existe tal situación irregular cuando la Agencia haya declarado la infracción (y en ese momento ya impone la sanción). Suponemos que tendrá el infractor que reconocer la infracción desde que se inicia la instrucción del procedimiento (el cual además es otro de los criterios recogidos en este artículo, con lo que en la práctica hay casi una duplicidad en este criterio de graduación), independientemente de que se haya producido o no realmente una infracción.
Se introduce la figura del apercibimiento para aquellos infractores leves o graves no reincidentes (art. 45.6): el apercibimiento tendrá carácter excepcional y se podrá aplicar cuando concurran “significativamente” los criterios del apartado anterior. Aquí la pretendida seguridad jurídica brilla por su ausencia, veremos qué entiende la Agencia por “excepcional” y “significativamente”.

La modificación entró en vigor el pasado 6 de marzo, pero hay que tener en cuenta que muchas de las modificaciones suponen situaciones más favorables para los infractores, con lo cual, en virtud del principio de retroactividad de la norma sancionadora más favorable, podrán beneficiarse de ella aquellos con procedimientos sancionadores en tramitación que traigan causa de hechos realizados con anterioridad a la publicación de la Ley.