TOP

LA AUDIENCIA NACIONAL APLICA RETROACTIVAMENTE EL APERCIBIMIENTO

La Audiencia Nacional aplica retroactivamente la nueva figura del apercibimiento prevista en el régimen sancionador de la LOPD Fuente: Alfonso Pacheco 12/9/2011

Como todos Uds. conocen, el pasado 7 de marzo entró en vigor la reforma del régimen sancionador de la LOPD, aprobado en la Disposición Final 56ª de la Ley 2/2011, de 4 de marzo, de Economía Sostenible.

En virtud de dicha reforma, entre otras cuestiones, el apartado 6º del artículo 45 de la LOPD quedó redactado de la siguiente forma:

Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.

b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.

La Agencia Española de Protección de Datos publicó en su web el mismo día 7 de marzo una nota de prensa con sus primeras reflexiones sobre la reforma, y se puso las pilas de forma inmediata, iniciando no solo la aplicación del precepto trascrito sino creando dentro de la sección “documentación” un apartado específico de resoluciones de apercibimiento, poniendo a disposición de los interesados las resoluciones en las que se fuera contemplado la aplicación de esta nueva figura, lo que sin duda es de agradecer por el sector profesional, puesto que de esta forma se difunde la casuística en la que la AEPD opta por aplicar esta figura.

Pues bien, no solo en vía administrativa se empieza a ver la aplicación del apercibimiento, sino que en el orden jurisdiccional ven la luz las primeras sentencias haciéndose eco de la figura, aplicando retroactivamente el nuevo 45.6. Así, la Audiencia Nacional, sección 1º de la Sala de lo Contencioso-Administrativo, el pasado 17 de junio de 2011 ha dictado sentencia en virtud de la que se sustituye por el apercibimiento las sanciones impuestas en fecha 28 de mayo de 2010 por la AEPD a un particular que, sin permiso de la comunidad de propietarios del edificio donde residía ni haber inscrito fichero, había instalado en el techo de su plaza de garaje, integrada en el comunitario, una cámara que captaba imágenes de su estacionamiento y de la zona contigua, grabándolas en el disco duro de un ordenador. En concreto los anteriores hechos fueron sancionados con 2.000.-€ por una infracción del artículo 6.1 LOPD tipificada como grave en el art. 44.3.d) del mismo texto legal, más 600,01.-€ por infracción del art. 26.1 LOPD, tipificada como infracción leve, art. 44.2.C)

Por su indudable interés reproducimos la parte de la sentencia (fundamento jurídico tercero) en la que se razona la aplicación retroactiva al supuesto enjuiciado del artículo 45.6, norma sancionadora más favorable:

…En el supuesto que nos ocupa debe también tomarse en consideración que mediante la Disposición Final Quincuagésima Sexta de la Ley 2/2011 por la que se han modificado diferentes preceptos de la Ley Orgánica 15/99 suponiendo, en algunos casos estableciendo unos criterios más favorables respecto de las sanciones que ahora nos ocupan.

Este Tribunal en diferentes sentencias, entre ellas SAN, Sección Primera, de 10 de marzo de 2011 (rec. 712/2009), de 17 de marzo de 2011 (rec. 48/2010), de 18 de marzo de 2011 (rec. 783/2009) y sentencia de 25 de marzo de 2011 (rec. 766/2009) y 11 de abril del 2011 (rec. 121/2010) ha señalado que resulta aplicable esta norma pues es necesario atender al principio de la eficacia retroactiva de las normas sancionadoras más favorables que deriva de lo que señala el artículo 128.2 de la Ley 30/92: Las disposiciones sancionadoras producirán efectos retroactivos en cuanto favorezcan al presunto infractor.

Además, el propio Tribunal Supremo (sentencia dictada en fecha 21 de septiembre de 1998 en el recurso 7071/1992) ha dicho que: “entiende la Sala que si bien ciertamente no pueden aplicarse de forma mimética al derecho administrativo sancionador los principios del derecho penal, y por otra parte en la fecha de autos el principio vigente era el de la irretroactividad de las disposiciones no favorables o restrictivas de derechos individuales consagrado por el artículo 9,3 de la Constitución y no el inverso de aplicación retroactiva de las normas favorables, este último principio venia afirmándose por la jurisprudencia del Tribunal Constitucional y de este

Tribunal Supremo hasta que fue expresamente positivado por el artículo 128,2 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Publicas y del Procedimiento Administrativo Común “.

La nueva regulación añade el apartado sexto el artículo 45 de dicha LOPD en el que se dispone que ” 6. Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.

b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad”.

La sanción de apercibimiento se trata, sin duda, de una sanción de menor gravedad que las multas impuestas y en el supuesto que nos ocupa, tal y como afirma en el escrito de alegaciones presentado por la Agencia de Protección de Datos en el trámite habilitado al efecto en este procedimiento, concurren los requisitos necesarios para aplicar esta previsión legal pues las infracciones aplicadas en este procedimiento son una leve y una grave, no consta la existencia de previa sanción alguna a la recurrente y al mismo tiempo concurren, de forma significativa, dos de las circunstancias previstas en el apartado 45.4 de dicha norma, cuales son la ausencia de beneficios obtenidos y la falta de intencionalidad en la conducta de la recurrente, circunstancias que ya fueron apreciadas, incluso, en la resolución administrativa impugnada.

A tenor de lo anterior, el Tribunal anula las sanciones impuestas y las sustituye por la de apercibimiento, si bien insta a la AEPD a adoptar nueva resolución en la que determine las medidas correctoras de la conducta del sancionado que estime necesarias y el plazo para adoptarlas.

Si alguien desea leer el texto completo de la sentencia, la puede encontrar la web del Consejo General del Poder Judicial, en el CENDOJ, referencia 28079230012011100320.

Nota: Si bien antes alababa la iniciativa de la AEPD de agrupar en su web las resoluciones en las que se aplica el apercibimiento, no puedo dejar de reprochar el que la sentencia comentada, disponible ya no solo en el Cendoj, sino en las principales bases de datos jurídicas que se comercializan, no aparezca relacionada entre las sentencias de la Audiencia Nacional que se pueden consultar desde la web de la AEPD. Claro que la más moderna que aparece es de… 2008.

Autor: Alfonso Pacheco  http://www.privacidadpractica.com/2011/09/12/la-audiencia-nacional-aplica-retroactivamente-la-nueva-figura-del-apercibimiento-prevista-en-el-rgimen-sancionador-de-la-lopd/ 

¿PUEDEN PERSEGUIRSE VIA LOPD LAS FILTRACIONES JUDICIALES?

¿Pueden perseguirse vía LOPD las filtraciones judiciales que aparecen en los medios de comunicación? Fuente: Alfonso Pacheco 12/12/2011

A lo mejor resulta simplemente,  como muy a menudo me dicen mis socios (y además amigos) de aventura bloguera, que se me ha ido la pinza y estoy planteando una tontería, pero no puedo dejar de preguntarme lo que constituye el título de este post: ¿Y si vía LOPD pudiera sancionarse la publicación por un medio de prensa de una información surgida de unas diligencias penales declaradas secretas vía artículo 302 de la Ley de Enjuiciamiento Criminal? Intento explicarme.

De acuerdo con el artículo 24.2 de la Constitución, todos tenemos derecho a un proceso público sin dilaciones indebidas (conste que lo de dilaciones indebidas no me lo he inventado yo, sino que el cachondo es el legislador, que era un buenazo o nunca había pisado un juzgado) y el apartado 1º del artículo 120 de la Carta Magna determina que las actuaciones judiciales serán públicas. Pero esto no significa que el procedimiento penal deba “retransmitirse en en vivo y en directo” desde el inicio de la fase de instrucción hasta que se dicte sentencia. El carácter público del proceso penal hace referencia exclusivamente al proceso, en sentido estricto, esto es, al acto de  juicio oral en el que se lleva a cabo  la práctica de las  pruebas  admitidas, y se plantean las definitivas conclusiones de  acusación y  defensa, tras lo que se dictará sentencia, que se pronunciará ésta en audiencia pública.

¿Y qué pasa en la fase de instrucción? Pues que las partes personadas podrán tomar conocimiento de las actuaciones e intervenir en todas las diligencias del procedimiento, pero éste es secreto para todos los demás mortales hasta que se abra el juicio oral . Esto es lo que la doctrina y jurisprudencia han denominado como “secreto natural” del sumario.

Pero frente a este secreto natural, si se está investigando la comisión de un delito público (el que es perseguible de oficio, mediante la acusación del Ministerio Fiscal, con independencia de la voluntad de los perjudicados. Es decir, casi todos) puede darse lo que se conoce como “secreto especial” del sumario: podrá el Juez de Instrucción a propuesta del Ministerio Fiscal, de cualquiera de las partes personadas o de oficio, declararlo, mediante auto, total o parcialmente secreto para todas las partes personadas, por tiempo no superior a un mes y debiendo alzarse necesariamente el secreto con diez días de antelación a la conclusión del sumario.

Es decir, que en el caso del secreto especial, además de para el resto del mundo, las actuaciones devienen secretas incluso para las partes. ¿Motivo? Lo expresa muy bien Juan Carlos Orenes Ruiz en un artículo publicado el 25 de junio de 2009 en el Diario de Navarra:

A pesar de los problemas que genera su aplicación, el secreto sumarial no deja de ser un útil instrumento para la consecución de determinados fines. Así, el más evidente, es que garantiza el éxito de determinadas investigaciones que podrían quedar frustradas con una temprana publicidad. Durante la práctica de las primeras diligencias de investigación, y a la espera de que su resultado desvele si existen o no indicios racionales de criminalidad contra una determinada persona, el secreto es un medio eficaz para proteger el honor y la presunción de inocencia.

Y entonces, declarado ese secreto del sumario por auto motivado del Juez instructor, quien tiene conocimiento de las actuaciones que se lleven a cabo en el procedimiento? Pues el propio Juez Instructor, los funcionarios del Juzgado, el Ministerio Fiscal y los Cuerpos y Fuerzas de Seguridad que estén cooperando en la investigación y aquellas otras personas determinadas por el instructor. Y fuera de ellos, nadie más tiene que saber nada de lo que se está instruyendo.

Pues bien, a pesar de ello, son muchos los procedimientos penales cuyo día a día, pese a esa declaración de secreto, está fielmente reflejado con pelos y señales en los medios de comunicación. Y no me refiero a meras conjeturas o conclusiones a las que llega el periodista tras un trabajo de investigación o declaraciones de alguien que no es parte pero sabe o conoce, sino que todos hemos visto reproducidas en las páginas de un periódico o “colgadas” en las webs de las ediciones digitales de diversos medios de comunicación copias íntegras de distintas diligencias judiciales o documentos obrantes en los sumarios.

Estas filtraciones, señores, constituyen un delito, tipificado en el artículo 466 del vigente Código Penal. Lo que ocurre en la realidad es que, estando claro en muchos casos de dónde ha salido la información, lo que no se puede determinar es quien en concreto es el autor de la infracción, porque él, obviamente, no lo va a decir, y su interlocutor, el periodista, alegará su derecho al secreto profesional recogido en el artículo 20.1.d) de la Constitución. ¿Resultado? Que desde la óptica del derecho penal la infracción suele quedar impune y la filtración ha tenido su difusión pública, que es lo que se pretende por motivos de lo más variopinto y que a todos se nos ocurren.

¿Entonces, no se puede hacer nada, no sólo contra el que delinque, sino contra el medio de comunicación que publica la información o documentación? Pues es aquí donde creo que a lo mejor es de aplicación la normativa en materia de protección de datos de carácter personal. ¿Y por qué lo digo? A lo mejor es un razonamiento simplista o tonto, pero ahí va:

1º.- Que duda cabe que en la información o documentación sometida a secreto de sumario art. 302 LECrim y que se filtra se contienen datos de carácter personal a troche y moche. Recordemos aquí que se considera dato de carácter personal ”cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables” (art. 5.1 f RDLOPD).

2º.- La publicación de esa información/documentación, conteniendo datos de carácter personal, es un tratamiento de datos de carácter personal, de acuerdo con la amplia definición que de “tratamiento” se recoge tanto en el artículo 3 de la LOPD como en el 5 del RDLOPD. Vamos, es una cuestión que está fuera de toda discusión, al igual que estaríamos ante un supuesto de cesión colectiva de esos datos a todo el público objetivo de esa publicación.

3º.- Esa información o documentación tiene origen en una actuación delictiva, en un acto ilícito, en la conculcación del secreto de sumario establecida vía artículo 302 LECrim a través de un auto judicial, tipificada como delito en el artículo 466 del Código Penal, cometido por la persona que lo filtra o pone en conocimiento del periodista

4º.- El punto 7º del artículo 4 de la LOPD prohíbe “ la recogida de datos por medios fraudulentos, desleales o ilícitos”.

5º.- En la letra c) del apartado 3º del artículo 44 de la LOPD se tipifica como infracción grave “ Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el art. 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave”.

Con este razonamiento no estoy poniendo en solfa el derecho a recibir y a comunicar información veraz ni la publicidad de las actuaciones judiciales, ni niego la existencia de un protocolo de comunicación de la Justicia, aprobado para los Gabinetes de Comunicación de los TSJ por la Comisión de Comunicación del Consejo General del Poder Judicial el 30 de junio de 2004 con el visto bueno del Pleno del CGPJ del día 7 de julio del mismo año, en el que se regula aquello que puede ser objeto de comunicación a los medios de prensa por parte de la Administración de Justicia en relación con la instrucción de los procedimientos . Todo eso me parece muy bien. Ni tampoco discuto que la información que se ofrezca a resultas de la filtración sea veraz, que posiblemente lo será (ya me dirán como puedo dudar de la veracidad de la propia acta de una declaración de un imputado o testigo que se cuelga por arte de magia en la web de un periódico sin molestarse en ocultar ni siquiera los datos del NIF, fecha de nacimiento, nombre de los padres o domicilio particular, lo que ya de per se es perseguible vía LOPD) y su más que evidente interés para el público.

Lo que yo planteo es, ya que penalmente esto siempre queda en agua de borrajas, cómo puede ponerse fin a la práctica ilícita que supone la filtración de información y/o documentación obrante en un sumario sujeto al secreto especial del artículo 302 LECrim, pero sobre todo cómo poner fin a que los medios de comunicación puedan sacar provecho de una actuación ilícita, que es algo perseguido en todo el ordenamiento jurídico español. En mi opinión, el artículo 20 de la Constitución legitima el derecho a comunicar información veraz, pero siempre que ésta haya sido conseguida rectamente. Y de la conseguida a través de una filtración no me parece a mi que podamos predicar precisamente eso.

Autor: Alfonso Pacheco  http://www.privacidadpractica.com/?p=815 

SE FILTRA LA NUEVA DIRECTIVA EUROPEA DE PROTECCIÓN DE DATOS

Las autoridades de los estados miembros sobre la protección de datos impondrían multas que podrían alcanzar un máximo del 5% de la facturación anual. Fuente: Inteco 8/12/2011

Durante los meses de julio y agosto dos noticias mostraban el poder de la denominada Patriot Act y su influencia sobre los datos de los europeos. Microsoft y Google indicaban al mundo como la ley que se había construido tras el 11-S permitía que los datos de cualquier ciudadano europeo registrados en compañías con sede en el país podrían ser enviadas al gobierno sin nuestro consentimiento ni aviso. Bien, Europa está dispuesta a frenar el poder de la Patriot Act con un proyecto de Ley que se ha filtrado hace unas horas y será anunciado en enero. La nueva directiva de Protección de Datos incluirá todo tipo de medidas contra la obtención de datos secretos en Europa.

Y es que tras más de dos años de investigar el alcance y la amplitud de la Patriot Act, de entre cuyas peculiaridades el gobierno de Estados Unidos puede obtener el acceso a los datos europeos, el nuevo proyecto de ley incluirá medidas para contrarrestar la forma de aplicación de ley norteamericana y su posibilidad de adquirir de manera secreta los datos de los europeos.

Hasta ahora, la esta ley chocaba frontalmente sobre la protección de datos de la UE. Aún así, las organizaciones norteamericanas estarían obligadas a revelar aquello que pidiera el gobierno. The USA Patriot Act no sólo permite este acceso, sino que da cumplimiento de ley a impedir que las empresas revelen a los usuarios la entrega de los datos, una controvertida regulación que se estableció como herramienta para la lucha contra el terrorismo (ahora ciberterrorismo).

En el mes de julio fue Gordon Frazer, director general de Microsoft en el Reino Unido, el que lanzaba la noticia donde explicaba que ninguna empresa podía garantizar los datos europeos si la Ley Patriota se utilizaba sobre una compañía norteamericana. Este hecho sumado a la posterior noticia de Google como compañía que podría haber enviado información bajo mandato de la ley, supuso que el Parlamento europeo comenzará los borradores de la nueva legislación sobre protección de datos. Una legislación que Zdnet muestra en primicia e indica como modificará y reemplazará a las actuales leyes dándose a conocer en enero del 2012.

Serán dos proyectos de instrumento legal elaborados por la Comisión Europea. Antes de que se aprueben, podrán ser comentados y modificados en un proceso legislativo de la UE que puede llevar meses a un máximo de dos o tres años para que se convierta en ley.

Estos dos proyectos de regulación serían aplicables a los 27 estados miembros y significan la primera gran respuesta a la ley que se aplica en Estados Unidos, un campo de duras medidas contra cualquier empresa que trabaje en Europa y tenga sede en Estados Unidos (o cualquier otro país fuera de Europa) enfrentándose a duras repercusiones financieras si rompen la nueva legislación. De entre las propuestas se destaca:

§  Habrá total armonización entre todas las leyes de protección de datos en el futuro.

§  La regulación obligará a las empresas con operaciones en los estados miembros a la jurisdicción del sistema legal de los estados incluyendo sus leyes de protección de datos.

§  Empresas como Microsoft o Google, procesadoras de datos, que almacenan y gestionan datos a través de sus servicios en la nube, estarán bajo las mismas obligaciones que el resto de empresas.

§  Las compañías fuera de Europa (como Estados Unidos) seguirán estando sujetas a la legislación europea si tienen oficinas con sede en Europa o clientes europeos.

§  Se requerirá consentimiento expreso de los titulares ante cualquier tratamiento de datos de marketing.

§  El conocido como “derecho al olvido” será sancionado en Bruselas, una medida que permitirá a los usuarios eliminar sus datos privados de las empresas.

§  Si una empresa sufre una pérdida de datos o violación de los mismos, tanto la autoridad de protección de datos como los individuos deberán ser informados en 24 horas desde el descubrimiento.

§  Todas las empresas públicas o de más de 250 empleados deberán tener agentes de protección de datos internos.

Todos y cada uno de los epígrafes significan la respuesta de Europa por proporcionar a los ciudadanos europeos un nivel exigente de control de los datos. A la vez significa para Estados Unidos que invocar la Patriot Act en territorio europeo sería ilegal y por lo tanto empresas como Microsoft y Google o cualquier otra compañía con servicios almacenados en la nube chocarían con la nueva legislación.

Por otra parte aparecen las sanciones. Si alguna de estas reglas se rompiera, las autoridades de los estados miembros sobre la protección de datos impondrían multas que podrían alcanzar un máximo del 5% de la facturación anual en el mundo de la compañía en cuestión.

LA UE QUIERE MAYORES COMPETENCIAS PARA LAS AUTORIDADES DE PROTECCIÓN DE DATOS

La Comisaria europea de Justicia y Derechos Ciudadanos, Viviane Reding, ha destacado la necesidad de que las autoridades que defienden y controlan la protección de datos tengan más poder. Fuente: INTECO 29/11/2011
La Comisaria europea de Justicia y Derechos Ciudadanos, Viviane Reding, ha destacado la necesidad de que las autoridades que defienden y controlan la protección de datos tengan más poder. La Unión Europea quiere reforzar la capacidad de acción de las autoridades de protección de datos del continente.
El objetivo es que haya un marco común sobre la capacidad de acción de estas autoridades y que dispongan de una serie de reglas generales para velar por la correcta protección de los datos de los usuarios. La postura de la Unión Europea llega después de una investigación sobre prácticas de Facebook en relación a la utilización de los datos de los usuarios para fines comerciales relacionados con la publicidad. La Unión Europea quiere que haya unas reglas básicas que regulen este tipo de prácticas y que las distintas autoridades de protección de datos puedan ejercer mayor control y denuncia sobre prácticas que no respeten la ley.
La Comisaria europea de Justicia y Derechos Ciudadanos Viviane Reding ha expresado la postura de la Unión Europea en este sentido. “Las autoridades encargadas de la protección de datos deben contar con poderes suficientes para hacer cumplir la ley y deben tener los recursos necesarios para ejercer sus facultades. Necesitamos seguridad jurídica e igualdad de condiciones para todas las empresas que están manejando datos personales de nuestros ciudadanos”, ha asegurado Reding en declaraciones recogidas por Bloomberg. El gran problema en Europa en la actualidad a nivel de protección de datos es que cada país tiene una legislación diferente, lo que hace que las empresas tengan que hacer frente a distintas regulaciones. En algunos casos, migran sus sistemas para responder a las leyes que más les convienen y por contra deben hacer frente a fuertes inversiones para dar respuesta a las exigencias legales de varios países. Esta última desventaja afecta a la competitividad de Europa y a la privacidad de los datos de los ciudadanos y es por ello que Viviane Reding ha confirmado la necesidad de un marco común. Desde el año pasado hay propuestas para reformar estos aspectos y se espera que en los próximos meses aparezcan nuevas sugerencias sobre una posible solución. Entre estas novedades, se espera aprobar una norma que obligue a las compañías a informar sobre la utilización ilegal de los datos de los usuarios, afín de que estos estén informados y puedan tomar las medidas necesarias de prevención y denuncia.

DETECTADAS 53 CONSULTORAS DE LOPD QUE EJERCEN MALAS PRACTICAS

La Asociación Profesional Española de Privacidad (APEP) denuncia las malas practicas de 53 empresas de consultoría y auditoría de LOPD. Fuente: Expansión 25/11/2011
Los expertos del sector detectan 53 firmas de consultoría que amedrentan a las pymes con las elevadas multas que impone la AEPD y ejercen mañas prácticas.  Incluso se ha detectado desviación de fondos de formación.  El Presidente de la Asociación Profesional Española de Privacidad cree que es "indispensable un Código Ético en este campo".