Opinión personal de la Protección de Datos en España
1) La protección de datos adquiere cada vez una mayor importancia
¡No me extraña que las empresas estén dando importancia al tema de la protección de datos! Sólo hace falta mirar en las páginas de empleo para ver la demanda de especialistas en la materia (como ejemplo 1, 2, 3, 4, etc.). La realidad es que a los grandes despachos no les falta trabajo en los departamentos dedicados a la protección de datos. Lo que ocurre, en mi opinión, es que tras la lectura de Resoluciones dictadas por la AEPD en los últimos años, no sólo se hace necesario extremar las precauciones sino que, si el mencionado organismo inicia procedimiento sancionador contra una determinada empresa, ya puede el Dto. Legal echarse a temblar. Recordemos que nuestra actual normativa sobre protección de datos impone las sanciones más altas de toda la Unión Europea.
2) El Reglamento ha aumentado las dudas en el sector
Lejos de clarificar determinadas materias, el Reglamento de la LOPD que entrará en vigor el próximo 19 de abril, éste sábado, no ha hecho más que incrementar la inseguridad de los que nos dedicamos al asesoramiento en la materia y las empresas que lo tienen que cumplir. Seguramente, si acudís a la 1ª Sesión abierta que organiza la AEPD el próximo 22 de abril (yo asistiré) os encontraréis en el turno de preguntas una cantidad de dudas sorprendente.
3) La interpretación de la AEPD y su régimen sancionador
Todos sabemos que la AEPD se autofinancia únicamente con las multas que impone al ejercer la potestad sancionadora que tiene encomendada y que éstas pueden alcanzar los 600.000€. En el año 2006, según su informe anual, los ingresos ascendieron a la nada despreciable cuantía de 24.4 millones de euros.
Algo que nunca he llegado a comprender es que no se tome en consideración la facturación de las empresas infractoras a la hora de imponer las multas. A un particular se le puede sancionar con 30.001€ por intercambiar tarjetas en el SIMO (aunque después la Audiencia Nacional le haya quitado la razón a la AEPD) y a una multinacional se le impondría una multa con idéntica cuantía en el caso de actuar de forma similar.
Dicho esto, me gustaría tratar el tema del poco interés que parece poner la Agencia al redactar las Resoluciones, cuidando muy poco la técnica jurídica. Como ejemplo, la última Resolución que he leído y que analizaré en un post posterior sobre la sanción que ha recaído a las entidades Antevenio, S.A. y Bankinter, S.A (PDF de la Resolución R/00284/2008). A continuación dos “pequeños” matices tras una rápida lectura de la misma.
1. A pesar de intentar de ocultar la identidad del portal a través del cual se recaban los datos, haciendo alusión al mismo como “la página web …Y…“, el copy & paste le hace desvelar, en la página 16 de la Resolución, que se trata de www.trucoteca.com.
2. Sin embargo, hay un aspecto de esta Resolución en particular que me parece especialmente grave. En la página 33 de la mencionada Resolución se lee lo siguiente:
“En el presente supuesto, no cabe apreciar que Bankinter prestara la diligencia debida a fin de evitar el tratamiento de datos sin consentimiento del afectado. Cuando está en juego la protección de derechos fundamentales, como lo es el derecho a la protección de datos, no basta con plasmar en el contrato una serie de garantías sin realizar una mínima comprobación tendente a constatar que las mismas se cumplen”
Y cinco páginas más adelante, en la misma Resolución, la AEPD afirma que:
“En cuanto a Bankinter, es necesario considerar que dicha entidad desplegó la diligencia que estuvo a su alcance, al exigir en los contratos celebrados las garantías previstas en la LOPD, por lo que procede, de igual modo, aplicar lo dispuesto en el citado artículo 45.5 de la LOPD”.
¿A qué estamos jugando? O bien la AEPD aprecia que Bankinter no prestó la diligencia debida o, por el contrario, aprecia que sí la desplegó. En fin, esta contradicción demuestra poca diligencia por parte de la Agencia…
Abril 17th, 2008 at 17:26
Qué buen post! Como dice M.A si la AEPD inicia un procedimiento sancionador échate a templar..pero échate a temblar también antes de que el procedimiento sancionador se inicie…pues te hacen una inspección en el marco de las “actuaciones previas” a la iniciación del procedimiento (art. 12 Real Decreto 1398/1993) que tienen por objeto “determinar con carácter preliminar si concurren circunstancias que justifiquen tal iniciación” y sin embargo les sirven ya como propuesta resolución. ¿lo harán por economía procedimental?. En fin, no digo más que si no M.A me tendrá que llamar al orden como moderador..
Abril 17th, 2008 at 18:48
Miguel Ángel,
Una pena, pero no podré asistir a esa jornada de puertas abiertas.
He leído con algo de tiempo la resolución que comentas.
¿Has visto lo que dice el artículo 46 del Reglamento de la LOPD?
Dejando de lado esta norma que entra en vigor el próximo sábado (que creo que pone patas arriba todo el sector de las bases de datos de marketing), y no habiendo norma reglamentaria o “invitación” de la AEPD a entender este tipo de prácticas como parece entendía también Bankinter ¿crees que Bankinter era responsable del tratamiento y que por tanto se ha producido una cesión de datos, o que Bankinter no lo era quedando entonces totalmente al margen del tratamiento?¿Podía estar la solución en la definición de responsable del fichero o tratamiento dado que al decidir los perfiles del “target” de la campaña estaba decidiendo sobre la finalidad del tratamiento?
Suponiendo que Bankinter fuera responsable del fichero y que por tanto se estaba dando una cesión por mucho que Bankinter no accediera o tratara directamente el dato, ¿hasta qué punto no le era también imputable a Bankinter como cesionario la infracción muy grave del apartado b del artículo 44.4 LOPD?
Una interpretación literal nos puede dar la respuesta, pero puesta a aplicar la tesis incorporada al artículo 46 RLOPD, lo mismo también podía habérsele ocurrido a la AEPD haber considerado a Bankinter responsable de esta infracción muy grave por “no adoptar las medidas necesarias para asegurarse de que la entidad contratada había recabado los datos cumpliendo las exigencias establecidas en la LOPD con respecto a las cesiones”. ¿Sancionara en el futuro la AEPD el incumplimiento del artículo 46.3 LOPD como este tipo de infracción muy grave?
Interesante resolución.
Salu2
Abril 17th, 2008 at 20:39
Muy buen post Miguel Angel.
Ya he dicho en muchas ocasiones y en diferentes medios, que las sanciones de la AEPD no sólo son las mayores de Europa, sino que además, en términos comparativos, también son las mayores que existen con las reglamentaciones de otras materias, tanto administrativas como incluso penales.
Por lo demás, sin comentarios respecto al poco rigor jurídico de estos procedimientos.
Abril 18th, 2008 at 9:21
Muy interesante, y coincido contigo en que mirar las resoluciones de la Agencia, en gran número, permite detectar demasiados errores de este tipo.
Sobre el tema de las sanciones estoy de acuerdo con lo que dice Guillermo, y además hace que debamos cuestionarnos el principio de proporcionalidad de las penas, no sólo en el ámbito de la propia sanción sino en relación al bien jurídico protegido y su lesión, algo que en Protección de Datos es sangrante.
Un saludo.
Abril 23rd, 2008 at 11:22
La jornada de ayer, en el palacio de congresos de Madrid, resultó de lo más interesante… la verdad es que muchos de los profesionales que nos dedicamos a la protecion de datos nos vimos identificados en la multitud de preguntas formuladas por otros compañeros de especialidad, preguntas que yo mismo llevaba preparadas y que se vieron respondidas sin necesidad de formularlas. Sin duda, fue un acto de una enorme practicidad y una valiente apuesta de la AGPD por acercar y clarificar el nuevo RDLOPD a los que tenemos que aplicarlo. No quiera menospreciar la anterior direccion de la APGD, pues el profesor Piñar me parece un excelente profesional, pero sin duda el cambio de direccion con Artemi Rallo Lombarte a la cabeza, resulta excelente, en relacion a la forma de trabajar, y afrontar la tarea que a mi juicio debe tener la AGPD.
Espero que la 1ª Sesion anual abierta de la AGPD, no sea la última.
Un saludo.
Abril 24th, 2008 at 9:01
Estimado Miguel Angel, respecto a este comentario:Todos sabemos que la AEPD se autofinancia únicamente con las multas que impone al ejercer la potestad sancionadora que tiene encomendada y que éstas pueden alcanzar los 600.000 €.Creo que no únicamente se financia a través de dichas sanciones, si no que, como Organismo Autónomo adscrito al ministerio de Justicia tiene asignada una parte presupuestal de los presupuestos generales del Estado cada año.Un saludo
Abril 24th, 2008 at 9:23
Buenos días, Joser,
he podido comprobar que el art. 32 del Reglamento de la AEPD estipula, como muy bien comentas, que recibe una parte presupuestal de los PGE. Ya modifiqué la entrada.
Muchas gracias y un saludo,
Miguel A. Mata
Abril 29th, 2008 at 11:26
De nada, compañero.