La efectividad de las resoluciones de la AEPD en las Administraciones Públicas
De sobra es por todos conocidos la dureza de las sanciones de la Agencia Española de Protección de Datos.
Por ejemplo, que un particular publique datos personales en Internet sin el consentimiento correspondiente, puede suponer una multa de 300.000 euros tranquilamente.
Estas multas pretenden tener un carácter educador – educación que recibirá el infractor en su bolsillo – y con toda seguridad tendrá más cuidado en el futuro, además de abstenerse en su conducta ilícita.
Ahora bien, no es lo mismo que quien incurra en infracción sea un particular o una empresa, que una Administración Pública; mientras que los primeros tendrán una buena educación pecuniaria, los segundos, esto es, por ejemplo, Ayuntamientos, Cuerpos y Fuerzas de Seguridad del Estado, Ministerios, etc, tendrán una educación diferente.
Y es que, a la Administraciones Pública no se les sanciona con una multa económica como al resto, sino una mera declaración de infracción. ¿Qué significa esto de declaración de infracción?; pues significa que si quien publica datos en Internet es una Administración Pública, no será sancionada con 300.000 euros de multa, sino que simplemente se dejará constancia por escrito de que se ha incurrido en una infracción muy grave de la Ley Orgánica de Protección de Datos, y ya está.
Esto siempre me ha llevado a pensar si realmente la Administración se va a tomar en serio alguna vez lo de la protección de datos; yo creía que no, pero hasta ahora no había encontrado ninguna prueba clara al respecto.
Hoy vamos a demostrar como el sistema actual para persuadir a las Administraciones que cumplan con la protección de datos no es el adecuado (porque no nos engañemos, el 99% de las empresas que se molestan en adecuarse a la ley lo hacen para que no terminen sancionándoles).
En enero de 2006 D. X.X.X. presentó un escrito ante la Agencia Española de Protección de Datos en el que denunciaba que el Instituto Aragonés de Empleo (en lo sucesivo INAEM) utilizaba un fichero de datos personales respecto a ofertas de empleo, desconociendo cuál era el órgano administrativo responsable y su ubicación, y, que, al parecer, no se encontraba inscrito en el Registro General de Protección de Datos.
Tras la recepción de la denuncia, la Subdirección General de Inspección inició las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, durante las cuales se tuvo conocimiento, de acuerdo con la información del INAEM, de que la finalidad del fichero utilizado en el marco de la oferta denominada Expoagua Zaragoza 2008 era exclusivamente interna, para la gestión de todas las solicitudes de personas interesadas en participar en los distintos procesos de selección generados con esta ocasión. En estos procesos era necesaria la utilización de una base de datos con el fin de generar un fichero que contuviera los datos de carácter personal necesarios para realizar las correspondientes comunicaciones.
Se comprueba que efectivamente no hay ningún fichero inscrito en el Registro General de la AEPD para estas finalidades ni tampoco del responsable del fichero correspondiente.
4 meses después, y antes de que se resuelva el expediente, el INAEM comunica que se ha publicado en el Boletín Oficial de Aragón, el Decreto correspondiente por el que se crea el fichero de datos de carácter personal denominado “Procesos de Selección Técnica de Personal“.
Naturalmente ya es demasiado tarde, porque la Ley exige que el fichero se declare ANTES de que se inicie la recogida de los datos; por lo tanto, está acreditado que el Instituto Aragonés de Empleo creó un fichero de titularidad pública y procedió a iniciar la recogida de datos de carácter personal con anterioridad a la publicación de la correspondiente disposición en el Boletín Oficial de Aragón, conducta que supone la vulneración del articulo 20 de la LOPD.
Finalmente, la Resolución termina en afirmar que el Instituto Aragonés de Empleo ha incurrido en la infracción grave descrita en el artículo 44.3.a por los hechos que hemos comentado.
Y aquí es cuando viene lo interesante; en este punto, el Director de la AEPD es cuando debería indicar la cuantía de la multa, que en caso de ser infracción grave serían 60.000 euros como mínimo. PERO, como nos encontramos ante una Administración ¿qué pasa?, pues que:
PRIMERO: DECLARAR que el INSTITUTO ARAGONÉS DE EMPLEO ha incumplido lo dispuesto en el artículo 20.1 de la LOPD, lo que supone una infracción tipificada como grave en el artículo 44.3.a) de la citada Ley Orgánica.
SEGUNDO: REQUERIR al INSTITUTO ARAGONÉS DE EMPLEO, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 20 de la LOPD.
Ya está, no hay euros de por medio.
Pero no terminemos aquí; sigamos la pista a este procedimiento y al Instituto Aragonés de Empleo.
La Resolución se firmó el 26 de octubre de 2007, y como comentamos, el Instituto procedió a publicar en el Boletín Oficial de Aragón la creación de un fichero denominado «Procesos de Selección Técnica de Personal“ en mayo de 2006; recordemos que esto lo llevó a cabo MIENTRAS se estaba tramitando el expediente sancionador (vamos, tan pronto tuvieron conocimiento de la denuncia se pusieron a hacer los deberes). Sin embargo, para declarar e inscribir correctamente un fichero de titularidad pública, hay que hacer 2 cosas: primero, publicar en el Boletín Oficial correspondiente la disposición general de creación del fichero, y segundo, notificar esta información, formalmente, a la AEPD para que procedan a inscribir en el Registro General ese fichero. Son dos obligaciones distintas.
La primera la cumplió el Instituto durante la tramitación del procedimiento, pero una vez finalizado ¿habrá completado el trámite? Pues no, del fichero «Procesos de Selección Técnica de Personal» no se sabe nada en la AEPD; de hecho es que no hay ningún fichero declarado cuyo responsable sea el Instituto Aragonés de Empleo.
De forma que el Instituto está incurriendo actualmente en una infracción de la LOPD porque el fichero sigue sin estar declarado en la Agencia. ¿Por qué sigue en una situación irregular?; seguramente porque una vez finalizado el procedimiento y viendo que «aquí no pasa nada» se habrán olvidado por completo del tema.
Cabe preguntarse, ¿si le hubieran impuesto una multa de 60.000 euros habrían concluido todo el proceso legal para no exponerse a otra multa?
Comments
jc
Hola Samuel
La verdad es que no puedo estar totalmente de acuerdo contigo.
Por un lado, debo decirte que estoy en un proyecto LOPD en una administración pública con presencia nacional de cuyo nombre no quiero acordarme… Somos casi 10 personas en el proyecto (entre el cliente, los que estamos en sus oficinas y los que están en remoto)… y eso sin contar a responsables de seguridad y coordinadores en cada provincia.
Hace poco se confirmó una sanción, en mi opinión injusta, que estuvieron reclamando durante 3 años y cundió el pánico. Se han hecho reuniones y se ha trabajado mucho para que eso no vuelva a pasar. Aunque lo cierto es que una empresa pública de este tamaño, con cantidad de ficheros y tratamientos distribuidos en cada centro… es imposible de controlar porque al trabajador medio, la protección de datos (incluso la de sus propios datos) se la sopla.
Y sobre las sanciones económicas… con una dotación anual que sale de fondos públicos… no creo que al conjunto de los españoles nos convenga que se sancione con 300 o 600.000 euros.
De todas formas, me parece mejor reconvertir tus cuestiones… ¿Es legítimo que las sanciones en materia de protección de datos sean tan altas? Hay materias en las que una muerte, una amputación, o un serio daño para la integridad física o mental no acarrea ni siquiera una sanción tan alta.
Peor aún.. es legítimo que las sanciones que pone la AEPD sirvan para autofinanciarse?? Eso de ser juez y parte (o mejor dicho.. beneficiario)… no debería estar bien visto.
Qué pasaría si los jueces de lo penal fuesen beneficiarios de las sanciones que imponen? Es una locura.
Esta matería debería funcionar a través de un sistema de amonestaciones con sanción económica en caso de reincidencia. No deberíamos tolerar que estemos vendidos ante el criterio (no siempre conocido) de un inspector.
¿Qué me dices de las sanciones a antevenio-(¿bankinter?¿banesto?)… o la del «share this»..? Son cosas que no deberían pasar.
David
Hola:
Coincido contigo, no tiene sentido.
Puede que en el caso de administraciones públicas no deban darse sanciones, por aquello de la inembargabilidad de los bienes y que sale de una administración para ir a otra.
Pero una indemnización para el ciudadano cuyo derecho a la intimidad es lesionado, no estaría mal.
Luego que se aplique la 30/1992 y el funcionario responsable a indemnizar a la administración. Verás que rápido iban a tomarse en serio la protección de datos.
Eso si, los importes son exagerados.
Un saludo.
Manuel C.L.- Las Palmas
Samuel , has dado en la clave , si le exigieran al trabajador(funcionario,laboral,asesor..etc) de la administracion la responsabilidad , otro gallo cantaria y queda otro punto pendiente , ¿Que hace el Defensor del Pueblo? ¿No es notificado al igual que las partes?.Y otra cosa , los importes NO SON EXAGERADOS , si fueran de 6.000€ la maxima , ¿Esperariamos alguna vez que las grandes empresas se lo tomaran en serio?…lo incluirian en gastos como las multas de trafico , y no nos olvidemos QUE ES UN DERECHO FUNDAMENTAL , o a cambio ¿proponemos carcel en vez de dinero ? Es una cuestion de sensibilizacion de las partes: Entidad-Empresa-Afectado-Ciudadano.El ultimo slogan de la Agencia lo dice claro:»Proteje tus datos -Respeta sus datos» Detras de una decision de la administraccion y de una empresa , siempre existe una persona , que es un afectado tambien. El camino es exigirle mucho y mas a la AEPD para que todo,todo , lo resuelva , que una consulta sea resuelta de inmediato y con caracter vinculante.Mostrarse publicamente ante la Administraccion y la Ciudadania sin vergüenza , y claro , con medios para poder atender a todos , afectados y responsables.
Samuel
Hola JC.
En efecto existen algunas Administraciones y algunas empresas que ven esto de otra manera (por eso indiqué 99%), algo así como un valor añadido a los servicios que presten, pero no es lo normal.
No estoy de acuerdo con lo de la autofinanciación de la AEPD… la AEPD recibe una dotación presupuestaria todos los años en los Presupuestos Generales del Estado, y el dinero de las multas, tengo entendido, va a parar a una cuenta corriente de la cual no puede disponer la AEPD.
Sobre lo de Antevenio y Share This… debo ser de los pocos raritos que ven esas Resoluciones completamente normales, sobre todo la del Share This…
Respecto a lo que comentas que hay materías en las que una muerte o una amputación «se pagan» más baratas, totalmente de acuerdo, de hecho escribí sobre eso aquí (sobre una amputación): http://www.samuelparra.com/2008/01/11/proteccion-de-datos-comparativa-de-sanciones/
Hola David !!. Lógicamente entiendo que una multa directa a la Administración infractora no encajaría bien, la idea era dar una visión, bajo mi punto de vista, que las Resoluciones de la AEPD no son tomadas muy en cuenta por las Administraciones precisamente porque no se ha articulado ningún mecanismo que le de significado a la palabra «sanción» o «infracción» en las AA.PP.
Saludos Manuel: has dicho algo muy importante, no hay que olvidar que esto es un Derecho Fundamental, y precisamente las Administraciones deberían ser las primeras y velar por él. La AEPD yo creo que hace lo que puede… teniendo en cuenta que su ámbito territorial es todo el Estado y que no andan muy sobrados de personal…
jc
Hola otra vez
A lo mejor me equivoco pero me parece recordar haber oido en alguna charla/conferencia que una de las medidas para garantizar la independencia política de la AEPD era la autonomía económica, y que entre sus fuentes de financiación estaban las sanciones.
Lo cierto es que me gustaría saber realmente a dónde va a parar ese dinero. En los Estatutos no pone nada de forma expresa… También he mirado la 30/1992 por si acaso.. y tampoco veo nada al respecto.
Si alguien sabe con certeza algo sobre este asunto y dónde está escrito, sería interesante saberlo.
¿De verdad compartes la opinión de la agencia en el caso antevenio y el share this? Creo que, como mínimo, la intencionalidad debería tener mucho más peso a la hora de regular la sanción. El sistema que tenemos actualmente, me resulta realmente perverso. Los accidentes ocurren por definición. Tendremos que acabar recomendando a los clientes que contraten pólizas de seguros que les cubran en caso de «accidente lopd».
Samuel Parra
Hola JC. En la Memoria de 2007 no aparece, pero si miras la Memoria de 2006 verás donde se va la dotación presupuestaria.
Para el ejercicio de 2006 se dotó a la AEPD con 9,45 millones de euros (puedes verlo en el libro rojo de los Presupuestos Generales del Estado para el ejercicio de 2006), en la Memoria te aparece un desglose (somero) de dónde se invierten esos 9,45 millones.
Ahora bien, qué se hace exactamente con el dinero de las sanciones no lo sé… se lo quedará la Administración, pero en qué lo invertirá no lo sé.
Sobre lo de los casos que comentas… la intencionalidad en un derecho fundamental como este, donde tan sólo el 9% de las empresas han procedido a inscribir sus ficheros en la AEPD… la intencionalidad a mi juicio no debería servir en muchos casos ni para atenuar la sanción.
Un último apunte: a pesar de que el número de procedimientos sancionadores ha crecido respecto al año 2006 un 32,5%, en 2007 la Agencia recaudó menos dinero (un 19,44 %)…. lo mismo hasta escrito un mini post sobre esto…
Yo nunca he visto ánimo recaudatorio por parte de la AEPD… seguramente porque no podrá disponer de ese dinero (digo yo).
santi sayas
Yo estuve el dia 22 de Abril en Madrid en las jornadas que organizó la agencia como presentación del nuevo reglamento, y una persona preguntó al director sobre este tema.
La respuesta fue que ese dinero iba a parar a la agencia y que se autofinanciaba con las sanciones.
No obstante tampoco observo en la AEPD un excesivo afán recaudatorio. Dentro de los limites para cada tipo de infranción casi siempre ponen la sanción mas baja.
Samuel Parra
Yo también estuve ese día en las jornadas… pero quizá lo estaba en un universo paralelo, porque yo escuché que la AEPD se financia por la dotación presupuestaria en los Presupuestos Generales del Estado (compruebalo tú mismo), y que el dinero recaudado con las multas iba a una cuenta corriente titular de la AEPD pero que no puede disponer de ella.
Esto concuerda plenamente si lees las Memorias: los gastos se ajustan a la dotación presupuestaria.
santi sayas
probablemente estuviera yo en el universo paralelo, y me quedé con que el dinero iba a una cuenta de la AEPD y yo di por hecho que era para autofinanciarse.
Henry
La AEPD se financia por las asignaciones en los presupuestos, y los funcionarios, incluidos los que trabajan en la Subdirección General de Inspección, no reciben ninguna asignación distinta del resto de los funcionarios del Estado. Sin embargo el dinero que se recauda engrosa una cuenta que forma parte del patrimonio de la Agencia que, en condiciones excepcionales y previa autorización del Ministerio de Hacienda, puede ser usada para sufragar los gastos de la propia Agencia.
Por otro lado estoy de acuerdo con vosotros en que las multas que se imponen pueden llegar a cuantias muy alta, pero el verdadero problema es la falta de proporcionalidad: las multas no tienen en cuenta el nivel de renta o la situación de la empresa a la que se imponen. Una opción mas lógica es la que se aplica en los países nórdicos, en los que las multas dependen de la situación económica de los sancionados.
jc
Lo siento, Samuel, pero no puedo estar de acuerdo contigo con el tema de la intencionalidad.
Los derechos fundamentales se respetan con el simple hecho de no hacer nada. Si no mato a alguien, si no menoscabo su integridad física o moral.. si no le privo de su libertad… o si simplemente no vulnero su intimidad, estoy respetando sus derechos.
Pero si un tercero desconocido o incluso el propio interesado (aunque con 10 años), me da sus datos, y esto desencadena un proceso automático, cómo puedo ser responsable?
En mi opinión, con estas sanciones, la Agencia no buscaba proteger un derecho fundamental. Los accidentes, raramente tienden a repetirse. Y no creo que se pueda considerar «víctima» a alguien que ha recibido una comunicación comercial no deseada.
Samuel Parra
Saludos jc.
Te entiendo perfectamente, pero en esta esfera lo cierto es que la simple inobservancia no sólo conlleva el no respetar el derecho fundamental a la protección de datos sino además incurres en responsabilidad con total seguridad.
La Constitución habla de que «la Ley limitará el uso de la informática…», y esa Ley es la LOPD. Esta LOPD establece unas medidas enfocadas a preservar ese 18.4 CE, y esas medidas son en su mayorÃa de acción/actividad y no de pasividad.
Si un interesado te facilita sus datos personales puede ser bajo dos circunstancias:
1º: Porque estás recabando datos y te los ha facilitado en ese contexto, entonces deberás estar a lo dispuesto en las leyes correspondientes, como la LOPD, y respetar sus directrices.
2º: No estás recabando datos pero «te llegan»; entonces deberás abstenerte de hacer cualquier uso de ellos, y si no lo haces, entonces estate a lo dispuesto en la LOPD.
Nos guste o no es lo que hay… te puedo poner un montón de ejemplos al respecto.
Sentencia de la Audiencia Nacional dictada el 21/09/2005, Recurso 937/2003, que establece, âAdemás, en cuanto a la aplicación del principio de culpabilidad resulta que (siguiendo el criterio de esta Sala en otras Sentencias como la de fecha 21 de enero de 2004 dictada en el recurso 1139/2001) que la comisión de la infracción prevista en el artÃculo 44.3.d) puede ser tanto dolosa como culposa. Y en este sentido, si el error es muestra de una falta de diligencia, el tipo es aplicable, pues aunque en materia sancionadora rige el principio de culpabilidad, como se infiere de la simple lectura del Art. 130 de la Ley 30/1992, lo cierto es que la expresión âsimple inobservanciaâ? del Art. 130.1 de la Ley 30/1992, permite la imposición de la sanción, sin duda en supuestos doloso, y asimismo en supuestos culposos, bastando la inobservancia del deber de cuidadoâ?
Sentencia dictada el 19/10/2005, Recurso 925/2003, señala âEsa falta de diligencia configura el elemento culpabilÃstico de la infracción administrativa y resulta imputable a la recurrente, obviamente no precisa la concurrencia de dolo.â?
El Tribunal Supremo (Sentencias de 16 y 22/04/1991) considera que del elemento culpabilista se desprende â… que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable.â?
Por su parte, la Audiencia Nacional, en Sentencia de 29/06/2001, en materia de protección de datos de carácter personal, ha declarado que â… basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia…â?.
Por otra parte, la Audiencia Nacional en su Sentencia de 29/03/2006, Recurso 440/2004, señala ââ¦la ausencia de intencionalidad resulta también secundaria ya que éste tipo de infracciones normalmente se cometen por una actuación culposa o negligente, lo que es suficiente para integrar el elemento subjetivo de la culpaâ?.
En definitiva, cuando uno establece un mecanismo para lo que sea (en este caso hablando de datos personales) deberá tener en cuenta si ese mecanismo puede vulnerar o no algún derecho, fundamental o no fundamental.
jc
Excelentes precisiones, Samuel.
En cualquier caso, el «ser» del derecho no es lo que yo discutía, sino el «deber ser».
En protección de datos, rara vez la cuantía de la sanción es proporcional al perjuicio causado… y más aún, teniendo en cuenta que casi cualquier incumplimiento se puede considerar, como mínimo, infracción grave por el 44.3.d).
En fin, que espero no tener que vérmelas nunca con la Agencia, por la cuenta que me trae.
Pit
Observen en la página 225 de la Memoria Anual del 2006 de la AEPD los montos de dinero en la cuenta de ingresos:
– Multas y sanciones : 2.2 millones de €, sacados de las sanciones.
– Transferencias corrientes: 242.000 €. Este es el dinero que recibe la AEPD del Estado.
– Ingresos patrimoniales (Intereses de la cuenta acumulada): 275.000 €.
– Remanente de Tesoreria: 7 millones de € (echan mano de la caja de las sanciones).
Por otra parte, mas abajo en el punto de análisis de multas y sanciones, vemos que se impusieron sanciones por mas de 21 millones de €, pero solo se cobraron 9,5 millones. Así pues, no se cobra ni la mitad de las sanciones que se imponen. ¿puede ser efectivo un organismo así? ¿da esto seguridad jurídica? si eres listo, te libras, si eres bueno, te toca pagar unas sanciones «p’a cagarte».
La AEPD se financia de las sanciones, pero para todar cada euro de ellas necesita el permiso del Ministerio de Hacienda, no tiene libre disposición sobre ese dinero.
Motivación de los funcionarios por sancionar, pues tampoco hay, cobran exactamente igual por un expediente archivado que por otro que termine en sanción. Es mas, dado que no existe correlación entre el crecimiento de las denuncias con el de los funcionarios dedicados a la inspección e instrucción, pues la presión es cada vez mayor y el futuro que le vislumbro a la AEPD es un bloqueo similar al que padecemos actualmente en los juzgados.
Otra cuestión, el fondo pecuniario de la AEPD, ¿a cuanto asciende? En las cuentas de la Agencia de 2006, publicadas en el BOE de 12/10/2007, la AEPD disponía en tesoreria, a 31/12/2006, de algo mas de 24 millones de € fruto del remanente de las sanciones de años anteriores.
luis
Me ha parecido entender que el fichero tiene que darse del alta antes de su creación. Pero alguien sabe si se puede dar de alta un fichero creado antes de su inspección? Regularizar la situación? A lo mejor es una pregunta tonta, pero esto descubriendo esto estos días. Muchas gracias.
Samuel Parra
El fichero debe ser inscrito antes de su creación, y si no lo has hecho debes hacerlo cuanto antes. Si te viene una inspección y lo haces antes de la Resolución correspondiente te va a dar igual, ya que el tratamiento de datos se habrá hecho mucho antes de que la inspección vaya a visitarte, y lógicamente, ellos saben en que fecha inscribes.
Pit
Es algo mas complicado: los inspectores pueden ver desde cuando se están recogiendo datos y desde cuando está inscrito el fichero. Si la recolección comenzó antes de la creación y lo comprueban, tienen una año desde la inscripción para abrirte un procedimiento sancionador. Si pasa mas de un año, la infracción habrá prescrito y te habras librado. Pero la inscripción no es lo mas importante, mas peligroso es no tener el Documento de Seguridad y tenerlo implantado. La falta de inscripción de un fichero son solo 600 €, pero la falta de medidas de seguridad son 60.000 €, y eso si que duele.
JR
JC si se trata de una «empresa» pública, SI está sujeta al régimen sancionador económico puesto que las únicas que se libran de ello son las AAPP que no es el caso de una «empresa» por muy pública que pueda ser. Por otra parte en cuanto a lo que dices que les traería al pairo que les sancionansen económicamente, a las AAPP, no estoy de acuerdo contigo porque la ley permite, incluso obliga a, repetir contra el/los funcionario/s responsables de ello. De modo que si tienen que pagar una multa y luego se van detrayendo de la nómina mes a mes un determinado importe hasta pagar la totalidad de la multa verás como no se lo toman a coña. Es así de fácil pero claro hay que querer hacerlo y eso es otra cosa porque en el sector público cualquiera que lo conozca mínimamente sabe que nadie quiere ponerle el cascabel al gato por aquélló de que nunca se sabe si al que empluman dentro de 2 años será el que mande y emplume al emplumador .