La gran mayoría de procedimientos sancionadores iniciados con ocasión de la infracción de este principio, se refieren al artículo 4.3 de la LOPD: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.
No obstante, en la práctica, se infringe cualquiera de los aspectos referidos a la calidad de los datos.
▪ Art. 4.1: Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
– Procedimiento Nº PS/00175/2008. Establece la calidad de los datos como un principio básico de la protección de datos.
En el presente caso ha quedado acreditado que las imágenes captadas por la cámara pueden visualizarse en los televisores de los propietarios de la Comunidad de Vecinos, lo que supone un tratamiento no adecuado, pertinente y excesivo en relación con la finalidad de la instalación del sistema de videovigilancia por la Comunidad de Propietarios.
En este caso, la Comunidad de Propietarios, ha incurrido en las infracciones graves descritas ya que la calidad de datos y el consentimiento para el tratamiento de los datos personales, son principios básicos del derecho fundamental a la protección de datos, recogidos en los artículo 4 y 6 de la LOPD , habiendo tratado datos de las personas que pudieran haber sido captadas por la cámara de videovigilancia sin contar con su consentimiento, y sin que existiese constancia de que el sistema de videovigilancia del denunciado haya sido instalado por una empresa de seguridad, por lo que el tratamiento de los datos no se encuentra habilitado por la LSP.
Vemos que la AEPD habla de la calidad de los datos como principio básico del derecho fundamental a la protección de datos. También es interesante destacar de esta resolución, aunque no entre dentro de los principios jurídicos de la protección de datos, la referencia a la empresa de seguridad instaladora del sistema de videovigilancia. En la actualidad podemos ver que han proliferado estos sistemas de vigilancia, con cámaras que en muchas ocasiones son compradas e instaladas de manera particular y artesanal. La AEPD no va a pasar por alto este tipo de prácticas.
Comentar también el dato de que en el año 2008 sólo se dictaron 2 resoluciones en procedimientos sancionadores por infracción del artículo 4.1 LOPD.
▪ Art. 4.2: Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
– Procedimiento Nº PS/00173/2008. Se trata de una resolución importantísima en su fundamento puesto que arroja luz a los términos “finalidades incompatibles”.
Las “finalidades” a las que alude este apartado 2 han de ligarse o conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”
En consecuencia, si el tratamiento del dato ha de ser “pertinente” al fin perseguido y la finalidad ha de estar “determinada”, difícilmente se puede encontrar un uso del dato para una finalidad “distinta” sin incurrir en la prohibición del artículo 4.2 aunque emplee el término “incompatible”. A esta conclusión parece llegar también el propio Tribunal Constitucional cuando en su Sentencia 292/2000, de 30 de noviembre, establece: “el derecho a consentir la recogida y tratamiento de los datos personales no implica en modo alguno consentir la cesión de tales datos a terceros…Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos supone una nueva posesión y uso que requiere el consentimiento del interesado.”
Entendemos que la APED equipara “finalidades incompatibles” a “finalidades distintas”, por lo que el campo de actuación del artículo 4.2 se extiende considerablemente. Así lo resuelve la propia resolución, que concluye: “En definitiva, los datos no pueden ser tratados para fines distintos a los que motivaron su recogida, pues esto supondría un nuevo uso que requiere el consentimiento del interesado”.
Otra cuestión importante sobre esta resolución es que hace uso de la facultades de los apartados 4 y 5 del artículo 45, que permiten modular la sanción en función del grado de intencionalidad y culpabilidad, alegando para ello el sancionado un error informático en el tratamiento de los datos (por otra parte habituales, aunque también es cierto que abren una vía de escape de responsabilidades).
En el año 2008 se dictaron 6 resoluciones en procedimientos sancionadores por infracción del artículo 4.2.
▪ Art. 4.3: Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
Art. 4.4: Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
Se trata de dos apartados, el 3 y el 4 del artículo 4 que más bien deberían de ser uno, puesto que la infracción del segundo implica la del anterior.
– Procedimiento Nº PS/00421/2008. Referencia a la instrucción 1/1995 de la AEPD relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, supuesto muy común de aplicación del artículo 4.3 LOPD.
La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.
La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, abunda en este precepto y, en su Norma Primera, punto 1, establece lo siguiente:
“Norma primera. Calidad de los datos objeto de tratamiento.
1. La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992” (artículo 29 de la LOPD) “deberá efectuarse solamente cuando concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.
b) Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación.
2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores. Tal circunstancia determinará igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.
3. El acreedor o quien actúe por su cuenta e interés deberá asegurarse que concurren todos los requisitos exigidos en el número 1 de esta norma en el momento de notificar los datos adversos al responsable del fichero común.
4. La comunicación del dato inexistente o inexacto, con el fin de obtener su cancelación o modificación, deberá efectuarse por el acreedor o quien actúe por su cuenta al responsable del fichero común en el mínimo tiempo posible, y en todo caso en una semana.
De la instrucción 1/1995 de la AEPD se resuelve que, en los supuestos de servicios de información sobre solvencia patrimonial y crédito, la “veracidad y situación actual del afectado” que exige el art. 4.3 LOPD se concreta en la existencia de una deuda cierta, vencida y exigible que haya resultado impagada y un requerimiento previo de pago.
Estamos ante otro claro ejemplo donde la Agencia se remite a su propia función normativa para explicar los conceptos acuñados por la ley.
La importancia del artículo 4.3 LOPD y concretamente en los supuestos de solvencia patrimonial y crédito (los más habituales) queda patente en las 186 resoluciones recaídas en procedimientos sancionadores durante el año 2008, por infracción de este artículo.
▪ Art. 4.5: Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento integro de determinados datos.
– Procedimiento Nº PS/00104/2005. Tenemos que retroceder hasta el año 2006 para encontrar la única resolución por infracción del artículo 4.5 LOPD. No obstante, resulta muy reveladora la interpretación que sobre este precepto realiza la Agencia.
Por tanto, deberá procederse a la cancelación de los datos al haber dejado de ser necesarios para la finalidad que justificó su tratamiento, como sucederá cuando se haya cumplido el contrato que vincula al responsable del tratamiento con su cliente, aunque, por virtud de la propia relación jurídica o por razón de las responsabilidades que pudieran derivarse de la misma, impuestas por una Ley, dicha cancelación deberá producirse mediante la modalidad de bloqueo de los datos de carácter personal sometidos a tratamiento que, salvo en las circunstancias recogidas en el citado artículo 16.3, in fine de la citada LOPD, no implicará automáticamente su borrado físico. Así, la conservación de los datos prevista en el artículo 16.5 de la LOPD está sometida a determinadas condiciones con las que se pretende asegurar y garantizar el derecho del afectado a la protección de sus datos de carácter personal, de modo que el responsable del fichero no puede disponer de tales datos en la misma medida en que podría hacerlo en caso de que no procediera la cancelación de los mismos.
En todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación, tal y como prevé el propio artículo 16.3 de la LOPD, al indicar que “cumplido el citado plazo deberá procederse a la supresión”.
A mi parecer, es importantísimo conocer esa diferencia entre cancelación y bloqueo del dato, matiz que queda perfectamente aclarado en los fundamentos de ésta resolución.
El bloqueo del dato implicaría su no utilización para los mismos fines para los que fue recabado, pero sí para el cumplimiento de otras posibles obligaciones, tales como las tributarias o de cooperación con la administración de justicia. Por otra parte, si con el bloqueo se pretende garantizar el derecho del afectado a la protección de datos, sería conveniente completar este proceso con la disociación del dato.
▪ Art. 4.6: Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
Hasta la fecha no ha habido ninguna infracción de este precepto de la que haya tenido conocimiento la AEPD. También es cierto que es difícil pensar en una definición de fichero que no posibilite el ejercicio del derecho de acceso. A mi entender el acceso al dato es consustancial al concepto de fichero.
▪ Art. 4.7: Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
– Procedimiento Nº PS/00076/2008. Es importante señalar que las infracciones del artículo 4.7 siempre van unidas a la infracción del artículo 6 (consentimiento del afectado). Por tanto en estos procedimientos nos encontramos con dos sanciones; teniendo en cuenta que la infracción del 4.7 está tipificada como muy grave, es de vital importancia la correcta motivación de estas resoluciones por la AEPD.
La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean obtenidos por medios lícitos y de esta forma sea conocida su utilización por los afectados, siendo los responsables de su obtención quienes responden del cumplimiento de esta obligación.
En este caso, la contratación del servicio puesto en cuestión en el presente procedimiento se realizó a través de la entidad Grupo Avanza. Sin embargo, el denunciante ha manifestado que no solicitó servicio alguno y que no firmó ningún contrato al respecto. Lo cual se ratifica porque no coinciden todos los datos que recogieron, ni la firma con la que se recoge en el DNI del denunciante.
Por tanto existen en el expediente elementos suficientes para mantener la valoración de los hechos como una obtención fraudulenta de los datos, con incumplimiento de la establecido en el citado artículo 4.7 de la LOPD, lo que permite considerar que la conducta imputada a Grupo Avanza ha quedado suficientemente acreditada.
Es a la entidad Grupo Avanza a la que corresponde acreditar que los datos del denunciante se obtuvieron con cumplimiento de las prescripciones legales y su incumplimiento la hace soportar las consecuencias legales al no haber acreditado la procedencia de los datos. Pues bien, en el presente caso, Grupo Avanza no ha acreditado el origen de los datos incorporados a los contratos de suministro, lo que supone una conducta desleal y fraudulenta.
Durante en año 2008 solo se resolvieron 4 expedientes relacionados con la infracción del artículo 4.7. Esto denota por un lado la gravedad y escasa frecuencia de la conducta tipificada y por otro el celo con el que la Agencia resuelve este tipo de infracciones. Hay que tener presente que estas conductas se sancionan con multas de 300.000 a 600.000 euros. Es por ello que en la resolución comentada la agencia haga hincapié en la existencia de “elementos suficientes para mantener la valoración de los hechos como una obtención fraudulenta de los datos”. Como hemos comentado anteriormente, este tipo de conductas va siempre unido a la infracción del artículo 6 LOPD (consentimiento del afectado). A la falta del citado consentimiento se une una intencionalidad fraudulenta, desleal e ilícita. En este sentido la conducta encajaría más en un tipo penal (de las defraudaciones) que en un ilícito administrativo.
Esta conexión del artículo 4.7 de la LOPD con los tipos penales de hurto o defraudaciones, nos plantea las importantes cuestiones emanadas de la STC 2/2003 sobre el principio del “non bis in idem”, y más teniendo en cuenta la gran diferencia que hay entre la pena asociada a una falta de hurto y una sanción “muy grave” impuesta por la AEPD. Si entendemos la mencionada doctrina como preferencia de la jurisdicción penal sobre la administrativa, en muchos casos la sentencia penal sería mucho más proporcionada y adecuada.