18 de septiembre de 2008

¿?

Llevo varias días dándole vueltas a una resolución (juro solemnemente haberla leído ya varias veces) sin lograr entenderla.
Se trata del Procedimiento Nº PS/00259/2008, iniciado a raiz de una denuncia (otra vez) de la Policía Local de Ourense en la que declara que ha sido localizado en una red de intercambio de ficheros P2P disponible en Internet (entorno compartido E-mule), un fichero denominado “(...X.....)”, que contiene datos de 1.250 alumnos de un centro de prácticas.
Tras el oportuno seguimiento tecnológico al fichero, en el que de nuevo la operadora de turno, Telefónica en este caso, le entrega a la Agencia los datos de IP sin decir ni pío, el rastreo termina en el domicilio de S.S.S., uno de los alumnos de las prácticas, que pese a haber firmado un compromiso de confidencialidad y custodia de la información reconoce que:
Hubo días en los que mi trabajo no estaba terminado en la oficina y me llevé el trabajo a casa para terminarlo. En la carpeta del proyecto que me llevaba a casa se encontraba la base de datos (...)
y después nos cuenta la vida y milagros del tal fichero y del ordenador donde quedó alojado sin aportar nada relevante hasta llegar al único punto en que podía basar su defensa:
Viendo el registro que el programa emule guarda del número de descargas realizadas de cada archivo compartido compruebo que dicho archivo fue únicamente descargado una vez, debiendo ser ésta el archivo que se aporta con las pruebas por la Policía Local de Ourense según indica el Acuerdo de Inicio de Procedimiento Sancionador. Por tanto ninguna otra persona ha adquirido copia de este archivo mediante el programa e-mule, no pudiendo haber hecho uso de los datos que contenía (...)
Por lo tanto, la Agencia podía haber pedido la comprobación técnica de este último extremo y haber solventado la cuestión con una falta leve y una sanción mínima, y sin embargo, vaya usted a saber porqué, el ponente de la resolución se mete en un berenjenal jurídico sobre el concepto de culpabilidad, y pese a haber indicado:
Por todo ello, debemos concluir que ha quedado acreditado que D. S.S.S. incumplió con el deber de secreto al que se había comprometido con PROINSSA, incurriendo así en la infracción del artículo 10 de la LOPD.
asegura luego:
No obstante en el presente caso, ha que tenerse en cuenta que D. S.S.S., no era en origen el responsable o encargado del fichero, y teniendo en cuenta los hechos acreditados y las alegaciones del mismo, en el sentido de que ha eliminado de su ordenador el fichero denominado “(...X.....)”, cuanto tuvo conocimiento de los hechos producidos, a través de la Agencia Española de Protección de Datos, procedería apreciar la falta de culpabilidad, tal como se recoge en la Sentencia de la Audiencia Nacional de 6 de febrero de 2008, que en su Fundamento de Derecho cuarto, establece: << La exigencia de la culpabilidad procede de lo que señala el articulo 130 de la Ley 30/92 cuando dice que: "Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia".
y termina con:
A estos razonamientos aun cabe añadir que en nuestras Sentencias de 23 de marzo y 16 de Junio de 2004 (recursos 435/2002 y 865/2002) también señalamos que "cuando se invoca la buena fe en el actuar, para justificar la ausencia de culpa -como se hace en el presente caso- basta con decir que esa alegación queda enervada cuando existe un deber específico de vigilancia derivado de la profesionalidad del infractor. En esta línea de tradicional reflexión, la STS de 12 de marzo de 1975 y 10 de marzo de 1978, rechazan la alegación de buena fe, cuando sobre el infractor pesan deberes de vigilancia y diligencia derivados de su condición e profesional" -SAN (1a) de 14 de septiembre de 2001 (Rec. 368/2000)-".
resolviendo:
PRIMERO: EXONERAR de responsabilidad a D. S.S.S. por los hechos imputados en el presente procedimiento sancionador.

Sospecho que la Agencia no ha sabido qué hacer ante un sujeto que realmente no es responsable del fichero ni encargado del tratamiento, pero tampoco un empleado de la empresa, sino un alumno que realiza unas prácticas y al que la parecer no se le puede suponer ninguna profesionalidad... pero sólo es mi sospecha.

Si alguien puede aportar sugerencias, que pinche en Comentarios.

5 comentarios:

Manuel dijo...

Desconozco (tengo una ligera idea) de cuales son las competencias de la Policia Local en España , pero la busqueda del incumplimiento de la LOPD , que no es delito , debe estar muy, pero que muy abajo en la hipotetica lista, a no ser que en la P.L. de Orense esten haciendo una campaña apoyada por la Agencia , a modo de prueba piloto ,son muchas las denuncias que han instado.

Marketing Positivo dijo...

Manuel: será que en Orense no hay coches mal aparcados, ni delincuencia callejera, ni tráfico que controlar :)

Manuel dijo...

Estoy "convencido" que es una prueba piloto y se estan ganando una plaza en la Agencia , el dia que la Agencia se lo tome en serio y ponga solo a dos G.C. de los que estan en la red buscando la pedofilia , quedaria saturada de denuncias POR ACTUACIONES DE OFICIO , ni inspectores necesitan en la calle, solo por la red. Ahora , el contenido de la resolucion me da que pensar que el Abogado del Estado tuvo un exceso de sol este verano.

esal dijo...

Me parece cuando menos peligrosa la interpretacion de la Agencia, aunque desde luego, ajustada a Derecho. Si la LOPD establece que solo son sancionables los responsables de los ficheros y los encargados del tratamiento no puede sancionar a quien no es ni una cosa ni otra.
Decia que me parece peligrosa pq se abre una puerta que algunos ya habian anunciado: la posibilidad de que un trabajador "meta en un lio" a su empresa por un mal uso de los datos que esta almacena.
En principio se me ocurren 2 ejemplos muy claros. Uno el del trabajador "espabilao" que se lleva la BD de clientes de su empresa para la competencia. No se puede hacer nada pq es intocable y encima si la empresa le denuncia se volvera contra ella la denuncia ya que la APD le dira que "no ha guardado la diligencia debida en la custodia de los datos".
El segundo que se me ocurre es que un trabajador puede decicarse a sabotear sistematicamente los derechos ARCO de los clientes de una empresa hasta que dichos clientes se "cabreen" y decidan formular una denuncia. Para la APD el responsable no seria el trabajador sino la empresa... No es por dar ideas pero se nos abre un panorama aterrador.
Respecto a la resolucion que nos ocupa y preocupa tb me resulta chocante que en ningun sitio se hace referencia a quien es el responsable cierto de la incorrecion detectada aunque si yo fuera el gerente de PROINSSA estaria preocupado. La verdad es que con la APD nunca se sabe.
Como ultima acotacion y relacionado con las sanciones impuestas por la APD, hay alguien que no se haya dado cuenta de que hay una disminucion muy importante en el importe de dichas sanciones desde la llegada del nuevo director? Desde mi punto de vista esta especie de "manga ancha" encubierta no favorece en mucho a la LOPD y menos todavia en el pais de Rinconete y Cortadillo y del Buscon. Un pais de picaros que prefieren pagar una multa a cumplir la Ley ya que "me va a salir mas barato"

Marketing Positivo dijo...

@esal: gracias por tus comentarios, son siempre muy interesantes. Vayamos por partes:

1) Con el primer ejemplo no estoy del todo de acuerdo. Si la empresa cumple la LOPD, y me refiero la cumple del todo, es decir que además de haber inscrito ficheros, tener documento de seguridad, etc..., ha implantado medidas de seguridad, ha dado formación a sus empleados y les ha hecho firmar una claúsula de privacidad, no debería tener problemas. Si un empleado se lleva la base de datos a la competencia, la empresa que los use SÍ será un responsable de fichero, como ocurre en esta resolución:
http://leyprotecciondatos.blogspot.com/2007/11/denuncia-boomerang.html
donde como verás se sanciona a la ladrona de los datos (que también intentó declararse no responsable) y a la empresa que sufrió el robo, pero en este último caso debido a que no había inscrito los ficheros en el Registro y además sólo había implantado medidas de seguridad de nivel bajo pese a tratarse de datos de salud.

2) En el segundo caso... entiendo que la prueba de la responsabilidad del empleado será efectivamente muy complicada y que además debería repercutirse vía justicia ordinaria (con el lío que eso supone) ya que el trabajador no será responsable del fichero ni encargado del tratamiento y por lo tanto la Agencia no puede ir más allá. Claro que esto no ocurre sólo con la LOPD, muchas otras leyes de ámbito empresarial presentan escenarios similares.

Respecto a la disminución de las sanciones, tienes toda la razón. Ya lo comenté hace unos meses en esta nota: http://leyprotecciondatos.blogspot.com/2008/04/temporada-de-rebajas.html

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.