Una visión global del tratamiento automatizado de datos personales.

PMFarma utiliza cookies propias y de terceros para recopilar informacion con la finalidad de mejorar nuestros servicios y mostrarte publicidad relacionada con tus preferencias. Al continuar navegando por el sitio, aceptas el uso de las mismas. Tienes la posibilidad de configurar tu navegador pudiendo impedir que sean instaladas.   Configurar
Ver por categoría:
Enviar a un amigo | Imprimir en PDF
03 Dic. 2004
Una visión global del tratamiento automatizado de datos personales.

Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 11 de Febrero de 2004.

Antecedentes

Esta Sentencia resuelve diversas cuestiones en relación con el tratamiento, medidas de seguridad y transferencia internacional de datos personales. En síntesis, los hechos que son objeto de enjuiciamiento por el Tribunal son los siguientes:

a. La entidad A, titular de una base de datos, encargó a la entidad B una campaña de marketing directo. Las partes suscribieron un contrato en el que se recogía el encargo del tratamiento de los datos, el compromiso de B de adoptar las medidas técnicas para proteger los datos y la prohibición de comunicar los datos a terceros.

b. La entidad B encargada del tratamiento, subcontrató los servicios de otra compañía C para la gestión de la base de datos de la entidad A. Entre las compañías B y C se formalizó un contrato.

c. La entidad B también subcontrató a otra compañía D la gestión y mantenimiento de una página web para recoger los datos personales de los participantes en un concurso, mediante un formulario accesible desde una página web. Entre la entidad B y D no se suscribió contrato.

d. La entidad D elaboró una base de datos con los datos recogidos de los participantes al concurso, y los remitió semanalmente sin encriptar a una dirección de correo electrónico de la entidad C.

e. Ocasionalmente, por problemas técnicos del correo, D remitió los datos a C ubicando el fichero en un directorio público de acceso restringido, pero sin tomar las medidas técnicas de seguridad necesarias para evitar que los datos pudieran ser recogidos también por otras personas conectadas a Internet.

f. La entidad C incorporaba a la base de datos de A los datos que la entidad D le remitía.

g. Para la gestión y mantenimiento de la página web, la entidad D transfirió los datos de los concursantes a un servidor ubicado en EE.UU., propiedad de la compañía E.

h. La entidad A era conocedora de los tratamientos que las compañías C y D estaban realizando por encargo de B.

Indisponibilidad de la norma

El eje central de la defensa planteada de forma conjunta por todas las entidades fue que para el desarrollo de la campaña de marketing era imprescindible la participación de todas ellas, y que además su participación contó con el consentimiento de la entidad A.

A dicha reflexión el Tribunal respondió que el hecho de que fuera necesaria la intervención de todas ellas no justificaba que pudieran realizar las funciones que tuvieran por conveniente, sino que en cualquier caso, su actuación debía ajustarse a la Ley de Protección de Datos de Carácter Personal (LPDP).

Añadía el Tribunal que el hecho de que la entidad A consintiera tácitamente que los datos personales de su fichero fueran cedidos por el encargado del tratamiento (B) a terceras entidades (C y D), no implicaba que la conducta de B estuviera amparada por la LPDP. Conforme al artículo 12.2 de la LPDP el encargado del tratamiento (B) no puede comunicar los datos a un tercero, tan siquiera para su conservación, y dicho impedimento no es disponible por las partes contratantes porque la prestación de servicios regulada en dicho precepto es una figura especial, que afecta al ámbito de las libertades públicas y derechos fundamentales de las personas, especialmente su honor e intimidad personal y familiar.

Tampoco la exigencia legal de que se formalice en contrato escrito toda relación de encargado del tratamiento puede ser enervada por el consentimiento del titular del fichero. Así, el encargo de tratamiento de datos entre B y D no se formalizó en documento escrito, y dicho incumplimiento no puede ser enervado porque A consintiera la relación y pagara las facturas.

Ausencia de consentimiento

Especialmente relevante en materia de consentimiento para el tratamiento de datos personales es el pronunciamiento del Tribunal al manifestar que el consentimiento que tenía una de las entidades para tratar por encargo de otra unos concretos y específicos datos, no podía hacerse extensivo al tratamiento por la misma entidad de otros datos de distinta procedencia, aun cuando sea por razón del mismo encargo.

Comunicación de datos

La transmisión semanal de datos por correo electrónico por la entidad D a C era efectuada sin el consentimiento de los afectados. La entidad D alegó en su defensa que la comunicación de datos no era sancionable si no comportaba la atribución de la decisión sobre los usos y finalidades al destinatario de los datos. El Tribunal rechazó dicha argumentación sobre la base que conforme a la LPDP la cesión de datos es toda revelación de datos realizada a persona distinta al afectado sin que sea exigible que con la cesión se transmita el derecho sobre los usos o finalidades de los datos.

Medidas de seguridad

Con relación a la no adopción por la entidad D de las medidas técnicas de seguridad al transferir los datos a un directorio público, la entidad D argumentó en su defensa que la nueva LPDP establecía en su Disposición Adicional 1ª un plazo de tres años para la adaptación a los ficheros, sin que el mismo hubiera aún transcurrido.

El Tribunal desestimó dicha argumentación por entender que el plazo de adaptación previsto en la Disposición Adicional 1ª de la LPDP es relativo a los ficheros sin comprender las medidas de seguridad.

El Tribunal comparte el dictamen del Consejo de Estado que manifestó que las previsiones de la LPDP concernientes al tratamiento de datos son de aplicación inmediata desde la entrada en vigor de la LPDP.

Transferencia internacional de datos

El Tribunal también sancionó la conducta de D consistente en transferir datos de los participantes a EE.UU. sin informar, sin tener el consentimiento de los interesados y sin recabar la autorización del Director de la Agencia Española de Protección de Datos.

En su defensa D alegó que los datos recabados desde la página web eran almacenados directamente sobre los equipos informáticos situados en EE.UU. y que por tanto el circuito de comunicaciones no era de España a EE.UU. sino al revés, no estando sujeta a la autorización del Director de la Agencia Española de Protección de Datos.

Además, también argumentó que nunca hubo transmisión de datos a EE.UU. ya que los mismos se registraban directamente en un servidor de EE.UU. y en consecuencia no concurrían las figuras de transmitente y destinatario.

El Tribunal rechazó dichos argumentos al considerar que daba lo mismo que los datos se hubieran ubicado directamente en un servidor en EE.UU. como que se hubieran transferido al extranjero después de pasar por un servidor español, porque el resultado era el mismo: los datos había llegado a conocimiento de una entidad ubicada en el extranjero, fuera de los límites de la Unión Europea.

Puerto seguro

También argumentó la entidad D que, aun considerando que hubo una transferencia internacional, el servidor de destino cumplía con los requisitos de puerto seguro.

El Tribunal resolvió que la entidad D no reunía las condiciones de puerto seguro previstas en la Decisión de la Comisión 2000/520/CE de 26 de julio, relativa al nivel de protección conferida por los principios de puerto seguro, publicados por el Departamento de Comercio de EE.UU., que dispone que cada transferencia de datos desde la CEE a EE.UU. deberá cumplir las siguientes condiciones:

a) la entidad receptora de los datos debe haber manifestado de forma inequívoca y pública su compromiso de cumplir los principios de puerto seguro aplicados de conformidad con las FAQ; y

b) la entidad estará sujeta a la jurisdicción de determinados organismos públicos estadounidenses y deberá autocertificar su adhesión y notificarlo al Departamento de Comercio de EE.UU.

Solidaridad

Finalmente, y en materia de responsabilidad solidaria, el Tribunal resolvió en contra de la responsabilidad solidaria de todas y cada una de las entidades que intervinieron con fundamento en que la solidaridad contraviene el principio de responsabilidad personal sobre el que se asienta el sistema punitivo.

Es decir, la exigencia de responsabilidad solidaria, aún admitiéndola en el derecho administrativo sancionador, tiene que venir determinada de forma explícita y clara por una ley, y la LPDP cuando tipifica las conductas sancionables objeto de enjuiciamiento por el Tribunal no extiende la culpabilidad más allá de los responsables directos de la conducta tipificada como infracción.



Escribe tu comentario
Debes estar unido a PMFARMA para participar. Únete o haz login