jueves, 17 de junio de 2010

Diferencia entre responsable del fichero y responsable del tratamiento

Por si Ustedes dudaban que responsable del fichero y responsable del tratamiento son dos figuras distintas, aquí tienen lo que dice la AEPD en un reciente informe jurídico:

"En segundo término, debe tenerse en cuenta que el precepto tiene por objeto la plasmación en el desarrollo reglamentario de la Ley Orgánica 15/1999 de la doctrina emanada de la Sala tercera del Tribunal Supremo en relación con la determinación de las entidades responsable del fichero y del tratamiento en el marco de las actividades de publicidad y prospección comercial.

La diferencia entre ambas figuras aparece recogida en la Sentencia del Tribunal Supremo de 5 de junio de 2004, que recuerda:

“(...) las sentencias de contraste contemplan una regulación -la de la LORTAD de 1992- que en el problema que nos ocupa -y tal como expone muy claramente la sentencia impugnada, ejemplo de buen hacer judicial- ha cambiado sustancialmente en la nueva Ley 15/1999 de
Protección de datos de carácter personal, que distribuye perfectamente entre responsable del fichero y responsable del tratamiento, y que en el título VII dedicado a regular las infracciones y sanciones dice muy claramente que «los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley»”.

La propia Sentencia hace suyos los argumentos de la SAN de 16 de octubre de 2003, objeto de recurso, que señalaban lo siguiente:

“Se desprende asimismo de los repetidos apartados del art. 3, como ya se ha manifestado, la diferenciación de dos responsables en función de que el poder de decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento”.

Esta doctrina es igualmente sustentada por la Sentencia del Tribunal Supremo de 26 de abril de 2005, que aporta consideraciones sumamente reveladoras de la intención del legislador en este punto.

Así, en primer lugar, es preciso recordar que la propia Sentencia, con cita de la de la Audiencia Nacional objeto de recurso, describe la conducta objeto de sanción por la Agencia Española de Protección de Datos, en los siguientes términos:

“(...) la cuestión controvertida, se circunscribe a determinar, si la entidad actora que encargó la realización de una campaña publicitaria a X consistente en el envío de unas invitaciones a determinadas personas (seleccionadas entre hombres y mujeres, de 30 a 53 años, de cinco niveles de formación determinados y residiendo en los distritos postales 28036 y 28039 de Madrid, en cantidad aproximada de 9.000 unidades [folio 79], para asistir en un hotel de Madrid a un acto promocional de la firma Y en el que se les entregaba unos regalos), extraídas de un fichero facilitado por Z a X, es responsable de la infracción imputada.”

Es decir, una entidad beneficiaria de la publicidad encomienda a otra el envío de la publicidad con base en determinados “parámetros identificativos” fijados por aquélla, referidos a la edad, nivel de formación y domicilio de los destinatarios de la campaña. En relación con el hecho de que la entidad sancionada no “realizase mate
rialmente el tratamiento, la Sentencia recuerda, también con cita de la fundamentación sostenida en instancia, lo siguiente:

“(...) el hecho de que la entidad recurrente, efectivamente, como señala la parte actora, no tuviera en ningún momento la disponibilidad material de los datos, no quiere decir que no decidiera sobre la finalidad, contenido y uso del tratamiento, y que no sea responsable del tratamiento, porque precisamente la LOPD viene a efectuar una ampliación subjetiva de la responsabilidad, de manera que por efecto de la externalización de los servicios informáticos no queden impunes aquellos agentes que con capacidad de decisión sobre el tratamiento intervienen en el proceso y aparentemente su actuación queda diluida por la relevancia de otras conductas más importantes en el proceso.”


El texto del informe, en el que se analiza el controvertido artículo 46 del RLOPD, lo tienen disponible aquí. Espero sus comentarios.

Buenas noches.

No hay comentarios: