sábado, 2 de octubre de 2010

El deber de secreto: una obligación de resultado

Hoy les comentaré la R/01633/2010 (Procedimiento Nº AP/00081/2009) de la Agencia Española de Protección de Datos. Ya verán qué interesante.

Los hechos son los siguientes: Una persona es detenida por la policía, que procede a registrar sus datos, incluyendo la fotografía que se le toma en comisaría, en el fichero denominado PERPOL. PERPOL es una base de datos común a todas las comisarías, sometida a las medidas de seguridad de nivel alto, en atención al tipo de datos tratados. Pocos días después, esa misma fotografía aparece publicada en el diario “EL MUNDO” del 12 de mayo de 2009 (los que tengan mejor memoria recordarán que este día se publicó la fotografía que consta en la ficha policial del Señor Correa, por lo que lo más probable es que sea el denunciante en este procedimiento).

El Fichero PERPOL, de nivel alto, dispone de un sistema de registro de accesos (art. 103 RLOPD), que permite determinar que se han producido siete consultas de la ficha del denunciante:

- Tres accesos correspondientes a funcionarios destinados en la unidad del organismo denunciado que tramita las reseñas y fichas policiales

- Dos accesos de un funcionario destinado en la unidad del organismo denunciado que interviene en la instrucción de la diligencias previas por las que el denunciante está imputado

- Dos accesos de un funcionario destinado en una comisaría de Coslada-San Fernando, que no fueron motivados debidamente.

Este funcionario de Coslada fue imputado como presunto autor de delitos de revelación de secretos, descubrimiento de secretos, violación de secretos y cohecho.

El organismo denunicado había implantado las medidas de seguridad correspondientes al tipo de daos tratados, que luego permitieron determinar quién podría haber llevado a cabo la filtración. No se puede decir que existiera falta de diligencia. De hecho, en la resolución de la Agencia, se indica lo siguiente:

"Tanto en las alegaciones realizadas por el organismo denunciado como en el acta de la inspección llevada a cabo por inspectores de esta Agencia se concluye que:

- Se ha adoptado un control de accesos restringido y limitado al fichero PERPOL, únicamente pueden acceder los funcionarios del organismo denunciado que cuentan con autorización expresa para ello. Para la concesión de esta autorización se requiere que se formalice una petición por el responsable policial del funcionario propuesto justificando la necesidad de la misma para el desarrollo de las funciones que éste tiene encomendadas.

- La autorización implica la asignación de un usuario, que coincide normalmente con el número del Documento Nacional de Identidad, más una clave y una contraseña de libre designación por cada usuario. Estas últimas son obligatoriamente cambiadas de forma periódica al exigirlo la propia aplicación.

- Existe definido un time-out en el fichero, de manera que transcurrido un período de inactividad se produce la desconexión de la aplicación de acceso al fichero.

- Se dispone de una aplicación, CAUPOL, que permite la realización de auditorías de los accesos realizados, persona que lo ha efectuado, datos consultados, día, hora y año de la consulta, así como el ordenador desde el que se ha efectuado el acceso.

- Las solicitudes de autorizaciones se centralizan y se valoran en la Unidad de Documentación de Españoles y Archivo, concediéndose previo el cumplimiento de los requisitos antes expuestos.

El fichero PERPOL reúne las condiciones exigidas por la LOPD y a través de la aplicación CAUPOL, control de accesos de usuarios, el organismo denunciado pudo comprobar que entre los días 11 de febrero a 4 de marzo de 2009, hubo siete accesos a la ficha policial del denunciante pertenecientes a tres usuarios diferentes autorizados"

Sin embargo, la Agencia abrió un procedimiento de declaración de infracción de las Administraciones Públicas ¿Qué había hecho mal el organismo denunciado? En realidad, nada, pero Monsieur le Directeur considera que ha vulnerado el deber de secreto (art. 10 LOPD) de acuerdo al siguiente razonamiento:

"A pesar de las alegaciones del organismo denunciado, en lo que a la protección de datos atañe no puede tenerse en cuenta la afirmación de que el deber de secreto es un deber que se exige a título personal. El artículo 43.1 de la LOPD determina que:

“los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente ley.”

Así pues en virtud de este artículo sólo los responsables de los ficheros y los encargados de los tratamientos pueden ser sujetos activos del régimen sancionador establecido en la LOPD, pues sólo a ellos les es aplicable el régimen sancionador que se diseña en la ley por medio de su artículo 43.1.

El responsable del fichero PERPOL es el organismo denunciado, la D.D.D., ya que tal y como define el artículo 3 d) de la LOPD, se entiende por responsable del fichero “a toda persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.” Como responsable del fichero, el organismo denunciado, por indicación expresa de la ley, está sujeto a su régimen sancionador.

Hay que señalar que la infracción del deber de secreto es una infracción de resultado y así lo ha establecido la Audiencia Nacional entre otras en la sentencia recaída en el recurso 205/2008 donde expresamente se señala:

“esta Sala tiene establecido como la infracción del deber de secreto es una infracción de resultado en la que lo relevante es que se llegue a producir la divulgación de un secreto”, o en la recaída en el recurso 471/2008 cuyo tenor literal expresa “la infracción tipificada en el art. 44.3 g) es una infracción de resultado que exige que los datos personales sobre los que exista un deber de secreto profesional…se hayan puesto de manifiesto a un tercero…”

Así pues lo relevante en esta infracción es que se produzca el resultado, que se vulnere la confidencialidad de los datos cuya custodia corresponde al responsable del fichero.

En este caso la confidencialidad se ha vulnerado al poner de manifiesto a terceros los datos personales del denunciante que posteriormente aparecieron publicados en varios medios de comunicación."

Este procedimiento no tuvo como resultado una multa económica, al tratarse de una Administración Pública. Si hubiera sido una empresa privada, ésta habría tenido que pagar por la actuación dolosa de un empleado. Es cierto que luego se podría exigir responsabilidad a éste en tribunales, pero eso no implica que parezca injusto que se atribuya culpabilidad objetivamente a los responsables de ficheros o encargados de tratamiento por una obligación personal, la de guardar secreto que corresponde a cualquiera con acceso a los datos.

No hay comentarios: