La Dirección General de Familia, Bienestar social y Atención a personas en situación especial ha vulnerado el deber de secreto recogido en la Ley Orgánica de Protección de Datos y se ha declarado la correspondiente infracción.
A continuación indicamos los hechos probados y los fundamentos de derecho aplicados al caso.
HECHOS PROBADOS
1) Mediante la tramitación en la Agencia Española de Protección de Datos del procedimiento de tutela de derechos, TD/00203/2010, se estimó el 23/06/2010 que PUNT DE TROBADA FAMILIAR D’EIVISSA, entidad dependiente de la DIRECCIÓ GENERAL DE FAMILIA, BENESTAR SOCIAL I ATENCIÓ A PERSONES EN SITUACIÓ ESPECIAL, remitiera certificación en que se facilitara el acceso completo a los datos objetos de tratamiento que del denunciante constaran (12 y ss.). El envío se hizo mediante correo certificado con fecha de salida 22/07/2010, por el PUNT DE TROBADA (folios 3-4), desconociendo la concreta fecha de recepción, aunque el denunciante señala que fue el 26/07. Se entiende que se remitió por correo certificado al figurar el sel o de correos con dicho literal, y porque lo indica el denunciante (1 y 3).2) La documentación que se le entrega al denunciante se refiere básicamente a las entregas y recogidas de sus hijas menores en relación al régimen de visitas, decretada y controlada por el Juzgado, derivadas de su divorcio (18 a 59).
3) En la entrega que PUNT DE TROBADA remitió por correo al denunciante, de la totalidad de los folios remitidos, hay uno, el foliado en este procedimiento con nº 18, que se refiere no al denunciante, y no contiene sus datos, sino de otras personas que tendrían también expedientes en PUNT DE TROBADA. En dicha hoja, se informa al Juzgado del seguimiento de medidas, por parte de PUNT DE TROBADA, y los datos que se revelan se refieren al acuerdo entre dos personas con respecto a su hijo, constando sus nombres y apel idos, detal ando las vicisitudes en el tiempo de las entregas, que es una información similar a la que se contienen en algunos de los folios del mismo denunciante (folios 18, 21, 22).
4) El fichero que alberga los datos que del denunciante obraban en el PUNT DE TROBADA es el de «PROGRAMAS ORIENTACIÓN FAMILIAR» creado por Orden de la Consejería de la Presidencia y Deportes de 7/05/2007, BOIB de 19/05, siendo su responsable la Dirección General de Menores y Familia y el nivel de seguridad alto (72-73, 76).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.
II
Como cuestión previa y respecto a la prescripción de la infracción, alegada por la DIRECCIÓ GENERAL DE FAMILIA, BENESTAR SOCIAL I ATENCIÓ A PERSONES EN SITUACIÓ ESPECIAL , señalar que el artículo 47. 1 y 2 de la LOPD establece:
«1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.
2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido.
3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.»
Ha quedado acreditado en la fase de instrucción del presente procedimiento que PUNT DE TROBADA FAMILIAR D’EIVISSA, entidad dependiente de la DIRECCIÓ GENERAL DE FAMILIA, BENESTAR SOCIAL I ATENCIÓ A PERSONES EN SITUACIÓ ESPECIAL, remitió al denunciante documentación relativa a sus datos personales objeto de tratamiento incluyendo entre la misma un documento con los datos personales de terceras personas usuarias de los servicios de PUNT DE TROBADA FAMILIAR D’EIVISSA. El envío de la citada documentación se hizo mediante correo certificado en la oficina de correos en fecha 22/07/2010. La entidad imputada no ha presentado prueba acreditativa de la fecha de recepción del envío por el denunciante por lo que habrá de considerarse como tal la fecha de 26/07/2010 manifestada por éste en su denuncia, fecha ésta en la que por tanto se verificó la vulneración del deber de secreto imputada. Por su parte el acuerdo de inicio del procedimiento sancionador fue notificado a la DIRECCIÓ GENERAL DE FAMILIA, BENESTAR SOCIAL I ATENCIÓ A PERSONES EN SITUACIÓ ESPECIAL en fecha 25/07/2011. En consecuencia debe rechazarse la prescripción de la infracción alegada por cuanto no ha transcurrido el plazo de un año desde la comisión de la infracción (26/07/2010) hasta el conocimiento por la imputada del inicio del presente procedimiento sancionador (25/07/2011).
III
El artículo 10 de la LOPD dispone que «El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.»
Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales almacenados en ficheros se facilite información sobre datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su sentencia n. 361, de 19/07/01: «El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por el o es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)».
En este sentido, la sentencia de la Audiencia Nacional de fecha 14/09/2001, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo: «Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un «instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos» (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino» (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, «es decir, el poder de resguardar su vida privada de una publicidad no querida»
En el presente caso ha quedado acreditado que el 23/06/2010, se estimó una tutela de derechos frente al PUNT DE TROBADA, mediante la cual se resolvía que se le diera el acceso completo a los datos del denunciante.
Tales datos tienen el carácter de datos personales, a tenor de la definición contenida en el artículo 3.a) de la Ley Orgánica 15/1999 que considera dato de carácter personal «cualquier información concerniente a personas físicas identificadas o identificables».
Añade el apartado 4 del artículo 1 del Real Decreto 1332/1994, de 20 de junio, que dato de carácter personal es «toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable».
En línea con lo anterior el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/1995, considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.
Por ello ha de entenderse que la revelación al denunciante de los datos de otras personas que tienen expedientes similares al del denunciante que era el objeto del acceso por el pedido, supone una infracción del deber de secreto de guarda y custodia de los datos que obran en los ficheros de la denunciada.
IV
El artículo 44.2.e) califica como infracción leve: «Incumplir el deber de secreto establecido en el artículo 10 de esta ley, salvo que constituya infracción grave»
Si bien el fichero en el que se almacenan los datos del PUNT DE TROBADA, el de «PROGRAMAS ORIENTACION FAMILIAR», es de nivel alto, el dar a conocer una hoja que contiene unos datos a un tercero no interesado, cuyo contenido no desvela ningún dato de especial protección, ni de carácter sensible, sea de salud, ideología, religión etc., no supone por sé que la infracción haya de ser calificada de grave o muy grave, debiendo estar al tipo de datos revelados y a su procedencia, según señalan los artículos 44.3.g) y 44.4.g) de la LOPD.
En este caso la información proporcionada no permite hacer ninguna valoración sobre el perfil o personalidad del titular de los datos, por lo que la conducta es subsumible en la infracción leve del artículo 44.2 e).
En este caso la denunciada ha incurrido en la infracción leve descrita pues incumplió el deber de secreto previsto en el artículo 10 de la LOPD, revelando al denunciante datos de un tercero con ocasión de un envío de documentación derivada del cumplimiento del derecho de acceso a sus datos resuelto por la Agencia.
V
La conducta que configura el ilícito administrativo aplicado en este caso requiere la existencia de culpa, que se concreta, por lo que ahora interesa, en la falta de diligencia observada por la entidad denunciada para asegurarse de que los datos que se extraen de sus ficheros son los del denunciante, peticionario del derecho de acceso, y para asegurase también, antes de remitir los datos que eran exclusivamente los de él. Debe destacarse que en el punto Segundo del procedimiento de Tutela de Derechos, folio 13, una de las alegaciones vertidas por la denunciada era que «se extraerán los datos relativos a terceras personas y de los resultantes, se le autorizará tener acceso«, cuando ha hecho precisamente una inclusión de datos personales de otro expediente.
En este sentido, el Tribunal Supremo viene entendiendo que existe imprudencia siempre se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. En la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda que, en el caso ahora examinado, cuando la actividad de la denunciada es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto. En este sentido la STS de 5/06/1998 exige a los profesionales del sector «un deber de conocer especialmente las normas aplicables«, y en similares términos se pronuncian, entre otras, las SSTS de 2 de marzo de 1999 y 17 de septiembre de 1999.
En relación a dicho asunto, aunque en materia sancionadora rige el principio de culpabilidad, como se infiere de la simple lectura del artículo 130 de la Ley 30/1992, de 26/11, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), tal y como con criterio general ha venido señalando la Jurisprudencia (Sentencias del Tribunal Supremo de 5/06/1989 y 12/03/1990, entre otras muchas), la expresión simple inobservancia del artículo 130.1 de la LRJPAC permite la imposición de la sanción, sin duda en supuestos dolosos, y asimismo en supuestos culposos, bastando para la imposición de la sanción, la inobservancia del deber de cuidado. Falta de diligencia, que, en el presente supuesto, resulta atribuible a la denunciada, ya que debería haber extremado el cuidado a fin de evitar que se enviara una documentación con datos no pertenecientes al denunciante.
Además, la Sentencia de la Audiencia Nacional de 29/03/2006, recurso 505/2004, reproduce el argumento de la Sentencia de la Audiencia Nacional de 18/01/20002, recurso 1096/2000 que aporta «La Caixa», y señala que «..,pues bien, la conducta que configura el ilícito administrativo- articulo 43.3.g) de la Ley Orgánica 5/1992- requiere la existencia de culpa, que se concreta, por lo que ahora interesa en el simple incumplimiento del deber de guardar secreto, deber que se transgrede cuando se facilita información a terceros de los datos tributarios de un tercero de los que dispone la entidad recurrente, siendo indiferente a estos efectos que los datos se facilitaran por un simple error, pues la entidad bancaria no observó una conducta diligente tendente a salvaguardar el expresado deber de secreto, y esta conducta diligente tendente a salvaguardar el expresado deber de secreto basta para consumar la infracción cuya sanción se recurre en el presente recurso«.
Se acredita que la denunciada no desplegó la diligencia necesaria que le resultaba exigible, pues no verificó ni las copias que efectuaba, ni su incorporación y verificación a lo que se enviaba.
En cuanto a la alegación de que un caso similar como el alegado en la Sentencia sea como el presente, cabe señalar que el caso de la Sentencia se trataba de que el denunciante denunciaba que en un sobre con sus señas, recibió el contrato de otra persona, conteniendo sus datos. Es decir, el denunciante recibió en un sobre que contenía sus datos, el continente con los datos del contrato de otra. La Sentencia valora la diligencia exigible en el punto CUARTO, determinando que solo incurrió en dicho error y que la denuncia del denunciante había denunciado además por otras razones como la alegada por la recurrente «porque su cuenta resultó al descubierto dado que se le cargó el recibo emitido a nombre del Sr. Miguel«. En tal sentido, la sentencia no es similar al caso analizado, ya que en el presente caso se trataba del cumplimiento o ejecución de una Tutela de Derechos por parte de una entidad pública que debe actuar cumpliendo la legalidad y asegurando la efectividad de lo resuelto. Se asemejan en el resultado del envío de datos de otro, pero se aprecia que en el envío de este procedimiento se remiten los documentos del denunciante mas una hoja que no le corresponde, y para lo que la denunciada no ha acreditado que contara con el consentimiento de su titular para que se dieran a conocer esos datos al denunciante.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR que la DIRECCIÓ GENERAL DE FAMILIA, BENESTAR SOCIAL I ATENCIÓ A PERSONES EN SITUACIÓ ESPECIAL ha infringido lo dispuesto en el artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de de la citada Ley Orgánica.
SEGUNDO: A efectos del artículo 46.1 de la LOPD, NO se REQUIERE a la denunciada, la adopción de medida alguna en orden a la corrección de los efectos de la infracción, dada la naturaleza de la misma, al considerarse que ha tenido su origen en un comportamiento humano indebido o no todo lo diligente que era de esperar (responsabilidad por resultado según dispone la jurisprudencia).
No obstante, las resoluciones que pudiera tomar en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes.