La ASOCIACIÓN DEPORTIVA DE CAZA Y PESCA OSCENSE (ADECYPO) ha sido sancionada con 600 euros por vulnerar la Ley Orgánica de Protección de Datos (LOPD).
Aquí reproducimos los hechos probados y los fundamentos de derecho utilizados por el órgano sancionador:
HECHOS PROBADOS
PRIMERO: Con fecha 10/02/2011, los Servicios de Inspección de la Agencia Española de Protección de Datos accedieron al sitio de Internet «http://www.youtube.com», comprobándose que contiene un video promocional con información para asociarse ADECYPO, e incluye el listado de socios con detal e de los datos personales de los mismos relativos a nombre, apel idos, dirección, DNI, fecha de socio y número de socio. En este listado figuran los datos relativos al denunciante 1.
SEGUNDO: Por los mismos hechos detal ados en el Hecho Probado Primero se siguió un procedimiento judicial en el Juzgado de Primera Instancia e Instrucción de Huéscar promovido por la entidad ADECYPO.
En dicho procedimiento, señalado con el número de Diligencias Previas 901/2010, se dictó Auto por el Juzgado de Primera Instancia e Instrucción de Huéscar, visto el resultado de las diligencias ordenadas por el mismo para determinar quién introdujo en Youtube los datos relativos a los asociados de la misma. En los «Razonamientos Jurídicos» de dicho Auto, fechado el 20/05/2011, se declara que «de lo actuado se desprende que los hechos investigados son constitutivos de infracción penal, si bien no existen motivos suficientes para atribuir su perpetración a persona alguna determinada y por el o es procedente… decretar el sobreseimiento provisional de estas actuaciones», y en su «Parte dispositiva» se acuerda «el sobreseimiento provisional y archivo de la presente causa».
TERCERO: Con fecha 27/09/2010, por la Subdirección General de Registro General de Protección de Datos se informó que no existe ningún fichero inscrito en el mencionado Registro General cuya titularidad corresponda a la entidad ADECYPO.
CUARTO: Con fecha 01/12/2011, por el Instructor del procedimiento se incorporó a las actuaciones el resultado de la consulta efectuada al Registro General de Protección de Datos sobre los ficheros inscritos en el mismo cuya titularidad corresponda a la entidad ADECYPO, comprobándose que figuran inscritos siete ficheros, entre los que se incluye el denominado «Asociados», con fecha de inscripción 28/10/2010.
QUINTO: Por los Servicios de Inspección de la Agencia Española de Protección de Datos, en fase de actuaciones previas de investigación, se requirió a la entidad ADECYPO para que justificar el procedimiento establecido para que los interesados puedan ejercitar los derechos de acceso, rectificación, cancelación y oposición, sin que la misma aportase detal e alguno al respecto.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD.
II
Se imputa a la entidad ADECYPO la vulneración de los artículos 6 y 10 de la LOPD, por la
divulgación de datos de carácter personal de sus asociados a través del sitio de Internet»http://www.youtube.com», en el que se insertó un video promocional accesible a terceros sin restricciones, que incluye el listado de socios con detal e de los datos personales de los mismos relativos a nombre, apel idos, dirección, DNI, fecha de socio y número de socio.
Se analiza, por tanto, un tratamiento de datos consistente en la incorporación de un listado de socios en el citado sitio de Internet, en tanto que procedimiento técnico que permite la recogida, grabación y conservación de los datos.
Asimismo, el presente procedimiento tiene por objeto determinar las responsabilidades que se derivan de la revelación de los datos que resulta de la divulgación del listado de socios mencionado.
En orden a precisar el alcance antijurídico de los referidos hechos respecto de la entidad ADECYPO, procede analizar el principio de consentimiento consagrado en el artículo 6.1 y 2 de la LOPD, que establecen lo siguiente,
«1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado».
El tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato.
El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30/11 (FJ. 7 primer párrafo)… «consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)».
Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos, correspondiendo siempre al responsable del tratamiento comprobar que tiene el consentimiento del afectado cuando realiza algún tratamiento con los datos personales de éste. A este respecto, la Audiencia Nacional, en sentencia de fecha 31/05/2006 señaló lo siguiente: «Por otra parte es el responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la ley».
Por otra parte, el artículo 10 de la LOPD dispone:
«El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo».
El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento.
Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido, teniendo el «deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo». Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30/11, y, por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.
Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un «instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos» (Sentencia del Tribunal Constitucional 292/2000, de 30/11). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida.
Igualmente, cabe destacar la Sentencia dictada por la Audiencia Nacional, de fecha 14/09/2001, que en los Fundamentos de Derecho Tercero y Cuarto señala:
«Pues bien, la conducta que configura el ilícito administrativo -artículo 43.3.g) de la Ley Orgánica 5/1992- requiere la existencia de culpa, que se concreta, por lo que ahora interesa, en el simple incumplimiento del deber de guardar secreto, deber que se transgrede cuando se facilita información a terceros de los datos que sobre el titular de una cuenta bancaria dispone la entidad recurrente, siendo indiferente a estos efectos que los datos se facilitaran mediante engaño, pues la entidad bancaria no observó una conducta diligente tendente a salvaguardar el expresado deber de secreto, y esta conducta basta para consumar la infracción cuya sanción se recurre en el presente recurso. En consecuencia, esa falta de diligencia configura el elemento culpabilístico de la infracción administrativa y resulta imputable a la recurrente. En definitiva, concurren los requisitos exigibles para que la conducta sea culpable, pues la conducta desarrol ada vulnera el deber de guardar secreto, es una conducta tipificada como infracción administrativa, y la voluntariedad reviste forma de culpa».
En este caso, consta que en el sitio «http://www.youtube.com………1», se incluyó información relativa a los socios de la entidad ADECYPO, con detal e de los datos personales de los mismos relativos a nombre, apellidos, dirección, DNI, fecha de socio y número de socio. Este hecho, llevado a cabo sin el consentimiento de los afectados, vulnera lo establecido en los artículos 6 y 10 de la LOPD antes citados.
Sin embargo, los Servicios de Inspección de la Agencia Española de Protección de Datos
únicamente pudieron comprobar la existencia de la información en el mencionado sitio de Internet, pero no la identidad de la persona que insertó la información.
La misma conclusión resultó de las actuaciones desarrol adas por el Juzgado de Primera
Instancia e Instrucción de Huéscar, con motivo de las Diligencias Previas número 901/2010, seguidas en el mismo por virtud de la denuncia formulada por ADECYPO. Así, en el Auto de sobreseimiento provisional y archivo dictado por dicho Juzgado en fecha 20/05/2011, visto el resultado de las diligencias ordenadas por el mismo para determinar quién introdujo en Youtube los datos relativos a los asociados de la misma, en los «Razonamientos Jurídicos» del mismo, se declara que «de lo actuado se desprende que los hechos investigados son constitutivos de infracción penal, si bien no existen motivos suficientes para atribuir su perpetración a persona alguna determinada y por el o es procedente… decretar el sobreseimiento provisional de estas actuaciones»; y en su «Parte dispositiva» se acuerda «el sobreseimiento provisional y archivo de la presente causa».
En consecuencia, no existen pruebas de cargo suficientes para destruir el principio de presunción de inocencia, dado que no se encuentran plenamente acreditada la autoría de los hechos que se imputan. A este respecto, ha de considerarse lo dispuesto en el artículo 7.3 del Real Decreto 1398/1993, de 4 agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, que regula las vinculaciones del procedimiento administrativo con el orden jurisdiccional penal, en el que se establece lo siguiente:
«3. En todo caso, los hechos declarados probados por resolución judicial penal firme vinculan a los órganos administrativos respecto de los procedimientos sancionadores que sustancien».
No puede obviarse que al Derecho administrativo sancionador le son de aplicación, con alguna matización pero sin excepciones, los principios inspiradores del orden penal, resultando clara la plena virtualidad de los principios de presunción de inocencia e «in dubio pro reo» en el ámbito de la potestad sancionadora, que desplazan a quien acusa la carga de probar los hechos y su autoría. La presunción de inocencia debe regir sin excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición de cualesquiera sanciones, pues el ejercicio del «ius puniendi», en sus diversas manifestaciones, está condicionado al juego de la prueba y a un procedimiento contradictorio en el que puedan defenderse las propias posiciones. En tal sentido, el Tribunal Constitucional, en su Sentencia 76/1990, de 26/04, considera que el derecho a la presunción de inocencia comporta «que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio». De acuerdo con este planteamiento, el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), establece que «Sólo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia».
Asimismo, el mismo Tribunal Constitucional, en Sentencia 44/1989, de 20/02, indica que «Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor rei, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurrente aquel a actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate».
En definitiva, aquel os principios impiden imputar una infracción administrativa cuando no se haya practicado una mínima prueba de cargo acreditativa de los hechos que motivan esta imputación o de la intervención en los mismos del presunto infractor, aplicando el principio «in dubio pro reo» en caso de duda respecto de un hecho concreto y determinante, que obliga en todo caso a resolver dicha duda del modo más favorable al interesado.
Por otra parte, la Audiencia Nacional ha señalado, en su Sentencia de fecha 25/05/2001, dictada en el recurso contencioso administrativo nº 29/2000, interpuesto contra una resolución de esta Agencia, que «queda probado, y admitido por las partes, que el Banco sancionado emitió un extracto y que el mismo coincide con el presentado por D…, ex esposo de la denunciante y titular de la cuenta, Dña… Ahora bien la resolución no sanciona, ni puede sancionar, al Banco por apreciarse tal coincidencia sino porque ha considerado que aquel extracto fue entregado por personal del Banco a una persona que no era en ese momento titular de la cuenta corriente, vulnerando de este modo su deber de guardar secreto sobre los datos del correspondiente fichero automatizado. En este sentido, es cierto que la lectura de la resolución sancionadora, y de la desestimatoria del recurso de reposición, deja bien a las claras que la administración está sancionando precisamente el hecho de la entrega por parte del Banco al Sr… de un extracto de cuenta corriente de la que es titular su ex esposa, y ningún tipo de indefensión se ha producido cuando vemos la actuación del hoy actor en defensa de sus intereses; mas dando por buena la integración de los hechos probados, la Sala, como pasamos a razonar, de la valoración de la prueba obrante en el expediente administrativo l ega a la conclusión que no ha quedado debidamente acreditado este hecho integrador del tipo, es decir no se prueba que el Banco entregara al Sr… el respectivo extracto, suscitándole este hecho concreto serias dudas, frente a la exigible certidumbre». Y concluye afirmando que «sin negar que pudieron producirse los hechos como indica la denunciante, tampoco puede rechazarse la posibilidad que el extracto no le fuera entregado al marido por el Banco, sino que aquel lo obtuviera aprovechando alguna visita al domicilio o mediante la actuación de algún familiar, dicho el o en términos de pura hipótesis».
En este mismo sentido se pronunció el Tribunal Superior de Justicia de Madrid en sentencia de 21/02/2001, en la que señala que «La única prueba de cargo, de la que la APD infiere la responsabilidad de la recurrente, es el hecho de que fuera el ex marido de Dña… quien suministrara al abogado dicho extracto que fue aportado al incidente de modificación de medidas, debiendo convenirse con la recurrente que la tenencia del extracto, a juicio de esta Sala, es una prueba indiciaria insuficiente para destruir su presunción de inocencia pues, ciertamente, dicho extracto pudo l egar a la posesión de D… por conductos distintos de su entrega directa por parte de la entidad bancaria, por lo que no quedando acreditada ninguna de estas hipótesis, esta duda razonable acerca de la forma en la que el ex marido obtuvo el extracto de la cuenta de la denunciante ha de operar siempre en beneficio de la sancionada, procediendo, en consecuencia, estimar su pretensión de anulación de la sanción impuesta por falta de prueba bastante de la participación de la recurrente en la entrega del extracto bancario a persona distinta de la titular de la cuenta».
En atención a lo expuesto, teniendo en cuenta que en el presente caso se observa una falta de acreditación en la autoría de los hechos atribuidos a la entidad ADECYPO, frente a la certeza y concreción exigida en estos supuestos para poder calificar las conductas como sancionables, debe concluirse que no existe prueba de cargo suficiente contra la citada entidad, por lo que procede acordar el archivo del presente procedimiento en relación con la imputación relativa al presunto incumplimiento de lo dispuesto en los artículos 6 y 10 de la LOPD.
No obstante, considerando que la información contenida en el video insertado en el sitio de Internet «http://www.youtube.com………1», que incluye el listado de socios de ADECYPO con detal e de los datos personales de los mismos relativos a nombre, apel idos, dirección, DNI, fecha de socio y número de socio, pertenece a la esfera de responsabilidad de la citada entidad, procede que por la misma se l even a cabo las actuaciones necesarias para que tales datos de carácter personal sean suprimidos de por lo que ADECYPO deberá contactar con la entidad responsable del mencionado sitio Web para solicitar la eliminación de la información.
III
En el supuesto examinado, se constata que la denunciada dispone de ficheros en los que
se registran los datos personales, entre otros, de los socios de la entidad. En concreto, en este fichero se incluyen datos obtenidos de los propios asociados relativos a nombre, apel idos, imagen, Nº SS, teléfono, firma e información necesaria para la gestión económica, financiera y de seguros.
Asimismo, ha quedado acreditado que los mencionados ficheros no figuraron inscritos en
el Registro General de Protección de Datos. Las actuaciones incorporan el resultado de las consultas efectuadas al Registro General de Protección de Datos por los Servicios de Inspección de la Agencia Española de Protección de Datos, de fecha 27/09/2010, que constata la inexistencia de ficheros inscritos cuya titularidad corresponda a la denunciada.
De acuerdo con el artículo 26.1 de la LOPD, según el cual «Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos«, deben notificarse a esta Agencia, para su inscripción en el Registro General de Protección de Datos, los ficheros que contengan datos de carácter personal.
A este respecto, el artículo 55.2 del Real Decreto 1720/2007, de 21 de diciembre, por el
que se aprueba el reglamento de desarrol o de la LOPD, dispone lo siguiente:
«2. Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos».
Y en el apartado del citado artículo 55 se añade lo siguiente:
«4. La notificación se realizará conforme al procedimiento establecido en la sección primera del capítulo IV del título IX del presente reglamento».
En el supuesto examinado, a fecha 27/09/2010, la denunciada no había comunicado al Registro General de Protección de Datos la creación del fichero que contiene los datos de alumnos y familiares, incumpliendo la obligación establecida en el artículo 26.1 de la LOPD, y esta situación no quedó regularizada hasta el 28/10/2010, que consta como fecha de inscripción de siete ficheros cuya titularidad corresponde a ADECYPO.
IV
El artículo 44.2.c) de la LOPD, en su redacción vigente en el momento en que tuvieron lugar los hechos sancionables, tipifica como infracción leve «No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave».
La denunciada ha cometido la infracción descrita, por cuanto no atendió la obligación impuesta en el artículo 26.1 de la citada Ley Orgánica hasta el 28/10/2010.
V
En el presente caso, además de la falta de inscripción de los ficheros, se denuncia el incumplimiento del deber de información en el momento de la recogida de los datos previsto en el artículo 5 de la LOPD, al no haber facilitado a los afectados ninguna información en materia de protección de datos previa a la anotación de los datos en los registros de ADECYPO.
Consta en las actuaciones que por los Servicios de Inspección de la Agencia Española de
Protección de Datos, en fase de actuaciones previas de investigación, se requirió a la entidad ADECYPO para que justificar el procedimiento establecido para que los interesados puedan ejercitar los derechos de acceso, rectificación, cancelación y oposición, sin que la misma aportase detal e alguno al respecto. Del mismo modo, durante la tramitación del procedimiento ADECYPO no ha acreditado en forma alguna el cumplimiento del mencionado deber de información.
Dicho incumplimiento aparece tipificado como infracción leve en el artículo 44.2.d) de la LOPD, en su redacción vigente en el momento en que tuvieron lugar los hechos denunciados, que considera como tal «Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley».
En el citado artículo 5 de la LOPD se establece lo siguiente:
«1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlosd) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de
las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de el a se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
(…)».
La obligación que impone este artículo 5 es, por tanto, la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del mismo a tener una apropiada información y a consentir o no el tratamiento, en función de aquélla.
Así, de acuerdo con lo establecido en el artículo 5 transcrito, la denunciada debe informar
a los interesados de los que recabe datos sobre los extremos establecidos en el aludido artículo 5.1. La información a la que se refiere el artículo 5.1 de la LOPD debe suministrarse a los afectados previamente a la solicitud de sus datos personales, y deberá ser expresa, precisa e inequívoca.
El número 2 del mismo precepto establece una regla especial para los supuestos en que
se utilicen formularios u otros impresos para la recogida de la información exigiendo que «… figuraran en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior».
Por su parte el artículo 4.1 de la LOPD concreta las finalidades para las que pueden recabarse y tratarse los datos personales exigiendo, a diferencia de la hoy derogada Ley Orgánica 5/1992, de 29 de octubre de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, que sólo se refería a finalidades «legítimas», que las mismas sean «determinadas, explícitas y legítimas».
La Ley ha querido, por tanto, imponer una formalidad específica en la recogida de datos a
través de cuestionarios u otros impresos que garantice el derecho a la información de los afectados. A tal efecto, impone la obligación de que la información figure en los propios cuestionarios e impresos y la refuerza exigiendo que conste de forma claramente legible.
En este sentido, la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, que delimita el contenido esencial del derecho fundamental a la protección de los datos personales, se ha pronunciado sobre la vinculación entre el consentimiento y la finalidad para el tratamiento de los datos personales, en los siguientes términos: «el derecho a consentir la recogida y el tratamiento de los datos personales ( art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aún cuando puedan ser compatibles con éstos (art. 4.2 LOPD), supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que solo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por ley, pues el derecho fundamental a la protección de datos personales no admite otros límites. De otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de éstos, pues sólo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos concreta. Pues en otro caso sería fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia».
De lo expuesto cabe concluir que la vigente LOPD ha acentuado las garantías precisas para el tratamiento de los datos personales en lo relativo a los requisitos del consentimiento, de la información previa a éste, y de las finalidades para las que los datos pueden ser recabados y tratados.
La citada Sentencia del Tribunal Constitucional 292/2000, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos al declarar que «…el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele».
En este caso, se ha comprobado que la denunciada no facilita a sus socios, en el momento de la recogida de los datos personales de los mismos la información prevista legalmente en materia de protección de datos.
En consecuencia, ADECYPO incumple el deber de informar establecido en el artículo 5 de la LOPD, al recabar datos personales de sus socios sin informarles previamente sobre los extremos señalados en dicho artículo.
VI
El artículo 44.2.d) de la LOPD, en su redacción vigente en el momento en que tuvieron lugar los hechos denunciados, considera infracción leve: «Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley».
En este caso, ha quedado acreditado que ADECYPO recaba datos personales de sus socios sin facilitarle la información que señala el artículo 5 de la LOPD, por lo que debe considerarse que ha incurrido en la infracción leve descrita.
VII
De acuerdo con lo establecido en el artículo 45.1 y 4 de la LOPD, en su redacción vigente
en el momento en que se cometieron las infracciones:
«1. Las infracciones leves serán sancionadas con multa de 601,01 a 60.101,21 euros».«4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad y a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora».
En base a estos criterios, en concreto, al grado de intencionalidad apreciado en el presente caso, procede la imposición a ADECYPO de dos sanciones por importe de 601,01 euros cada una, importe mínimo previsto para las infracciones leves, por razón del incumplimiento de los artículos 5 y 26 constatados.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ARCHIVAR las actuaciones seguidas contra la entidad ASOCIACIÓN DEPORTIVA DE CAZA Y PESCA OSCENSE (ADECYPO) por el presunto incumplimiento de los artículos 6 y 10 de la LOPD.
SEGUNDO: IMPONER a la entidad ASOCIACION DEPORTIVA DE CAZA Y PESCA OSCENSE (ADECYPO), dos multas por importe 601,01 (seiscientos un euros con un céntimo), cada una, por las infracciones de los artículos 5 y 26.1 de la LOPD, tipificadas como leves en los artículos 44.2.d) y 44.2.c), respectivamente, de dicha norma, en su redacción vigente en el momento en que se cometieron las infracciones, de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.
TERCERO: REQUERIR a la entidad ASOCIACION DEPORTIVA DE CAZA Y PESCA OSCENSE (ADECYPO) para que los datos de carácter personal contenidos en el video insertado en el sitio de Internet «http://www.youtube.com………1», que incluye el listado de socios de ADECYPO con detalle de los datos personales de los mismos relativos a nombre, apellidos, dirección, DNI, fecha de socio y número de socio, sean suprimidos del mencionado sitio web.
Las medidas y actuaciones adoptadas deberán ser comunicadas a esta Agencia Española de Protección de Datos, en el plazo de un mes.