- Protección de datos personales - http://www.samuelparra.com -

La efectividad de las resoluciones de la AEPD en las Administraciones Públicas

Posted By Samuel Parra On Jueves, 19 junio 2008 @ 1:41 In Opinión | 19 Comments

[1]De sobra es por todos conocidos la dureza de las sanciones de la Agencia Española de Protección de Datos.
Por ejemplo, que un particular publique datos personales en Internet sin el consentimiento correspondiente, puede suponer una multa de 300.000 euros tranquilamente [2].

Estas multas pretenden tener un carácter educador – educación que recibirá el infractor en su bolsillo – y con toda seguridad tendrá más cuidado en el futuro, además de abstenerse en su conducta ilícita.

Ahora bien, no es lo mismo que quien incurra en infracción sea un particular o una empresa, que una Administración Pública; mientras que los primeros tendrán una buena educación pecuniaria, los segundos, esto es, por ejemplo, Ayuntamientos, Cuerpos y Fuerzas de Seguridad del Estado, Ministerios, etc, tendrán una educación diferente.
Y es que, a la Administraciones Pública no se les sanciona con una multa económica como al resto, sino una mera declaración de infracción. ¿Qué significa esto de declaración de infracción?; pues significa que si quien publica datos en Internet es una Administración Pública, no será sancionada con 300.000 euros de multa, sino que simplemente se dejará constancia por escrito de que se ha incurrido en una infracción muy grave de la Ley Orgánica de Protección de Datos, y ya está.

Esto siempre me ha llevado a pensar si realmente la Administración se va a tomar en serio alguna vez lo de la protección de datos; yo creía que no, pero hasta ahora no había encontrado ninguna prueba clara al respecto.

Hoy vamos a demostrar como el sistema actual para persuadir a las Administraciones que cumplan con la protección de datos no es el adecuado (porque no nos engañemos, el 99% de las empresas que se molestan en adecuarse a la ley lo hacen para que no terminen sancionándoles).

En enero de 2006 D. X.X.X. presentó un escrito ante la Agencia Española de Protección de Datos en el que denunciaba que el Instituto Aragonés de Empleo (en lo sucesivo INAEM) utilizaba un fichero de datos personales respecto a ofertas de empleo, desconociendo cuál era el órgano administrativo responsable y su ubicación, y, que, al parecer, no se encontraba inscrito en el Registro General de Protección de Datos.

Tras la recepción de la denuncia, la Subdirección General de Inspección inició las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, durante las cuales se tuvo conocimiento, de acuerdo con la información del INAEM, de que la finalidad del fichero utilizado en el marco de la oferta denominada Expoagua Zaragoza 2008 era exclusivamente interna, para la gestión de todas las solicitudes de personas interesadas en participar en los distintos procesos de selección generados con esta ocasión. En estos procesos era necesaria la utilización de una base de datos con el fin de generar un fichero que contuviera los datos de carácter personal necesarios para realizar las correspondientes comunicaciones.

Se comprueba que efectivamente no hay ningún fichero inscrito en el Registro General de la AEPD para estas finalidades ni tampoco del responsable del fichero correspondiente.

4 meses después, y antes de que se resuelva el expediente, el INAEM comunica que se ha publicado en el Boletín Oficial de Aragón, el Decreto correspondiente por el que se crea el fichero de datos de carácter personal denominado “Procesos de Selección Técnica de Personal“.
Naturalmente ya es demasiado tarde, porque la Ley exige que el fichero se declare ANTES de que se inicie la recogida de los datos; por lo tanto, está acreditado que el Instituto Aragonés de Empleo creó un fichero de titularidad pública y procedió a iniciar la recogida de datos de carácter personal con anterioridad a la publicación de la correspondiente disposición en el Boletín Oficial de Aragón, conducta que supone la vulneración del articulo 20 de la LOPD.

Finalmente, la Resolución termina en afirmar que el Instituto Aragonés de Empleo ha incurrido en la infracción grave descrita en el artículo 44.3.a por los hechos que hemos comentado.

Y aquí es cuando viene lo interesante; en este punto, el Director de la AEPD es cuando debería indicar la cuantía de la multa, que en caso de ser infracción grave serían 60.000 euros como mínimo. PERO, como nos encontramos ante una Administración ¿qué pasa?, pues que:

PRIMERO: DECLARAR que el INSTITUTO ARAGONÉS DE EMPLEO ha incumplido lo dispuesto en el artículo 20.1 de la LOPD, lo que supone una infracción tipificada como grave en el artículo 44.3.a) de la citada Ley Orgánica.

SEGUNDO: REQUERIR al INSTITUTO ARAGONÉS DE EMPLEO, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 20 de la LOPD.

Ya está, no hay euros de por medio.

Pero no terminemos aquí; sigamos la pista a este procedimiento y al Instituto Aragonés de Empleo.

La Resolución se firmó el 26 de octubre de 2007, y como comentamos, el Instituto procedió a publicar en el Boletín Oficial de Aragón la creación de un fichero denominado “Procesos de Selección Técnica de Personal“ en mayo de 2006; recordemos que esto lo llevó a cabo MIENTRAS se estaba tramitando el expediente sancionador (vamos, tan pronto tuvieron conocimiento de la denuncia se pusieron a hacer los deberes). Sin embargo, para declarar e inscribir correctamente un fichero de titularidad pública, hay que hacer 2 cosas: primero, publicar en el Boletín Oficial correspondiente la disposición general de creación del fichero, y segundo, notificar esta información, formalmente, a la AEPD para que procedan a inscribir en el Registro General ese fichero. Son dos obligaciones distintas.

La primera la cumplió el Instituto durante la tramitación del procedimiento, pero una vez finalizado ¿habrá completado el trámite?. Pues no, del fichero “Procesos de Selección Técnica de Personal” no se sabe nada en la AEPD; de hecho es que no hay ningún fichero declarado cuyo responsable sea el Instituto Aragonés de Empleo.

De forma que el Instituto está incurriendo actualmente en una infracción de la LOPD porque el fichero sigue sin estar declarado en la Agencia. ¿Por qué sigue en una situación irregular?; seguramente porque una vez finalizado el procedimiento y viendo que “aquí no pasa nada” se habrán olvidado por completo del tema.

Cabe preguntarse, ¿si le hubieran impuesto una multa de 60.000 euros habrían concluido todo el proceso legal para no exponerse a otra multa?.

Descargar Resolución aludida [3]


Article printed from Protección de datos personales: http://www.samuelparra.com

URL to article: http://www.samuelparra.com/2008/06/19/efectividad-resoluciones-aepd-administraciones-publicas/

URLs in this post:

[1] Image: http://www.samuelparra.com/wp-content/uploads/2008/06/efectividad1.jpg

[2] puede suponer una multa de 300.000 euros tranquilamente: http://www.samuelparra.com/2008/04/07/300000-euros-de-multa-a-un-particular-por-publicar-datos-personales-en-internet/

[3] Descargar Resolución aludida: http://www.samuelparra.com/wp-content/uploads/2008/06/instituto-aragones-de-empleo.pdf