Samuel Parra

En relación con la entrada anterior respecto a la multa a la productora de Gran Hermano, y tal y como estaba previsto, vamos a analizar la Sentencia del Tribunal Supremo que vino a confirmar esa multa millonaria.

La defensa, en su recurso de casación, alegó hasta 10 motivos de casación de diversa índole, uno de ellos, como no podía ser de otra manera, intentaba echarle parte de la culpa a un tercero; todos ellos fueron desestimados por el Tribunal, pero sólo vamos a centrarnos en los que hacían referencia a la Ley Orgánica de Protección de Datos, dejando al margen los otros más propios de Derecho Procesal o Constitucional.

Por supuesto, es imprescindible conocer los hechos expuestos en la entrada anterior, por lo que si no la has leído, este es un buen momento.

Cuando uno lee la Sentencia puede percibir cierta desesperación en la parte recurrente (la defensa digamos) alegando todo lo que se les ocurrió y más.

En primer lugar intentaron hacer nulas todas las actuaciones de la AEPD interpretando incorrectamente la disposición adicional primera de la LOPD. Esta disposición indica que los ficheros de datos personales preexistentes a la entrada en vigor de la LOPD (enero de 2000) tendrán un plazo de 3 años (para los ficheros no automatizados) para inscribirlos y declararlos en la AEPD. La recurrente entendía sin embargo que esa disposición dejaba 3 años a las empresas con ficheros preexistentes para adecuarse a la normativa en protección de datos, y por tanto, Zeppelin no tendría obligación legal de cumplir con la LOPD hasta pasados esos tres años, pues el fichero con los datos de los participantes ya existía a la entrada en vigor de la Ley. Por supuesto, el Tribunal desestimó rápidamente este motivo de casación.

El segundo motivo la defensa intentó echarle parte de la culpa a Atento, entidad con la que celebró un contrato para la recogida de los datos de los participantes. En concreto, la defensa pretendía eludir la multa que venía por la infracción del artículo 5 LOPD (la de informar a los participantes de una serie de aspectos); entendía la recurrente, que como Atento era la que recababa los datos, ella era la que tendría que haber informado y por tanto es a ella a la que tendrían que sancionar. Sin embargo, el artículo 5 le es de aplicación a la figura del «Responsable del fichero», es decir, de quien decide sobre la finalidad y usos de los datos. En este caso, era Zeppelin la que ostentaba esa figura pues era ella la que decidia sobre la finalidad del fichero y simplemente encargó a un tercero la recogida de los datos. Además, en una segunda fase Zeppelin convocó directamente a unos 200 seleccionados al objeto de someterlos a una prueba de cámara/imagen y un nuevo test de inteligencias y psicopatía, y tampoco informó a los interesados y lo mismo sucedió posteriormente respecto de 17 personas a las que sometió a un test de 100 preguntas, por lo que le es imputable tal incumplimiento.

A continuación alegan que la multa impuesta por la cesión de datos de los participantes a los sociologos y demás no procede, pues con el gabinete tenían firmados un contrato de tratamiento de datos (según artículo 12 LOPD). No obstante, aquí el Tribunal se limita a repetir lo mismo que expresó la Audiencia Nacional: los señores sociologos no eran miembros del gabinete, y por tanto, el contrato con este gabinete no les era vinculantes.

En cuarto lugar la recurrente acude a lo relativo a las medidas de seguridad señalando que la sentencia de instancia incurre en contradicción al argumentar que eran exigibles medidas de nivel medio y considerar que las medidas que incumplió la recurrente eran las de nivel básico. Alega que en todo caso se adoptaron las medidas de seguridad y aun de nivel superior al básico y concluye que no se produjo la infracción del art. 9 de la LOPD y alude al principio de proporcionalidad, señalando que no se ha acreditado que la no adopción de las medidas de seguridad supusiera un peligro real para el bien jurídico protegido.

El art. 9 de la Ley 15/99 establece que «1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el art. 7 de esta Ley.»

Por su parte el Real Decreto 994/99, de 11 de junio, que aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, distingue entre medidas de seguridad de nivel básico, medio y alto, señalando entre las primeras, reguladas en los arts. 8 a 14, la elaboración e implantación por el responsable del fichero de un documento de seguridad, de obligado cumplimiento para el personal con acceso a los datos informatizados y a los sistemas de información, que deberá contener como mínimo los siguientes aspectos: «a) Ambito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.»
Tal documento deberá mantenerse en todo momento y deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

El Tribunal entra a analizar el Documento de Seguridad y confirma que resulta acreditado que el Documento de Seguridad invocado correspondía a la empresa Media Bit y no a la recurrente, bastando la lectura de tal documento para observar que se refiere al personal y servidores de Media Bit, sin que en ningún momento se haga ninguna referencia al personal de Zeppelin. Como se recoge expresamente en el art. 8 y siguientes del Real Decreto 994/99, corresponde al responsable del fichero elaborar e implantar el referido documento de seguridad, así como adoptar las medidas necesarias para que el personal conozca las normas de seguridad, encargarse de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema, con el correspondiente procedimiento de asignación, distribución y almacenamiento de contraseñas, si este es el sistema, que garantice su confidencialidad e integridad, debiendo establecer procedimientos de identificación y autenticación y mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos a los autorizados. No podían prosperar, por lo tanto, las alegaciones que se formulan sobre la adopción de tales medidas, que aun siendo de carácter básico completan un cuadro de garantías de confidencialidad y ordenación del acceso a los datos objeto de tratamiento que no se ha cumplido en este caso, lo que justifica la sanción impuesta.

En último lugar la recurrente «se queja» de que las sanciones son demasiado elevadas en función del daño producido y demás. El Tribunal se ventila rápido este asunto afirmando que «Desde luego, no puede decirse que se ha vulnerado el principio de proporcionalidad, cuando la conducta observada por la entidad recurrente en la recogida de datos para la confección de un fichero sobre posibles concursantes del programa que conocemos, se ha basado en el más completo desprecio hacia la exigencia del consentimiento consciente e informado de los afectados. Exigencia de mayor intensidad cuando se refiere a los denominados «datos sensibles», como pueden ser, de una parte, la ideología o creencias religiosas – cuya privacidad está expresamente garantizada en el art. 16.2 de la Constitución – y , por otra parte la raza, la salud y la vida sexual.»

Este es el final de la historia que ha tenido a Zeppelin con el caso Gran Hermano y a los diferentes órganos jurisdiccionales 7 años de litigios.

Como ya apuntó Andy Ramos en la entrada anterior, ahora Zeppelin lleva un cuidado exquisito a la hora de tratar los dato personales… sólo les ha costado algo más de un millón de euros aprender la lección.

Como comentario particular, si alguno de los lectores trata datos personales en su ámbito profesional, os recomiendo que no espereis a que os sancionen para cumplir con la legislación de protección de datos… puede ser demasiado tarde.