Sobre el autor

Samuel Parra

Jurista. Experto en privacidad y protección de datos de carácter personal. 14 años de experiencia en el sector.

20 comentarios

  1. 1

    jc

    Hola Samuel

    La verdad es que no puedo estar totalmente de acuerdo contigo.

    Por un lado, debo decirte que estoy en un proyecto LOPD en una administración pública con presencia nacional de cuyo nombre no quiero acordarme… Somos casi 10 personas en el proyecto (entre el cliente, los que estamos en sus oficinas y los que están en remoto)… y eso sin contar a responsables de seguridad y coordinadores en cada provincia.

    Hace poco se confirmó una sanción, en mi opinión injusta, que estuvieron reclamando durante 3 años y cundió el pánico. Se han hecho reuniones y se ha trabajado mucho para que eso no vuelva a pasar. Aunque lo cierto es que una empresa pública de este tamaño, con cantidad de ficheros y tratamientos distribuidos en cada centro… es imposible de controlar porque al trabajador medio, la protección de datos (incluso la de sus propios datos) se la sopla.

    Y sobre las sanciones económicas… con una dotación anual que sale de fondos públicos… no creo que al conjunto de los españoles nos convenga que se sancione con 300 o 600.000 euros.

    De todas formas, me parece mejor reconvertir tus cuestiones… ¿Es legítimo que las sanciones en materia de protección de datos sean tan altas? Hay materias en las que una muerte, una amputación, o un serio daño para la integridad física o mental no acarrea ni siquiera una sanción tan alta.

    Peor aún.. es legítimo que las sanciones que pone la AEPD sirvan para autofinanciarse?? Eso de ser juez y parte (o mejor dicho.. beneficiario)… no debería estar bien visto.

    Qué pasaría si los jueces de lo penal fuesen beneficiarios de las sanciones que imponen? Es una locura.

    Esta matería debería funcionar a través de un sistema de amonestaciones con sanción económica en caso de reincidencia. No deberíamos tolerar que estemos vendidos ante el criterio (no siempre conocido) de un inspector.

    ¿Qué me dices de las sanciones a antevenio-(¿bankinter?¿banesto?)… o la del “share this”..? Son cosas que no deberían pasar.

    Responder
  2. 2

    David

    Hola:

    Coincido contigo, no tiene sentido.

    Puede que en el caso de administraciones públicas no deban darse sanciones, por aquello de la inembargabilidad de los bienes y que sale de una administración para ir a otra.

    Pero una indemnización para el ciudadano cuyo derecho a la intimidad es lesionado, no estaría mal.

    Luego que se aplique la 30/1992 y el funcionario responsable a indemnizar a la administración. Verás que rápido iban a tomarse en serio la protección de datos.

    Eso si, los importes son exagerados.

    Un saludo.

    Responder
  3. 3

    Manuel C.L.- Las Palmas

    Samuel , has dado en la clave , si le exigieran al trabajador(funcionario,laboral,asesor..etc) de la administracion la responsabilidad , otro gallo cantaria y queda otro punto pendiente , ¿Que hace el Defensor del Pueblo? ¿No es notificado al igual que las partes?.Y otra cosa , los importes NO SON EXAGERADOS , si fueran de 6.000€ la maxima , ¿Esperariamos alguna vez que las grandes empresas se lo tomaran en serio?…lo incluirian en gastos como las multas de trafico , y no nos olvidemos QUE ES UN DERECHO FUNDAMENTAL , o a cambio ¿proponemos carcel en vez de dinero ? Es una cuestion de sensibilizacion de las partes: Entidad-Empresa-Afectado-Ciudadano.El ultimo slogan de la Agencia lo dice claro:”Proteje tus datos -Respeta sus datos” Detras de una decision de la administraccion y de una empresa , siempre existe una persona , que es un afectado tambien. El camino es exigirle mucho y mas a la AEPD para que todo,todo , lo resuelva , que una consulta sea resuelta de inmediato y con caracter vinculante.Mostrarse publicamente ante la Administraccion y la Ciudadania sin vergüenza , y claro , con medios para poder atender a todos , afectados y responsables.

    Responder
  4. 4

    Samuel

    Hola JC.

    En efecto existen algunas Administraciones y algunas empresas que ven esto de otra manera (por eso indiqué 99%), algo así como un valor añadido a los servicios que presten, pero no es lo normal.

    No estoy de acuerdo con lo de la autofinanciación de la AEPD… la AEPD recibe una dotación presupuestaria todos los años en los Presupuestos Generales del Estado, y el dinero de las multas, tengo entendido, va a parar a una cuenta corriente de la cual no puede disponer la AEPD.

    Sobre lo de Antevenio y Share This… debo ser de los pocos raritos que ven esas Resoluciones completamente normales, sobre todo la del Share This…

    Respecto a lo que comentas que hay materías en las que una muerte o una amputación “se pagan” más baratas, totalmente de acuerdo, de hecho escribí sobre eso aquí (sobre una amputación): http://www.samuelparra.com/2008/01/11/proteccion-de-datos-comparativa-de-sanciones/

    Hola David !!. Lógicamente entiendo que una multa directa a la Administración infractora no encajaría bien, la idea era dar una visión, bajo mi punto de vista, que las Resoluciones de la AEPD no son tomadas muy en cuenta por las Administraciones precisamente porque no se ha articulado ningún mecanismo que le de significado a la palabra “sanción” o “infracción” en las AA.PP.

    Saludos Manuel: has dicho algo muy importante, no hay que olvidar que esto es un Derecho Fundamental, y precisamente las Administraciones deberían ser las primeras y velar por él. La AEPD yo creo que hace lo que puede… teniendo en cuenta que su ámbito territorial es todo el Estado y que no andan muy sobrados de personal…

    Responder
  5. 5

    jc

    Hola otra vez

    A lo mejor me equivoco pero me parece recordar haber oido en alguna charla/conferencia que una de las medidas para garantizar la independencia política de la AEPD era la autonomía económica, y que entre sus fuentes de financiación estaban las sanciones.

    Lo cierto es que me gustaría saber realmente a dónde va a parar ese dinero. En los Estatutos no pone nada de forma expresa… También he mirado la 30/1992 por si acaso.. y tampoco veo nada al respecto.

    Si alguien sabe con certeza algo sobre este asunto y dónde está escrito, sería interesante saberlo.

    ¿De verdad compartes la opinión de la agencia en el caso antevenio y el share this? Creo que, como mínimo, la intencionalidad debería tener mucho más peso a la hora de regular la sanción. El sistema que tenemos actualmente, me resulta realmente perverso. Los accidentes ocurren por definición. Tendremos que acabar recomendando a los clientes que contraten pólizas de seguros que les cubran en caso de “accidente lopd”.

    Responder
  6. 6

    Samuel Parra

    Hola JC. En la Memoria de 2007 no aparece, pero si miras la Memoria de 2006 verás donde se va la dotación presupuestaria.
    Para el ejercicio de 2006 se dotó a la AEPD con 9,45 millones de euros (puedes verlo en el libro rojo de los Presupuestos Generales del Estado para el ejercicio de 2006), en la Memoria te aparece un desglose (somero) de dónde se invierten esos 9,45 millones.

    Ahora bien, qué se hace exactamente con el dinero de las sanciones no lo sé… se lo quedará la Administración, pero en qué lo invertirá no lo sé.

    Sobre lo de los casos que comentas… la intencionalidad en un derecho fundamental como este, donde tan sólo el 9% de las empresas han procedido a inscribir sus ficheros en la AEPD… la intencionalidad a mi juicio no debería servir en muchos casos ni para atenuar la sanción.

    Un último apunte: a pesar de que el número de procedimientos sancionadores ha crecido respecto al año 2006 un 32,5%, en 2007 la Agencia recaudó menos dinero (un 19,44 %)…. lo mismo hasta escrito un mini post sobre esto…

    Yo nunca he visto ánimo recaudatorio por parte de la AEPD… seguramente porque no podrá disponer de ese dinero (digo yo).

    Responder
  7. 7

    santi sayas

    Yo estuve el dia 22 de Abril en Madrid en las jornadas que organizó la agencia como presentación del nuevo reglamento, y una persona preguntó al director sobre este tema.
    La respuesta fue que ese dinero iba a parar a la agencia y que se autofinanciaba con las sanciones.
    No obstante tampoco observo en la AEPD un excesivo afán recaudatorio. Dentro de los limites para cada tipo de infranción casi siempre ponen la sanción mas baja.

    Responder
  8. 8

    Samuel Parra

    Yo también estuve ese día en las jornadas… pero quizá lo estaba en un universo paralelo, porque yo escuché que la AEPD se financia por la dotación presupuestaria en los Presupuestos Generales del Estado (compruebalo tú mismo), y que el dinero recaudado con las multas iba a una cuenta corriente titular de la AEPD pero que no puede disponer de ella.

    Esto concuerda plenamente si lees las Memorias: los gastos se ajustan a la dotación presupuestaria.

    Responder
  9. 9

    santi sayas

    probablemente estuviera yo en el universo paralelo, y me quedé con que el dinero iba a una cuenta de la AEPD y yo di por hecho que era para autofinanciarse.

    Responder
  10. Pingback: La efectividad de las resoluciones de la AEPD en las Administraciones Públicas |

  11. 10

    Henry

    La AEPD se financia por las asignaciones en los presupuestos, y los funcionarios, incluidos los que trabajan en la Subdirección General de Inspección, no reciben ninguna asignación distinta del resto de los funcionarios del Estado. Sin embargo el dinero que se recauda engrosa una cuenta que forma parte del patrimonio de la Agencia que, en condiciones excepcionales y previa autorización del Ministerio de Hacienda, puede ser usada para sufragar los gastos de la propia Agencia.

    Por otro lado estoy de acuerdo con vosotros en que las multas que se imponen pueden llegar a cuantias muy alta, pero el verdadero problema es la falta de proporcionalidad: las multas no tienen en cuenta el nivel de renta o la situación de la empresa a la que se imponen. Una opción mas lógica es la que se aplica en los países nórdicos, en los que las multas dependen de la situación económica de los sancionados.

    Responder
  12. 11

    jc

    Lo siento, Samuel, pero no puedo estar de acuerdo contigo con el tema de la intencionalidad.

    Los derechos fundamentales se respetan con el simple hecho de no hacer nada. Si no mato a alguien, si no menoscabo su integridad física o moral.. si no le privo de su libertad… o si simplemente no vulnero su intimidad, estoy respetando sus derechos.

    Pero si un tercero desconocido o incluso el propio interesado (aunque con 10 años), me da sus datos, y esto desencadena un proceso automático, cómo puedo ser responsable?

    En mi opinión, con estas sanciones, la Agencia no buscaba proteger un derecho fundamental. Los accidentes, raramente tienden a repetirse. Y no creo que se pueda considerar “víctima” a alguien que ha recibido una comunicación comercial no deseada.

    Responder
  13. 12

    Samuel Parra

    Saludos jc.
    Te entiendo perfectamente, pero en esta esfera lo cierto es que la simple inobservancia no sólo conlleva el no respetar el derecho fundamental a la protección de datos sino además incurres en responsabilidad con total seguridad.

    La Constitución habla de que “la Ley limitará el uso de la informática…”, y esa Ley es la LOPD. Esta LOPD establece unas medidas enfocadas a preservar ese 18.4 CE, y esas medidas son en su mayoría de acción/actividad y no de pasividad.
    Si un interesado te facilita sus datos personales puede ser bajo dos circunstancias:
    1º: Porque estás recabando datos y te los ha facilitado en ese contexto, entonces deberás estar a lo dispuesto en las leyes correspondientes, como la LOPD, y respetar sus directrices.

    2º: No estás recabando datos pero “te llegan”; entonces deberás abstenerte de hacer cualquier uso de ellos, y si no lo haces, entonces estate a lo dispuesto en la LOPD.

    Nos guste o no es lo que hay… te puedo poner un montón de ejemplos al respecto.

    Sentencia de la Audiencia Nacional dictada el 21/09/2005, Recurso 937/2003, que establece, “Además, en cuanto a la aplicación del principio de culpabilidad resulta que (siguiendo el criterio de esta Sala en otras Sentencias como la de fecha 21 de enero de 2004 dictada en el recurso 1139/2001) que la comisión de la infracción prevista en el artículo 44.3.d) puede ser tanto dolosa como culposa. Y en este sentido, si el error es muestra de una falta de diligencia, el tipo es aplicable, pues aunque en materia sancionadora rige el principio de culpabilidad, como se infiere de la simple lectura del Art. 130 de la Ley 30/1992, lo cierto es que la expresión “simple inobservanciaâ€? del Art. 130.1 de la Ley 30/1992, permite la imposición de la sanción, sin duda en supuestos doloso, y asimismo en supuestos culposos, bastando la inobservancia del deber de cuidadoâ€?

    Sentencia dictada el 19/10/2005, Recurso 925/2003, señala “Esa falta de diligencia configura el elemento culpabilístico de la infracción administrativa y resulta imputable a la recurrente, obviamente no precisa la concurrencia de dolo.â€?

    El Tribunal Supremo (Sentencias de 16 y 22/04/1991) considera que del elemento culpabilista se desprende “… que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable.â€?

    Por su parte, la Audiencia Nacional, en Sentencia de 29/06/2001, en materia de protección de datos de carácter personal, ha declarado que “… basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia…â€?.

    Por otra parte, la Audiencia Nacional en su Sentencia de 29/03/2006, Recurso 440/2004, señala “…la ausencia de intencionalidad resulta también secundaria ya que éste tipo de infracciones normalmente se cometen por una actuación culposa o negligente, lo que es suficiente para integrar el elemento subjetivo de la culpaâ€?.

    En definitiva, cuando uno establece un mecanismo para lo que sea (en este caso hablando de datos personales) deberá tener en cuenta si ese mecanismo puede vulnerar o no algún derecho, fundamental o no fundamental.

    Responder
  14. 13

    jc

    Excelentes precisiones, Samuel.

    En cualquier caso, el “ser” del derecho no es lo que yo discutía, sino el “deber ser”.

    En protección de datos, rara vez la cuantía de la sanción es proporcional al perjuicio causado… y más aún, teniendo en cuenta que casi cualquier incumplimiento se puede considerar, como mínimo, infracción grave por el 44.3.d).

    En fin, que espero no tener que vérmelas nunca con la Agencia, por la cuenta que me trae.

    Responder
  15. 14

    Pit

    Observen en la página 225 de la Memoria Anual del 2006 de la AEPD los montos de dinero en la cuenta de ingresos:
    – Multas y sanciones : 2.2 millones de €, sacados de las sanciones.
    – Transferencias corrientes: 242.000 €. Este es el dinero que recibe la AEPD del Estado.
    – Ingresos patrimoniales (Intereses de la cuenta acumulada): 275.000 €.
    – Remanente de Tesoreria: 7 millones de € (echan mano de la caja de las sanciones).

    Por otra parte, mas abajo en el punto de análisis de multas y sanciones, vemos que se impusieron sanciones por mas de 21 millones de €, pero solo se cobraron 9,5 millones. Así pues, no se cobra ni la mitad de las sanciones que se imponen. ¿puede ser efectivo un organismo así? ¿da esto seguridad jurídica? si eres listo, te libras, si eres bueno, te toca pagar unas sanciones “p’a cagarte”.

    La AEPD se financia de las sanciones, pero para todar cada euro de ellas necesita el permiso del Ministerio de Hacienda, no tiene libre disposición sobre ese dinero.

    Motivación de los funcionarios por sancionar, pues tampoco hay, cobran exactamente igual por un expediente archivado que por otro que termine en sanción. Es mas, dado que no existe correlación entre el crecimiento de las denuncias con el de los funcionarios dedicados a la inspección e instrucción, pues la presión es cada vez mayor y el futuro que le vislumbro a la AEPD es un bloqueo similar al que padecemos actualmente en los juzgados.

    Otra cuestión, el fondo pecuniario de la AEPD, ¿a cuanto asciende? En las cuentas de la Agencia de 2006, publicadas en el BOE de 12/10/2007, la AEPD disponía en tesoreria, a 31/12/2006, de algo mas de 24 millones de € fruto del remanente de las sanciones de años anteriores.

    Responder
  16. 15

    luis

    Me ha parecido entender que el fichero tiene que darse del alta antes de su creación. Pero alguien sabe si se puede dar de alta un fichero creado antes de su inspección? Regularizar la situación? A lo mejor es una pregunta tonta, pero esto descubriendo esto estos días. Muchas gracias.

    Responder
  17. 16

    Samuel Parra

    El fichero debe ser inscrito antes de su creación, y si no lo has hecho debes hacerlo cuanto antes. Si te viene una inspección y lo haces antes de la Resolución correspondiente te va a dar igual, ya que el tratamiento de datos se habrá hecho mucho antes de que la inspección vaya a visitarte, y lógicamente, ellos saben en que fecha inscribes.

    Responder
  18. 17

    Pit

    Es algo mas complicado: los inspectores pueden ver desde cuando se están recogiendo datos y desde cuando está inscrito el fichero. Si la recolección comenzó antes de la creación y lo comprueban, tienen una año desde la inscripción para abrirte un procedimiento sancionador. Si pasa mas de un año, la infracción habrá prescrito y te habras librado. Pero la inscripción no es lo mas importante, mas peligroso es no tener el Documento de Seguridad y tenerlo implantado. La falta de inscripción de un fichero son solo 600 €, pero la falta de medidas de seguridad son 60.000 €, y eso si que duele.

    Responder
  19. Pingback: Protección de Datos y los Boletines Oficiales | Protección de Datos

  20. 18

    JR

    JC si se trata de una “empresa” pública, SI está sujeta al régimen sancionador económico puesto que las únicas que se libran de ello son las AAPP que no es el caso de una “empresa” por muy pública que pueda ser. Por otra parte en cuanto a lo que dices que les traería al pairo que les sancionansen económicamente, a las AAPP, no estoy de acuerdo contigo porque la ley permite, incluso obliga a, repetir contra el/los funcionario/s responsables de ello. De modo que si tienen que pagar una multa y luego se van detrayendo de la nómina mes a mes un determinado importe hasta pagar la totalidad de la multa verás como no se lo toman a coña. Es así de fácil pero claro hay que querer hacerlo y eso es otra cosa porque en el sector público cualquiera que lo conozca mínimamente sabe que nadie quiere ponerle el cascabel al gato por aquélló de que nunca se sabe si al que empluman dentro de 2 años será el que mande y emplume al emplumador .

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *