Boletín nº7 Julio 2009
 
       
Noticias de prensa
 
Las distintas varas de medir de la Agencia de Protección de Datos.
 
 

Fuente: M45

Escenario 1

El Juez Braga Palomino (en adelante "su Señoría"), después de meses sin poder tomarse un respiro, decide pasar un largo puente de vacaciones en un resort de lujo a orillas del Mediterráneo. Como su Señoría tiene bastante trabajo atrasado decide llevarse a su retiro vacacional unos cuantos expedientes de casos pendientes además de su ordenador portátil en el que tiene la costumbre de ir tomando notas que luego envía por correo al Secretario judicial para redactar las sentencias.

El lunes, su Señoría, bastante más descansado, llega a su despacho en el Juzgado con los expedientes bajo el brazo y su portátil en el maletín. Después de saludar a todo el mundo y relatarles con pelos y señales su maravilloso puente, deja los expedientes en la pila de expedientes revisados que tiene amontonados en una esquina de su despacho. Ni que decir tiene que el montón de los expedientes por revisar es mucho más alto y ocupa otras dos esquinas del despacho, además de parte de su mesa y una de las butacas destinadas a las visitas. Vamos, una auténtica leonera.

Con ánimos renovados, ante la visión que le produce el despacho, decide poner orden en todo ese desastre y ordena a los funcionarios a su cargo que se deshagan de los expedientes de casos resueltos con más antigüedad y que después avisen al servicio de limpieza para que hagan una limpieza a fondo por la tarde cuando él ya no esté, que les dejará el despacho sin cerrar con llave.

A los funcionarios no se les ocurre mejor forma para deshacerse de los expedientes que romperlos en dos y tirarlos el contenedor de la basura. Por la tarde, el servicio de limpieza realiza las labores encomendadas y como les sobraba algo de tiempo se ponen a ojear los interesantes casos que lleva el juez. Llegada la noche, un vagabundo que estaba buscando algo de provecho en la basura deja tirados fuera del contenedor los expedientes, que son encontrados por un vecino que estaba paseando a su perro y que decide denunciar su hallazgo ante la Agencia de Protección de Datos.

La Agencia abre un procedimiento de declaración de infracción, pero el Juzgado no tiene que pagar ninguna multa. El Juez aliviado, dice haber aprendido la lección, y decide elevar una solicitud para que un especialista en seguridad de la información y protección de datos realice una auditoría de su Juzgado y le de las pautas a seguir para que no vuelvan a ocurrir estas irregularidades.

Escenario 2

El gerente de la empresa Vamos que nos Vamos (en adelante "la empresa"), muy preocupado después de leer en el periódico una noticia en la que se relataba la fuerte sanción que la Agencia de Protección de Datos había impuesto a una empresa, se decidió a contratar los servicios de unos especialistas en seguridad de la información y protección de datos personales. Después de los trabajos desempeñados, el gerente está tranquilo porque la empresa cumple con las exigencias de la LOPD y además consiguieron certificarse en ISO 27001, todo un éxito para la empresa después de las dudas que suscitaba tener que afrontar un gasto tan alto no se considerado estratégico hasta entonces.

La empresa cuenta con 10 trabajadores que cobran sus salarios puntualmente gracias a la buena marcha que lleva la empresa. Precisamente, fue la cantidad de trabajo que deben afrontar lo que hizo que se incorporara de la Universidad a un becario en prácticas. El segundo día tras su incorporación, el becario extravió unos documentos con datos personales de clientes que había ido a recoger a la gestoría. Los documentos fueron encontrados por una persona que al abrirlos encontró la dirección de uno de los clientes y se los devolvió. Este cliente procedió a denunciar los hechos ante la Agencia de Protección de Datos.

La Agencia procedió a imponer una sanción a la empresa, por una infracción calificada como grave, consistente en una multa de 60.000 euros. La dirección de la empresa no pudo hacer frente a la multa impuesta y no le quedó más remedio que proceder al cierre de la misma.

Estas son las dos varas de medir que actualmente tiene la Agencia de Protección de Datos según se trate de una Administración Pública o de una empresa privada a tenor de lo dispuesto en el artículo 46 de la LOPD. ¿Es justo o injusto? Una norma es una norma y no me atrevería a adjetivarla como justa o injusta. Lo que está claro es que la secuencia definida en el escenario 1 es una práctica más o menos habitual en la Administración Pública española en la que no hay una concienciación en esta materia, y si el toque de atención de la Agencia sirve para que empiecen a tomar conciencia, bienvenido sea. Seguramente una multa a la Administración no tenga ese componente de escarmiento que sí pudiera tener en una empresa privada, pero no podemos generalizar y menos imponer unas sanciones cuyas cuantías son totalmente desproporcionadas y que pueden incluso hacer peligrar la viabilidad de la empresa sancionada.

En resumen, una sanción debe ser siempre un efecto secundario o derivado ante el incumplimiento de una norma jurídica, por lo que entiendo que la imposición de sanciones tanto a las Administraciones públicas como a las empresas ante un incumplimiento de las normas de protección de datos personales es completamente necesaria, pero bien es cierto que las sanciones que impone la LOPD son totalmente desmedidas, por lo que se debería abogar por una revisión a la baja de las cuantías de las multas a imponer.