Publicación de datos personales en disposiciones normativas

Recientemente se ha publicado el Real Decreto 1385/2008, de 1 de agosto, de traspaso de funciones y servicios de la Administración del Estado a la Generalitat de Cataluña en materia de comunicaciones electrónicas.

El tema en sí no es especialmente interesante. En virtud de dicho Real Decreto se transfieren competencias a la Generalitat de Catalunya en cumplimiento de lo establecido en el “Estatut” (aquél Estatuto Autonómico aprobado por una mayoría de una minoría).

A los efectos de lo que aquí importa, sorprende que en dicha norma se publique los datos personales (incluida nómina) del personal transferido a la Generalitat de Catalunya. No es poco frecuente esta práctica pero lo sorprendente de este caso es que se publica también el salario de estas personas.

La AEPD que suele mostrarse muy vehemente y rauda cuando de la lesión a la intimidad se trate por parte de presuntos autores, colaboradores o testigos en causas criminales (caso por ejemplo de la investigación a centros abortistas donde interfirió en el trabajo de la justicia en la averiguación de unos hechos delictivos aquí) no muestra la contundencia actitud cuando los titulares de los datos son modestos trabajadores.

Pero lo peor de todo no es la publicación de la nómina de estas personas sino la dificultad sobrevenida para los titulares en controlar la circulación de su datos. Cualquiera que quiera tratar estos datos en el futuro podrá aducir que han sido obtenidos de una fuente accesible al público de conformidad con lo establecido en el artículo 3 de la LOPD y 7 del Nuevo Reglamento lo cual exime del cumplimiento de algunas obligaciones:

- Artículo 5.5: excepción al deber de información en el plazo de tres meses cuando se usen los datos con fines comerciales. En este caso, habrá que informar del origen de los datos y de la identidad del responsable.
- Artículo 6: excepción al consentimiento para el tratamiento si el responsable busca satisfacer un interés legítimo.
- Artículo 11: los datos obtenidos de fuentes accesibles al público podrán ser transferidos sin necesidad de consentimiento del interesado.

Samuel Parra publicaba hace poco en su blog un interesante estudio sobre la incorporación de datos personales en sentencias judiciales. También Pablo F. Burqueño hacia referencia a esta cuestión. Sin embargo, no tengo conocimiento de que existan normas análogas para la incorporación de datos personales en las Leyes, Reales Decretos, Órdenes, Resoluciones, etc. Dentro de la Administración General del Estado existen normas reguladoras de la función legislativa que no se pronuncian no obstante sobre la pertinencia de incorporar datos personales en tales disposiciones:

- Ley del Gobierno

- Reglamento del Congreso

- Ley de Iniciativa Legislativa Popular

- Resoluciones de la Presidencia y de las Mesas del Congreso

Además, la previsión de que se publiquen electrónicamente los Boletines Oficiales (art. 11 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos) junto con las copias electrónicas de estos, hace aún más necesario la adopción de cautelas en la publicación de datos personales debido a la mayor difícultad que puede suponer corregir después el error.

Patinazo de la Agencia Española de Protección de Datos

Recientemente he tenido conocimiento de la Resolución de la Agencia Española de Protección de Datos de 31 de marzo de 2008 por la que la AEPD resuelve archivando actuaciones tras la denuncia presentada por el destinatario de un sms no autorizado. El mensaje hacía referencia a unos premios obtenidos por el destinatario y que no habían sido reclamados. Estaba redactado en castellano y su propósito era conseguir que el crédulo receptor enviara un SMS a un número corto de tarificación adicional ("Servicios de Tarificación Adicional").

Los servicios de tarificación adicional estaban regulados hasta este pasado mes de enero en la Orden PRE/361/2002 de 14 de febrero.De conformidad con la regulación vigente cuando acontecieron los hechos, los Operadores de Comunicaciones Electrónicas son los únicos a los que se les asigna numeración para estos servicios. Sin embargo, previa suscripción de un Contrato tipo, pueden atribuir la utilización de uno o varios números cortos a un abonado denominado "beneficiario" o "prestador de servicios de tarificación adicional". Este beneficiario, supuesto responsable de los servicios, acepta teóricamente un código de conducta aprobado para este tipo de servicios.

En el caso denunciado, el Prestador de Servicios de Tarificación Adicional Movilisto se limita a excluir cualquier responsabilidad aportando para ello un contrato con la entidad a la que ha subasignado dicho número. En respuesta a la solicitud de la AEPD, esta entidad se remite a una tercera y está a su vez a una cuerta que finalmente acaban refiriéndose a una LLC americana denominada INTERBAND.

Los razonamientos de la AEPD para archivar las actuaciones son los siguientes:

"En el presente caso, INTERBAND LLC entidad que aparece como contratante del número corto para el envío de comunicaciones publicitarias o promocionales a través del sistema de comunicación SMS, se encuentra fuera del territorio español y comunitario. Tampoco hay evidencias de que existan agentes o sucursales que actúen en su nombre en España."

Previamente, la Resolución cita los artículos 21 y 2 de la LSSI.

Finalmente, como ya hemos comentado se procede al archivo de las actuaciones por las razones señaladas.

Lo llamativo de la Resolución es que para la AEPD si no hay establecimento permanente en España la LSSI no es aplicable. La AEPD pasa por alto que no solo es aplicable en los supuestos del artículo 2 de la LSSI ("Prestadores de Servicios establecidos en España") sino que los artículos 3 y 4 establecen otros supuestos de conexión con la norma española diferentes.

Así, el artículo 3 se refiere a los casos en los que los servicios provenientes de otro país de la UE se prestan de forma directa, esto es, sin establecimiento (los llamados, "servicios transfronterizos") y el artículo 4 se refiere a este mismo tipo de servicios cuando tiene su origen en un país no miembro de la UE o del EEE.

En concreto el artículo 4 dice:

"A los prestadores establecidos en países que no sean miembros de la Unión Europea o del Espacio Económico Europeo, les será de aplicación lo dispuesto en los artículos 7.2 y 11.2.
Los prestadores que dirijan sus servicios específicamente al territorio español quedarán sujetos, además, a las obligaciones previstas en esta Ley, siempre que ello no contravenga lo establecido en tratados o convenios internacionales que sean aplicables."

Este artículo tiene dos objetivos distintos:

- En primer lugar, que los servicios que tienen su origen en terceros países no se beneficien de los principios de libre prestación de servicios vigentes en la UE. De esta forma, una autoridad nacional podría -hipotéticamente- restringir la prestación de determinados servicios provenientes de estos países sin necesidad de invocar la doctrina del TJCE, es decir, sin necesidad de invocar la seguridad nacional, la salud pública o el interés general. Es decir, España puede discriminar los servicios provenientes de un país por el mero hecho de provenir de ese país.

- En segundo lugar, más importante a nuestros efectos, que los prestadores de servicios que se dirijan específicamente al territorio español queden sujetos a las obligaciones establecidas en la ley, lo cual implica, no solo lo referente a la licitud o ilicitud del envío de comunicaciones comerciales por medios electrónicos (artículo 21) sino también todo lo referente a su contenido y derechos de los destinatarios (artículos 20 y 22).

En consecuencia, lo que debería haber hecho la AEPD es analizar si puede considerarse que los servicios de INTERBAND LLC van dirigidos específicamente al territorio español o no. En el caso presente, resulta evidente que tratándose de un número corto asignado a un operador de telecomunicaciones español y utilizarse números de teléfono de personas erradicadas en España, su vinculación con el territorio español es total.

Por tanto, no cabe sino confirmar la plena aplicabilidad de la LSSI a los servicios prestados por la empresa norteamericana. De otro modo, el régimen aplicable a los prestadores de servicios erradicados en la UE sería más pernicioso que el que tendrían prestadores provenientes de países terceros.

Nota: La regulación de la utilización de recursos públicos de numeración para la prestación de servicios de mensajes cortos ha sido modificada este año mediante la Orden ITC/308/2008 de 31 de enero. De esta manera, se intenta poner coto a ciertas prácticas abusivas que han proliferado en los últimos tiempos (puede leer más aquí). Además, se prohíbe expresamente en su artículo 8.4 las subasignaciones y transferencias del uso sobre números cortos que conllevan una compleja cadena de su sucesivos responsables.

El deber de reserva al término de la relación laboral

Acabo de recibir una copia de la Sentencia del Tribunal Supremo de 12 de mayo de 2008 de la sala segunda de lo Penal. En lo que importa a efectos de este blog, la Sentencia anula parcialmente la absolución a uno de los imputados por el artículo 279.2 del Código Penal:

"Artículo 279.
La difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien tuviere legal o contractualmente obligación de guardar reserva, se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.
Si el secreto se utilizara en provecho propio, las penas se impondrán en su mitad inferior."

El argumento utilizado en la instancia para la absolución fue el siguiente:

"(...) el Tribunal de instancia, en su fundamento jurídico segundo, entiende que no puede declarar responsable al acusado AAA, porque no se hallaba vinculado por ningún pacto de no concurrencia del que dimanara una obligación de reserva semejante a la que regía para el Sr. BBB, ni dicha obligación le venía impuesta legalmente una vez extinguida su relación laboral, conforme a las previsiones de los arts. 5 y 21 del Estatuto de los Trabajadores ."

Sin embargo, el Supremo desarrolla los siguientes argumentos en contra de este criterio:

"El deber de reserva, no terminó con el fin de la relación laboral, como pretende la Sala de instancia. El tipo del art. 279 CP aplicado, se caracteriza por la infracción de un deber extrapenal específico de guardar secreto que -según entiende la doctrina-, con independencia de la cláusula de duración determinada eventualmente contratada, se encuentra vigente, respecto de las personas que cesan en la empresa, mientras el secreto esté en condiciones de aportar un valor económico."

En otras palabras, la sentencia confirma el criterio científico de que ciertas obligaciones no pueden perder su exigibilidad al término de la relación jurídica de la que traen causa. Aunque es conveniente regular la confidencialidad y el secreto en los contratos cuando sea preciso o se intercambie información sensible, la exigibilidad de dichos deberes no puede tener su exclusivo fundamento en la concurrencia de voluntades pues en ese caso quedaría sin efecto en casos de resolución, anulabilidad o nulidad.