Al hilo del asunto de #PRISM, cada vez más turbio y vergonzante para todos los estados implicados, leía un tweet de Jorge Campanillas que me recordaba una cosa a la que llevo tiempo dándole vueltas.
Es la hipocresía que se da alrededor de la protección de datos y el derecho a la intimidad de las personas.
No hace falta recordar que el Tribunal Constitucional señaló en su celebre sentencia 292/2000 la protección de Datos como un derecho fundamental y autónomo.
En cientos de ocasiones las resoluciones sancionadoras de la Agencia Española de Protección de Datos han destacado ese carácter de derecho fundamental como base para justificar la imposición de sanciones derivadas del incumplimiento del contenido de la Ley Orgánica 15/1999 de Protección de Datos.
Por supuesto que, no seré yo quien lo niegue, el derecho a gestionar nuestros datos de manera adecuada, sin intromisiones excesivas y sin que se perturbe nuestro derecho a disponer de ellos como queramos, es importante.
Y estoy de acuerdo en que, dentro o de manera independiente al derecho a la intimidad, se exija su respeto.
Lo que me parece hipócrita es una regulación cuyo único fin no es tanto la preocupación por el respeto a un derecho fundamental como otros intereses.
Es hipócrita la regulación, en primer lugar, y como se ha dicho en ocasiones, por que establece el centro de la protección de datos en función del lugar de tratamiento y no de la nacionalidad de los interesados, de las personas cuyos derechos fundamentales se ven afectados.
Si tan importante es el derecho a la protección de datos personales lo lógico es que obliguen a las empresas que tratan mis datos a que cumplan la ley, traten los datos donde los traten.
Además esto no sólo es contradictorio con esa visión de derecho fundamental, sino que ha fomentado el desarrollo de empresas cuyo negocio es el tratamiento de datos lejos de países de la UE, generando un problema de competitividad evidente.
Y en segundo lugar porque el legislador, que no es tonto, establece sanciones por el incumplimiento de la norma, pero ojo, no para las administraciones públicas, no, sólo para los ficheros mantenidos por el sector privado (lo que insólitamente incluye a ciudadanos particulares en ciertos actos).
Es decir, que si usted tiene una clínica privada y pierde unos expedientes, pagará una cuantiosa multa. Ahora bien, si es usted un hospital público y pierde los mismos expediente... pues un apercibimiento y poco más.
Es lógico que pensemos que no tiene sentido que las administraciones públicas se paguen sanciones a sí mismas, al final el dinero es de todos. Y tiene cierto sentido el argumento.
Pero lo que no tiene sentido es que, si estamos ante un derecho tan importante, tan protegible y tan reconocido, la administración no actúe de alguna manera. Porque cuando una administración es apercibida tras un procedimiento de la Agencia Española de Protección de Datos tampoco hace nada.
Si se comunican los datos médicos de un hospital público, por ejemplo, parece claro que se vulnera el derecho a la intimidad de los pacientes. ¿Y qué puede hacer la administración?
Pues es tan sencillo como iniciar un procedimiento de responsabilidad patrimonial, así se establece en el artículo 139 de la Ley 30/1992:
"1. Los particulares tendrán derecho a ser indemnizados por las Administraciones Públicas correspondientes, de toda lesión que sufran en cualquiera de sus bienes y derechos, salvo en los casos de fuerza mayor, siempre que la lesión sea consecuencia del funcionamiento normal o anormal de los servicios públicos."
Es decir, que la administración que pierde un número de expedientes está en condiciones de saber qué expedientes se han perdido y a qué ciudadanos se ha afectado. Y si se ha lesionado un derecho fundamental, pues lo lógico es que se reconozca.
Generalmente, cuando suceden este tipo de supuestos no se hace pública la identidad de los afectados, estos no se enteran, no reclaman y la administración sale indemne.
Si observamos la normativa, veremos que es posible el inicio de actuaciones de responsabilidad patrimonial de oficio. Así el artículo 5 del Real Decreto 494/1993 establece que:
"1. Cuando el órgano competente para iniciar el procedimiento de responsabilidad patrimonial entienda que se han producido lesiones en los bienes y derechos de los particulares en los términos previstos en el artículo 2 de este Reglamento iniciará el procedimiento regulado en este capítulo.2. La iniciación de oficio del procedimiento se efectuará siempre por acuerdo del órgano competente, adoptado bien por propia iniciativa, bien como consecuencia de orden superior, petición razonada de otros órganos o por denuncia.
La petición razonada de otros órganos para la iniciación de oficio del procedimiento deberá individualizar la lesión producida en una persona o grupo de personas, su relación de causalidad con el funcionamiento del servicio público, su evaluación económica si fuera posible, y el momento en que la lesión efectivamente se produjo.
3. El acuerdo de iniciación del procedimiento se notificará a los particulares presuntamente lesionados, concediéndoles un plazo de siete días para que aporten cuantas alegaciones, documentos o información estimen conveniente a su derecho y propongan cuantas pruebas sean pertinentes para el reconocimiento del mismo.
El procedimiento iniciado se instruirá aunque los particulares presuntamente lesionados no se personen en el plazo establecido."
Observen lo destacado del artículo 5, no sólo la administración afectada (y apercibida por la Agencia de Protección de Datos) puede hacer algo para resarcir la lesión del interesado, la propia Agencia puede instar la iniciación del procedimiento de forma que el daño que hayan sufrido los ciudadanos sea compensado. Y eso también es hipócrita.
Pero claro, administraciones denunciando a administraciones para que indemnicen a ciudadanos sería "poco serio". De hecho si buscan en la web de la Agencia de Protección de Datos no hay ningún resultado que lleve a una mención al Real Decreto 429/1993 (usando google tampoco).
Por ejemplo, si buscamos resoluciones destacadas de Administraciones Públicas en la web de la Agencia, veremos ejemplos de todo tipo en los que se declara que la administración X ha incumplido los artículos A y B de la LOPD, constituyendo una infracción grave, pero sin más.
¿No sería más coherente con esa visión de derecho fundamental que, aunque sea de vez en cuando, se instase por parte de la Administración afectada o de la propia Agencia un expediente de responsabilidad patrimonial?
Al menos algunos, ante ciertas sanciones al sector privado pensaríamos que hay un verdadero interés por lo que se hace con nuestros datos y no algo de afán recaudatorio.
Buen post, y toda la razón. Un par de comentarios al respecto:
ResponderEliminar-Sobre lo de "Y en segundo lugar porque el legislador, que no es tonto, establece sanciones por el incumplimiento de la norma, pero ojo, no para las administraciones públicas, no, sólo para los ficheros mantenidos por el sector privado".
Fíjate hasta donde llega la absurdez en este tema. Consorcio Regional de Transportes de la CMadrid, como es un organismo autónomo no puede ser sancionado económicamente. Por su parte, Metro, al ser una SA, sí. El abono para usarlo en el Metro, ese tratamiento de datos, quedaría sin sanción económica; mientras que las cámaras de vv del Metro, sí puede haber sanción pecunaria. Datos personales que se usan en el mismo espacio, cuya vulneración puede suponer sanción o no. Pero es que Metro SA, forma parte del Consorcio. Absurdo todo.
-En cuanto a responsabilidad patrimonial, lo único es que se puede instar sin necesidad de que la AEPD instruyese nada.
-Se habla mucho del DPO en el Reglamento de PD -que no está aprobado- pero si quitan las sanciones económicas, el DPO en las AAPP quedará para "el derecho al olvido".
-Soy partidario de sancionar a las AAPP. El viejjo axioma de "es que sería recaudar para la misma administración" no se sostiene. En UK sancionan y no pasa nada. Ah, y en medio ambiente, ámbito laboral...eso aquí.
Salu2
Me encanta este artículo David, y lo suscribo plenamente.
ResponderEliminarY me gustaría aportar un granito de arena, he encontrado algunas resoluciones donde se menciona ese Real Decreto 429/1993 (de pasada) y mira lo que se dice, por ejemplo, en el E/00191/2005: "Con respecto a la reposición de los perjuicios solicitada, el denunciante deberá promover el oportuno expediente de responsabilidad de las Administraciones Públicas, conforme a lo dispuesto en el Real Decreto 429/1993" y ya.
Lo mismo dice la AEPD en el E/01844/2009.
Como operador desde lo público de datos de carácter personal, más creo en que las Agencias de control puedan determinar la iniciación de expedientes disciplinarios contra los empleados públicos en los casos de determinadas infracciones o en función de su gravedad, que expedientes de responsabilidad patrimonial, que al final, no deja de ser pólvora del rey la que, en el mejor de los casos, se hará cargo de la indemnización, y eso igual en sede judicial con lo que actualmente tiene de problema añadido (profesionales, tasas, costas por vencimiento, etcétera). La sensación de impunidad efectivamente existe (no digo con ello que en sean dolosas), por cuanto que más allá de declarar la comisión de infracciones de todo tipo y condición, las Agencias no van más allá y el que la comete...bueno, irá a lo sumo a otro cursillo LOPD.
ResponderEliminar