GRABACIÓN ASESINATO EN LA CALLE POR CÁMARA DE VIDEOVIGILANCIA

Les cuento: en fecha 15 de julio de 2007 un tipo indeseable, en medio de la calzada de la calle Balmes de Barcelona, la emprende a navajazos con otra persona que, a resultas de las heridas sufridas, falleció.

Dichos hechos fueron captados por la instalación de videovigilancia de un establecimiento privado abierto al público. La casualidad quiso que las imágenes captadas por la cámara, además de grabarse, se podían visionar simultáneamente, en vivo y en directo,  en un monitor controlado por un vigilante, quien, al percatarse de lo que sucedía, accionó el zoom de la cámara para captar con mayor nitidez lo que estaba pasando. Como Uds. ya habrán podido deducir, la cámara captaba la imagen de la vía pública a lo grande: cogía toda la calle a lo ancho, hasta los edificios de la acera contraria. De limitarse a ese cachito residual e indefinido de vía pública del que siempre nos habla la AEPD  (el imprescindible para el buen fin de la videovigilancia) seguramente las cámaras no habría captado al agresor asestando hasta quince navajazos a la víctima en medio de la calzada.

La grabación realizada por la cámara de ese establecimiento se presentó como prueba en el proceso seguido contra el agresor, quien fue identificado en las imágenes como tal por distintas personas, celebrándose acto de juicio ante la Audiencia Provincial de Barcelona, Tribunal del Jurado.

El caso es que el abogado defensor del agresor  en el acto de juicio solicitó la nulidad de la grabación y de los reconocimientos efectuados sobre las imágenes, alegando incumplimiento de la normativaeleopediana, argumentando que una instalación de videovigilancia de carácter privado no puede captar imágenes de la vía pública, lo que está reservado a los Cuerpos y Fuerzas de Seguridad. Y como eso suponía la vulneración de la LOPD, y ésta tutela el derecho fundamental del 18. 4 de la Constitución, la prueba era nula, dado que merecen tal calificación las pruebas obtenidas vulnerando un derecho fundamental.

La Audiencia Provincial en su sentencia de fecha  30 de septiembre de 2010 desestima dicha pretensión sobre la base del siguiente argumento:

Estamos en el caso de una cámara de videovigilancia instalada en un establecimiento abierto al público como es la Mutua Universal de la calle Balmes- esquina gran Vía de les Corts Catalanes, que tiene su cobertura legal en la Ley 23/1992, de 30 de julio  de Seguridad Privada ( art. 5 .e.) y en la ley Orgánica 1/1992 de protección de Seguridad Ciudadana y RD 2364/94, de 9 de diciembre que la desarrolla, cámara de videovigilancia sometida a un cierto control administrativo por parte de la Agencia Española de Protección de datos – Instrucción 1/2006, de 8 de noviembre  -, cuyo incumplimiento podrá dar lugar a correcciones administrativas pero que no invalida las imágenes que capten a efectos procesales si no invaden derechos fundamentales.

En las filmaciones y grabaciones de la cámara de la Mutua Universal puede verse la calle Balmes, que es una calle pública, y no un lugar cerrado.

Y el azar ha querido que el día de los autos dicha cámara grabara las imágenes ocurridas en el momento de los hechos, sobre las 8,15 horas del día 15 de julio de 2007, en la calle Balmes, en un supuesto en que se investiga un supuesto delito de asesinato, siendo un supuesto de “flagrancia”, por lo que en un juicio de proporcionalidad- STC 207/1996  – debe prevalecer la investigación y esclarecimiento de un delito tan grave, y su prueba , sobre la simple captación de la imagen de la persona del delincuente, un supuesto derecho de personalidad del acusado.

Como señala el Auto del Tribunal Supremo de 11 de enero de 2007  ” los supuestos en que es preceptiva la autorización judicial para captar imágenes de personas sospechosas en los que se proceda clandestina o subrepticiamente, son sólo los que recaen sobre lugares que deban calificarse de cerrados por desarrollar en ellos tales sospechosos su vida íntima ( STS núm. 1733/2002 de 14.10.2002 ). Nada obsta en cambio, a que un establecimiento privado decida dotar sus instalaciones con mecanismos de captación de imágenes, en su propia seguridad y en prevención de sucesos como el enjuiciado, siempre que las videocámaras se encuentren en zonas comunes, es decir, excluyendo aquellos espacios en los que se desarrolle la intimidad – v. gr.: los aseos-” (Vide también STS 15.9.1999 ).

Ninguna manipulación ha tenido lugar, pues el vigilante de Mutua Universal al ver los hechos se limitó a aplicar el zoom para  así intentar poder identificar al autor del hecho criminal, compareciendo como testigo en el juicio oral.

La sentencia dictada por la Audiencia Provincial condenó al agresor,  como autor penalmente responsable de un delito de asesinato del artículo 139. 1ª del Código penal, sin la concurrencia de circunstancias modificativas de la responsabilidad criminal, a la pena de 18 años de prisión.

Sin embargo. dicha sentencia fue recurrida en plazo y forma en apelación por el letrado defensor ante el Tribunal Superior de Justicia de Cataluña(Sección  1ª de la Sala de lo Civil y lo Penal), ante el que reprodujo su argumentación sobre la nulidad de la grabación y donde tuvo una mejor acogida, pues le dieron la razón. Así en su sentencia  11/2011, de 5 de mayo, la sala se pronuncia en los siguientes términos en los fundamentos jurídicos 3º y 4º:

…resulta obligado considerar que la captación y grabación de la imagen “identificable” del acusado llevada a cabo sobre las 8 horas del día 15 julio 2007 por la cámara de vídeo instalada en la fachada del edificio privado ubicado en el número 19 de la calle Balmes de Barcelona sí vulneró el derecho fundamental del mismo a la protección de su imagen (además del de otros, lo que justifica que se dé cuenta a la AEAP a los efectos oportunos) como “dato personal” (art. 18.4 CE ).

La consecuencia directa es que la prueba de cargo así obtenida y utilizada en el presente procedimiento debe considerarse nula, art. 11.1 LOPJ

En efecto, tanto el visionado del DVD (f. 964) como el examen de los fotogramas impresos de diversas escenas del mismo (f. 166 a 172), permiten comprobar que la perspectiva y el ángulo de visión ofrecidos por la cámara de videovigilancia exceden notablemente de lo que es permisible en atención a la finalidad que justificó su instalación (la seguridad particular de un edificio perteneciente a una compañía mutualista), al captar en su posición fija imágenes de los edificios circundantes, incluidos los situados en la acera de enfrente, así como de todos los vehículos y  de todas las personas que transitaban por esa calle, en toda su amplitud, con un horizonte de visión que llegaba a varias manzanas de casas de distancia, calle arriba.

El visionado del DVD permite comprobar también que la cámara en cuestión estaba dotada de una movilidad rotatoria plena, de modo que podía llegar a girar para adoptar distintos ángulos de visión de la vía pública y de los edificios de la misma, así como de un efecto zoom o de acercamiento al objeto divisado, de modo que podía obtener -de hecho, obtuvo- primeros planos de las personas que transitaban o se detenían, incluso en la acera de enfrente, haciéndolas perfectamente reconocibles.

Por lo que se refiere en concreto a la escena de la que fueron protagonistas el agresor y su víctima, la misma se inició con el plano totalmente abierto y la máxima amplitud de campo de visión, de manera que no es posible reconocer sus rostros en la grabación, pero sí contemplar toda la secuencia del ataque, que comenzó en la acera de enfrente y, tras una corta persecución, concluyó, por lo que se refiere a la agresión misma, en medio de la calzada, y más concretamente en el segundo carril de circulación a contar desde la acera del edificio vigilado, tras lo cual se observa como la víctima huye malherida calle abajo, mientras que el agresor continua en el lugar, según parece buscando algún objeto extraviado que finalmente encuentra y se mete en el bolsillo, accionando el vigilante por momentos el zoom sobre su figura, al parecer intentando centrar el plano y lograr una buena definición sin conseguirlo del todo, y lo sigue con la cámara hasta que se acerca a la puerta de un local (Jet Set ), situado al lado contrario de la calle, apreciándose en las imágenes de forma imprecisa que el agresor tiene el brazo y la mano derechos manchados de lo que parece sangre y cómo el portero del local le impide el acceso, después de lo cual el agresor se va andando tranquilamente calle arriba hasta doblar la esquina del chaflán con la calle Diputación, desapareciendo definitivamente del plano.

Toda esa escena tiene lugar fuera del campo de visión que le hubiera sido exigible a una instalación de seguridad privada respetuosa con lo dispuesto en la LOPD y demás normativa aplicable, en los términos a que antes nos hemos referido, y sólo hubiera sido admisible de haber cumplido los requisitos previstos en la L.O. 4/1997 .

 No cabe duda, por tanto, que en la medida en que una infracción como la descrita incide en la legitimación misma de la instalación de videovigilancia y afecta de manera directa al núcleo esencial del derecho fundamental objeto de consideración, la solución procesal aplicada es la única posible, atendido el tenor del art. 11.1 LOPJ, sin que sea posible atemperar sus consecuencias anulatorias, bien sea so pretexto del deber legal de la empresa de seguridad de entregar las imágenes a la Policía o a los jueces por razón del delito que documentan (art. 11.2.d LOPD, ya que dicho deber no exime de la corrección de la instalación, sino que la presupone; bien sea con el argumento del juicio de proporcionalidad entre la importancia y trascendencia de la vulneración y la gravedad del delito filmado.

A este respecto, téngase en cuenta que, como declara el TC, aunque la prohibición de valorar en juicio pruebas obtenidas con vulneración de derechos fundamentales sustantivos no se halla proclamada en un precepto constitucional, tal valoración implica, sin excepciones, una ignorancia de las garantías propias del proceso (art. 24.2 CE ) y una inaceptable confirmación institucional de la desigualdad entre las partes en el juicio, y, en virtud de su contradicción con ese derecho fundamental y, en definitiva, con la idea de proceso justo, debe considerarse prohibida por la CE ( SSTC 114/1984  -FJ5 -, 81/1998  – FJ2-; 69/2001  -FJ26 – y 66/2009 -FJ4-).

Es más, esa prohibición atañe no sólo a los resultados directos de la vulneración, sino que se extiende a cualquier otra prueba derivada de ella, siempre que exista una conexión directa o indirecta entre ambos resultados probatorios ( SSTC 85/1994  -FJ 4 -, 86/1995  -FJ3 -, 181/1995 -FJ4 -, 49/1996, de 26 de marzo  -FJ3 – y 54/1996  -FJ8-).

En última instancia, tampoco puede soslayarse la anulación de la prueba, forzando la  interpretación de los hechos, sobre la base de que la cámara fue accionada manualmente por el vigilante de seguridad durante buena parte de la escena que hemos descrito, hasta el punto de no ser aquélla más que el instrumento técnico que éste utilizó para documentar su testimonio personal, porque lo cierto es que -según lo que dicho testigo manifestó ante el Jurado- él sólo vio la agresión por medio de la cámara de videovigilancia y no pudo hacerlo directamente, circunstancia ésta que, conforme a lo razonado, incide en la vulneración del derecho considerado y, por tanto, deberá conllevar, igualmente, la anulación de su propio testimonio.

Para su tranquilidad, les diré que pese a la brillante estrategia de su abogado defensor, la anulación de la validez de la grabación como medio de prueba no fue suficiente para la revocación de la sentencia, por cuanto la existencia de otros elementos probatorios derivados de otros medios probatorios propuestos y practicados en causa permitieron la confirmación de la sentencia, ratificada en febrero de este año 2012 por el Tribunal Supremo.

En todo caso, el razonamiento del Tribunal, si bien desde un punto meramente formalista es correcto, lo cierto es que… uffff, da mucho que pensar, ¿no creen ustedes? Yo no pondría en tela de juicio la argumentación del Tribunal si lo que se pretendiera con esas imágenes es sancionar a un señor que ha aparcado en un carga y descarga, pero un asesinato en la vía pública…   ¿Es proporcional la decisión del Tribunal teniendo en cuenta los intereses en juego y que la captación de las imágenes tiene lugar en la vía pública, no en una zona privada o íntima y de forma casual, por mucho que la cámara capte un espacio que no podría en principio? ¿Y si lo que hubiera captado la cámara fuera un comando terrorista justo antes de cometer un atentado y gracias a esas imágenes se hubiera podido identificar a uno de sus miembros, hubiera llegado el Tribunal a las mismas conclusiones? ¿Y si hubiera sido el único medio de prueba disponible? Ahí dejo esas preguntas, para que ustedes inicien debate al respecto, que el tema lo merece.

Por cierto, como colofón, decirles que al Tribunal Superior de Justicia  no se le ocurrió otra cosa que mandar testimonio a la Agencia Española de Protección de Datos a los efectos de que abriera actuaciones previas contra la entidad privada que facilitó la grabación, incentivando y promocionando con esta decisión la colaboración ciudadana. Qué majetes, ¿verdad? Como esta práctica se difunda mucho, los Cuerpos y Fuerzas de Seguridad para pedir las imágenes grabadas por instalaciones privadas van a tener que presentar primero salvoconducto para el titular de la instalación, firmado por el Ministro de Justicia. Pero ojo, que si éste resulta que sigue siendo el Sr. Ruíz Gallardón… pues a lo mejor encima le cobra una tasa por expedición de aquel, vayan Uds. a saber.

MULTAS LOPD

Los datos personales están protegidos por ley, y vulnerar el derecho a su protección es un delito que se paga en función de la infracción cometida. Se califican de leves, graves o muy graves.

Infracciones leves de la LOPD

a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.

b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.

c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal, cuando los datos sean recabados del propio interesado.

d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Infracciones graves de la LOPD

a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley.

c) Tratar datos de carácter personal o usarlos vulnerando los principios y garantías establecidos en el artículo 4 de la presente Ley.

d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.

g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal, sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

i) No atender los requerimientos de la Agencia Española de Protección de Datos o no proporcionarle los documentos e informaciones que sean solicitados.

j) La obstrucción al ejercicio de la función inspectora.

k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley.

Infracciones muy graves de la LOPD

a) La recogida de datos en forma engañosa o fraudulenta.

b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley, salvo en los supuestos en que la persona lo autorice, o violentar la prohibición contenida en el apartado 4 del artículo 7.

c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.

d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos, salvo en los supuestos en los que conforme a esta Ley y cuando la autorización no fuera necesaria.

Sanciones por infringir la Ley de Protección de Datos

Infringir esta ley trae consigo una sanción en forma de multa que se pagará en función de la infracción cometida. En el caso de las infracciones leves, la multa está entre los 900 y los 40.000, las graves entre los 40.001 y los 300.000, y las muy graves entre los 300.001 y los

Para cuantificar y valorar el valor exacto de la multa, se tienen en cuenta una serie de criterios que exponemos a continuación.

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.

c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

d) El volumen de negocio del infractor.

e) Los beneficios obtenidos tras la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad del infractor.

El órgano sancionador establece la cuantía teniendo en cuenta la gravedad de la infracción, y si se cumplen alguno de los siguientes supuestos:

a) Cuando se aprecie una disminución de la culpabilidad del imputado o de la antijuridicidad del hecho.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.

d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.

De forma excepcional, el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave.

b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.

En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley.

El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios.

LUCÍA VERA HERVÁS

Madrid

27-11-201419:13

LOS SERVICIOS BÁSICOS ADDEPI

Primero: ADAPTACIÓN LOPD

(Suministro de todo lo necesario para el cumplimiento LOPD por parte de los obligados en el plano legal)

Descripción del servicio: 

1 Primera auditoria/ informe de cumplimiento: es el estudio de la situación de la empresa dando como resultado un informe de las actuaciones a emprender. 

2 Identificación / alta de los ficheros: detectados los ficheros, la calidad de los datos y sus usos previstos se determina el grado de seguridad de los mismos y se procede a su inclusión en la agencia española de protección de datos o AEPD. 

3 Confección del libro o documento de seguridad: este será la guía a seguir por toda la empresa, para el correcto seguimiento dela ley. Este documento deberá ser actualizado según cambien las circunstancias en él recogidas. 

4 Confección de los contratos con los trabajadores: todos los trabajadores usuarios o con acceso a datos personales han de ser informados de sus obligaciones y las posibles consecuencias del incumplimiento de estas teniendo que estar recogido en un contrato. 

5 Confección de todas las cláusulas y avisos al ciudadano: el ciudadano ha de estar informado de sus derechos en todo momento, tanto a la recogida de sus datos como en las comunicaciones posteriores de toda índole. 

6 Documentación para la actuación ante el ejercicio de los derechos ARCO de los ciudadanos: cuando se ejercen los derechos de acceso, rectificaron, cancelación u oposición hay que proceder en un breve plazo, sabiendo exactamente la dinámica. 

7 Confecciones de los contratos con terceros: este apartado hace referencia a la cesión de datos personales a terceros, para la realización de facturas, seguros, nominas, publicidad, reclamación de deudas, etc. La ley exige que estos cumplan el mismo grado de seguridad, que el responsable del fichero. 

8 Medidas de seguridad informáticas: estas medidas serán supervisadas, para el efectivo cumplimiento LOPD, teniendo que adaptarse al grado de seguridad indicado para cada el fichero. 

9 Control de la Video vigilancia: esta será supervisada para que no incumpla la ley

ESCRIBIENDO DE NUEVO.

Bueno hace tiempo, que no escribo nada en este blog y han pasado muchas cosas, por ejemplo hace poco se ha desarticulado una red, que se dedicaba al trafico de datos personales y es una noticia buena , que se este procediendo de esta forma.

También ha surgido un denunciador de la situación de los funcionários con respecto a los datos de las personas. este señor, abogado en ejercicio viene denunciando a la Junta de Andalucía, por permitir, que el personal no funcionario maneje datos confidenciales de las personas, cosa que proibe la ley de administraciones publicas.

ADDEPI Asociación LOPD

Ante la necesidad de Difundir los Derechos Fundamentales de los Ciudadanos referentes a lo personal y la intimidad, derechos que nos pertenecen a todos, nace la
Asociacion para la Difusion de los Derechos Personales y de Imagen. (ADDEPI, a partir de ahora.) 

ADDEPI, para conseguir sus objetivos, plantea asesorar a sus miembros, personas preocupadas por su privacidad e intimidad, para que conozcan y puedan ejercer sus derechos. Asi mismo, asociando a personas fisicas y juridicas, poniendo a su alcance los medios disponibles para que cumplan las obligaciones relacionadas con los derechos mencionados.

En España y al amparo de la Ley de Proteccion de Datos Personales (LOPD), nacen estos derechos y obligaciones, regulados en Internet por Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)

El deber de secreto.

Sábado 2 de octubre de 2010

El deber de secreto: una obligación de resultado
Hoy les comentaré la R/01633/2010 (Procedimiento Nº AP/00081/2009) de la Agencia Española de Protección de Datos. Ya verán qué interesante.Los hechos son los siguientes: Una persona es detenida por la policía, que procede a registrar sus datos, incluyendo la fotografía que se le toma en comisaría, en el fichero denominado PERPOL. PERPOL es una base de datos común a todas las comisarías, sometida a las medidas de seguridad de nivel alto, en atención al tipo de datos tratados. Pocos días después, esa misma fotografía aparece publicada en el diario “EL MUNDO” del 12 de mayo de 2009 (los que tengan mejor memoria recordarán que este día se publicó la fotografía que consta en la ficha policial del Señor Correa, por lo que lo más probable es que sea el denunciante en este procedimiento).
El Fichero PERPOL, de nivel alto, dispone de un sistema de registro de accesos (art. 103 RLOPD), que permite determinar que se han producido siete consultas de la ficha del denunciante:- Tres accesos correspondientes a funcionarios destinados en la unidad del organismo denunciado que tramita las reseñas y fichas policiales- Dos accesos de un funcionario destinado en la unidad del organismo denunciado que interviene en la instrucción de la diligencias previas por las que el denunciante está imputado
- Dos accesos de un funcionario destinado en una comisaría de Coslada-San Fernando, que no fueron motivados debidamente.
Este funcionario de Coslada fue imputado como presunto autor de delitos de revelación de secretos, descubrimiento de secretos, violación de secretos y cohecho.
El organismo denunicado había implantado las medidas de seguridad correspondientes al tipo de daos tratados, que luego permitieron determinar quién podría haber llevado a cabo la filtración. No se puede decir que existiera falta de diligencia. De hecho, en la resolución de la Agencia, se indica lo siguiente:
"Tanto en las alegaciones realizadas por el organismo denunciado como en el acta de la inspección llevada a cabo por inspectores de esta Agencia se concluye que:
- Se ha adoptado un control de accesos restringido y limitado al fichero PERPOL, únicamente pueden acceder los funcionarios del organismo denunciado que cuentan con autorización expresa para ello. Para la concesión de esta autorización se requiere que se formalice una petición por el responsable policial del funcionario propuesto justificando la necesidad de la misma para el desarrollo de las funciones que éste tiene encomendadas.
- La autorización implica la asignación de un usuario, que coincide normalmente con el número del Documento Nacional de Identidad, más una clave y una contraseña de libre designación por cada usuario. Estas últimas son obligatoriamente cambiadas de forma periódica al exigirlo la propia aplicación.
- Existe definido un time-out en el fichero, de manera que transcurrido un período de inactividad se produce la desconexión de la aplicación de acceso al fichero.
- Se dispone de una aplicación, CAUPOL, que permite la realización de auditorías de los accesos realizados, persona que lo ha efectuado, datos consultados, día, hora y año de la consulta, así como el ordenador desde el que se ha efectuado el acceso.
- Las solicitudes de autorizaciones se centralizan y se valoran en la Unidad de Documentación de Españoles y Archivo, concediéndose previo el cumplimiento de los requisitos antes expuestos.
El fichero PERPOL reúne las condiciones exigidas por la LOPD y a través de la aplicación CAUPOL, control de accesos de usuarios, el organismo denunciado pudo comprobar que entre los días 11 de febrero a 4 de marzo de 2009, hubo siete accesos a la ficha policial del denunciante pertenecientes a tres usuarios diferentes autorizados"Sin embargo, la Agencia abrió un procedimiento de declaración de infracción de las Administraciones Públicas ¿Qué había hecho mal el organismo denunciado? En realidad, nada, pero Monsieur le Directeur considera que ha vulnerado el deber de secreto (art. 10 LOPD) de acuerdo al siguiente razonamiento:"A pesar de las alegaciones del organismo denunciado, en lo que a la protección de datos atañe no puede tenerse en cuenta la afirmación de que el deber de secreto es un deber que se exige a título personal. El artículo 43.1 de la LOPD determina que:
“los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente ley.”
Así pues en virtud de este artículo sólo los responsables de los ficheros y los encargados de los tratamientos pueden ser sujetos activos del régimen sancionador establecido en la LOPD, pues sólo a ellos les es aplicable el régimen sancionador que se diseña en la ley por medio de su artículo 43.1.
El responsable del fichero PERPOL es el organismo denunciado, la D.D.D., ya que tal y como define el artículo 3 d) de la LOPD, se entiende por responsable del fichero “a toda persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.” Como responsable del fichero, el organismo denunciado, por indicación expresa de la ley, está sujeto a su régimen sancionador.
Hay que señalar que la infracción del deber de secreto es una infracción de resultado y así lo ha establecido la Audiencia Nacional entre otras en la sentencia recaída en el recurso 205/2008 donde expresamente se señala:
“esta Sala tiene establecido como la infracción del deber de secreto es una infracción de resultado en la que lo relevante es que se llegue a producir la divulgación de un secreto”, o en la recaída en el recurso 471/2008 cuyo tenor literal expresa “la infracción tipificada en el art. 44.3 g) es una infracción de resultado que exige que los datos personales sobre los que exista un deber de secreto profesional…se hayan puesto de manifiesto a un tercero…”
Así pues lo relevante en esta infracción es que se produzca el resultado, que se vulnere la confidencialidad de los datos cuya custodia corresponde al responsable del fichero.
En este caso la confidencialidad se ha vulnerado al poner de manifiesto a terceros los datos personales del denunciante que posteriormente aparecieron publicados en varios medios de comunicación."
Este procedimiento no tuvo como resultado una multa económica, al tratarse de una Administración Pública. Si hubiera sido una empresa privada, ésta habría tenido que pagar por la actuación dolosa de un empleado. Es cierto que luego se podría exigir responsabilidad a éste en tribunales, pero eso no implica que parezca injusto que se atribuya culpabilidad objetivamente a los responsables de ficheros o encargados de tratamiento por una obligación personal, la de guardar secreto que corresponde a cualquiera con acceso a los datos.
Publicado por Ad Edictum en 10:33

AEPD

La Agencia Española de Protección de Datos (AEPD) ha hecho pública una Nota de Prensa (PDF) en la que anuncia que se han superado los dos millones de bases de datos inscritas por empresas y organismos públicos en el Registro General de Protección de Datos (RGPD).Los puntos más destacados del comunicado:
La cifra de ficheros inscritos por empresas y organismos públicos en los ocho primeros meses del año ha sido de 439.832, cifra que supera al total de los registrados en 2009 (380.177).
Las comunidades de propietarios son el sector con mayor número de notificaciones, acumulando la cifra de 241.000 ficheros, seguido del comercio con 212.761.
En relación a la finalidad de los ficheros registrados, la videovigilancia sigue su crecimiento de manera notable y aumenta en casi 23.000 en 2010 nuevos ficheros, alcanzando un total de 60.239.
Más de 729.000 entidades han inscrito sus bases de datos en el RGPD, una de las principales obligaciones legales que prevé la LOPD.
Por comunidades autónomas, Cataluña, Madrid y Andalucía son las regiones que mayor número de ficheros ha notificado.
El trámite de inscripción de ficheros en la AEPD es totalmente gratuito y puede realizarse en la Web de la institución mediante el sistema “NOTA”.
La Agencia Española de Protección de Datos (AEPD) ha alcanzado en el mes de agosto la cifra de 2.002.931 ficheros con datos de carácter personal inscritos en el Registro General de Protección de Datos, de los que 439.832 han sido inscritos en los ocho primeros meses del año 2010, cifra que supera el total de ficheros inscritos en 2009 (380.177). Entre los sectores con mayor actividad en la inscripción de ficheros, destacan los relacionados con la pequeña y mediana empresa y autónomos (comercio, turismo y hostelería); el sector inmobiliario (comunidades de propietarios y construcción), y el sector sanitario (sanidad y farmacia). Jerárquicamente destaca principalmente el número de bases de datos inscritas por las comunidades de propietarios, que ya ha superado la cifra acumulada de 241.000 ficheros registrados, y ha registrado un crecimiento en 2010 superior al 23%. En segundo lugar se encuentran las notificaciones realizadas por el sector del comercio que cuenta con 212.761 ficheros, y que aumenta asimismo por encima del 24% respecto al año anterior. En tercer lugar se sitúa el sector sanitario con 154.004 ficheros inscritos, seguido de las actividades de auditoria, contabilidad y asesoría fiscal, que cuentan con 108.872.Con respecto a la finalidad por la cual se inscriben los ficheros, es destacable el aumento que sigue experimentando en los últimos años la notificación de los ficheros de videovigilancia. Actualmente, la cifra total de ficheros inscritos que declaran esta finalidad es de 60.239 ficheros, de los cuales 22.820 ficheros han sido inscritos en los ocho primeros meses de 2010. Asimismo, cabe destacar que los sectores de comercio (12.530) y turismo y hostelería (7.398) son actualmente los que mayor número de ficheros de videovigilancia notifican, seguidos de las comunidades de propietarios que se perfilan, cada vez más, como uno de los ámbitos en los que la videovigilancia tiene mayor presencia. Titularidad de los ficherosEn cuanto a la distribución de los ficheros según la titularidad de los mismos se desprende que de los más de dos millones de ficheros inscritos en el registro, 104.443 de ellos son de titularidad pública y 1.898.488 son de titularidad privada habiendo sido inscritos por más de 729.000 entidades hasta la fecha, cumpliendo así con una de las obligaciones legales que se prevén en la Ley Orgánica de Protección de Datos (LOPD).Por comunidades autónomas, Cataluña (382.370), Madrid (277.703) y Andalucía (264.431) son las regiones que acumulan un mayor número de ficheros inscritos en el RGPD, seguidas a continuación por la Comunidad Valenciana y Galicia. Cumplimiento de la obligación legal de notificación La LOPD obliga a todos organismos y entidades públicas y privadas a dar de alta sus ficheros que contengan datos de carácter personal (por ejemplo: ficheros pacientes, asociados, fichero nóminas, fichero clientes, etc.) en el Registro General de Protección de Datos, con el objetivo de que los ciudadanos puedan conocer quien trata sus datos y ejercer los derechos acceso, consulta, rectificación, oposición y cancelación de sus datos personales recogidos en ficheros. La AEPD cuenta para tal fin con un catálogo de ficheros de titularidad pública y privada, inscritos en el RGPD, que se actualiza mensualmente, y cuya consulta esta disponible en la página Web de la Agencia, www.agpd.es.El trámite de inscripción de los ficheros en el Registro General de Protección de Datos es totalmente gratuito, y para ello la AEPD tiene a disposición de todos aquellas entidades obligadas el formulario electrónico NOTA (titularidad pública y titularidad privada), a través del que deberán efectuarse las solicitudes de inscripción de ficheros. Este formulario permite la presentación de notificaciones a través de Internet, con y sin certificado de firma electrónica, y presentación en soporte papel. Asimismo, permite notificar de forma simplificada y precumplimentada los ficheros de titularidad privada de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, nóminas, recursos humanos y videovigilancia, y los de titularidad pública de recursos humanos, gestión del padrón, gestión económica o control de acceso.