Hola a todos.
Inauguro
la sección del blog dedicada a comentar resoluciones de la AEPD que
puedan ser de interés. El tema de la resolución elegida para
dar el pistoletazo de salida es de lo más "curioso"
(parece más un episodio de un programa del corazón que otra cosa),
de las resoluciones que he podido leer hasta ahora. Os cuento (no os
perdáis detalle):
La
denunciante acude a la AEPD para quejarse de que cree que desde el
Instituto Nacional de la Seguridad Social y el Servicio
Público de Empleo Estatal se han consultado datos de su vida laboral
sin su consentimiento; resultando vulnerados, en consecuencia y
siempre según la opinión de la denunciante, el deber de secreto y
la propia LOPD. El caso tiene su miga porque, al parecer,
posteriormente recibió un mensaje desde el móvil de su exmarido con
el siguiente texto: “sé que
estas dada de alta en una empresa de trabajo temporal”.
En este momento, el intrépido lector se estará preguntando que qué
relación une a un hecho con el otro...pues aquí la tenemos: La
denunciante dice que las consultas realizadas sin su consentimiento
han sido efectuadas desde oficinas de Madrid, La Coruña y Badajoz.
La clave viene en esta última consulta: la agraviada cree que el
acceso a sus datos desde Badajoz lo ha realizado una funcionaria que,
curiosamente, comparte provincia de residencia con la nueva pareja de
su exmarido, ya que ambas son residentes en la hermosa provincia
extremeña. Y he aquí el quid
de la cuestión: la denunciante cree
que ha habido un chivatazo de su situación laboral actual por parte
de una funcionaria con oscuras intenciones. ¿No es curioso?
Se
procede a comprobar si efectivamente la funcionaria estaba autorizada
para acceder a ese tipo de información, si vulneró los deberes de
confidencialidad y secreto a los que está sujeta y la relación
existente entre la TGSS y el SEPE, dando como resultado los
siguientes puntos:
-La
responsable
de los ficheros accedidos
es la TGSS,
pero la cuestionada funcionaria desempeña sus actividades en el
SEPE. Una de las alegaciones realizadas por el SEPE era que los
accesos a la información que se realizan desde sus oficinas son en
calidad de cesionario y
no de encargado del tratamiento, por lo que consideraba que no le
eran de aplicación ni las obligaciones exigidas de seguridad por el
art.9 de la LOPD ni las sanciones correspondientes a ellas reflejadas
en el art. 44.3 de la misma Ley. En el mismo sentido, el SEPE rechaza
cualquier vulneración del art.10 de la LOPD pero a la vez, alega que
tomó medidas para conocer los motivos de los sospechosos accesos.
- Se
verifica que efectivamente la funcionaria, debido a las funciones que
desempeña en su trabajo y la relación existente entre el SEPE y la
TGSS, dispone de autorización para acceder al fichero en el que,
entre otros, están los datos de la denunciante, pero vence la teoría
de que el acceso realizado fue causa de un error y carente de
cualquier intencionalidad de realizar un uso inadecuado de la
información.
Finalmente,
la AEPD llega a la conclusión de que el SEPE actúa en calidad
de encargado del tratamiento, apoyándose en la definición de esta
figura recogida en el art.3.d de la LOPD; por lo que le
serían exigibles las responsabilidades que quería evadir y
las consecuentes sanciones. En el mismo sentido, se reconoce la buena
previsión de este organismo al tener las medidas técnicas y
organizativas necesarias; como el establecimiento de controles de
acceso y la auditoría que este Organismo hizo cuando tuvo
conocimiento de los hechos denunciados.
Los
accesos no consentidos denunciados por la agraviada se achacan en
todos los casos a errores de confusión con el DNI, y no a "búsquedas
a conciencia" y, en el mismo sentido, se acredita que el acceso
a los datos de la denunciante existe, pero no se ha podido probar que
la funcionaria realizara dicha búsqueda con "oscuras
intenciones" y tampoco que haya "dado el chivatazo" a
la nueva pareja de su exmarido (presuntamente y según lo sospechado
por la denunciante, unidos la funcionaria y el exmarido por un
vínculo de amistad con la nueva pareja de éste). Todo esto lo vemos
reflejado también en el Fundamento de Derecho X.
En
base a lo dispuesto, el procedimiento queda archivado.
Según
los Hechos Probados en la Resolución: "La vida laboral
es una base de datos gestionada por la TGSS a la cual accede el
Servicio Público de Empleo Estatal, para el ejercicio de sus
competencias".Esto lo pone la AEPD en relación con lo
dispuesto en el art 3 d) de la LOPD, el cual reza que se
entiende por responsable del fichero o tratamiento “a
toda persona física o jurídica, de naturaleza pública o privada, u
órgano administrativo, que decida sobre la finalidad, contenido
y uso del tratamiento.”.Basándose en esto, se considera al
SEPE encargado del tratamiento. En una relación de encargado de
tratamiento y responsable, el primero realiza un tratamiento sobre
los datos personales por cuenta del responsable; es decir: le presta
un servicio al "verdadero dueño de los datos", por lo que,
en ningún caso, supone una comunicación de datos ni resulta
exigible el consentimiento del interesado. Esto es diferente a la
figura del cesionario, que sí supone una comunicación de datos y
para la que sí es preciso el consentimiento del titular. En mi
humilde opinión, creo que la AEPD acierta al considerar encargado
del tratamiento al SEPE, basándose en la frase recogida en el
párrafo anterior. En los casos de comunicaciones de datos, el
cesionario y el cedente se desvinculan casi totalmente; mientras que
en las relaciones responsable vs encargado, existe una interconexión
duradera entre ellos. He aquí para mí el quid de la cuestión.
¿Qué
os ha parecido la historia? ¿No os parece más típico de un Sálvame
Deluxe que de un caso "jurídico"?.
Un
saludo y hasta la próxima!!!
Pdt:
Aquí os dejo el Enlace de la Resolución para que podáis
consultarlo: RESOLUCIÓN:
R/01659/2013.
Fue publicada el pasado 10 de Julio.