1/9
Procedimiento Nº PS/00183/2008
RESOLUCIÓN: R/01538/2008 En el procedimiento sancionador PS/00183/2008, instruido por la Agencia Española de Protección de Datos a la entidad COALICION DE ASOCIACIONES Y SINDICATOS INDEPENDIENTES C.A.S.I., vista la denuncia presentada por Agencia De Proteccion De Datos De La Comunidad De Madrid, D. R.R.R. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 22/3/2007 tiene entrada en esta Agencia un escrito remitido por la Agencia de Protección de Datos de la Comunidad de Madrid adjuntando escrito de D. R.R.R. en el que declara que a mediados del mes de enero de 2007 ha recibido por correo ordinario en su domicilio particular, una carta procedente de COALICION DE ASOCIACIONES Y SINDICATOS INDEPENDIENTES (en adelante CASI), que contenía un escrito de exposición de su proyecto sindical y una solicitud para rellenar y poder concurrir a las elecciones sindicales del Ayuntamiento de Madrid. El nunca ha facilitado sus datos personales a ese sindicato y desconoce cómo los han conseguido. SEGUNDO: De la información facilitada por CASI se desprende lo siguiente: -
CASI se fundó en enero de 1995 y es el nombre actual de la antigua Coalición de Independientes que estaba formada por las asociaciones: FATAL, SIFAM y ATAGAM.
-
FATAL formalizó un acuerdo con el economato ECORE por el que sus afiliados y simpatizantes podían disfrutar de las ventajas de dicha organización. Este convenio funcionó desde el año 1992 hasta el año 2000.
-
Todo funcionario del Ayuntamiento que se considerara simpatizante de CASI podía al igual que sus afiliados, disponer de las ventajas de dicho Economato sin más que facilitar la dirección de correos a la que enviar la acreditación correspondiente en forma de carnet.
-
D. R.R.R. solicitó dicho carnet y disfrutó durante los años que permaneció vigente el acuerdo con ECORE de las ventajas correspondientes.
-
El 01/02/2007, el sindicato CASI recibió un escrito del Sr. R.R.R. por el que expresaba su deseo de ser dado de baja de la base de datos puesto que no quería recibir más documentación del sindicato, e informando que había denunciado en la Agencia de Protección de Datos para que investigaran de dónde había sacado el sindicato la información particular de su persona.
-
Esta carta la contestó el sindicato informándole que sus datos figuraban en sus ficheros dentro del archivo ECORE y que los datos los había facilitado él mismo para recibir el carnet. Atendiendo a su solicitud se eliminaban los datos personales del archivo.
c. Jorge Juan 6
28001 Madrid
www.agpd.es
2/9
-
El fichero ECORE se encuentra inscrito en la Agencia Española de Protección de Datos con código de inscripción ########. La finalidad es mandar información sobre temas sindicales a los trabajadores del Ayuntamiento por ellos autorizados.
TERCERO: Con fecha 23 de junio de 2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la entidad C.A.S.I. por la presunta infracción del artículo 4.2 de la LOPD, tipificada como grave en el artículo 44.3.d) de la citada Ley Orgánica.
CUARTO: Notificado el acuerdo de inicio del procedimiento sancionador, C.A.S.I. presentó escrito de alegaciones, en el que solicitan que se dicte resolución en la que se acuerde el archivo del procedimiento sancionador. Manifiesta CASI en sus alegaciones, que el uso que hicieron de los datos del denunciante no son contrarios a la Ley, pues fueron aportados por el Sr. R.R.R., quien no manifestó ninguna observación al respecto de limitar su uso. Alegan que no se han utilizado los datos personales del denunciante con fines incompatibles con aquellos para los que se recogieron, en primer lugar, porque como simpatizante del sindicato, en uso del derecho de libertad sindical, es lógico que en periodos de elecciones sindicales se intente atraer su voto, y en segundo lugar, “porque los datos fueron dados voluntariamente para beneficiarse del carné del economato ECORE, cuestión esta que fue precisamente la que se realizó”. Por último invocan la aplicación del artículo 24.2 de la Constitución sobre “la presunción de inocencia que ha imperado en las actuaciones de esa central sindical para con el tratamiento de los datos personales del Sr. R.R.R.”.
QUINTO: En fecha 25 de agosto de 2008, se acordó por la instructora del procedimiento la apertura de un período de práctica de pruebas, teniéndose por reproducidas, a efectos probatorios, las actuaciones previas de investigación desarrolladas por la Inspección de Datos de esta Agencia Española de Protección de Datos, señaladas con el número E/00648/2007. Se requiere a CASI aporte la ficha en la que se recogieron los datos del denunciante y la información que se le facilitó sobre su uso. Se requiere al denunciante que informe, si al rellenar la ficha con sus datos para solicitar el carné del economato ECORE, le informaron de la finalidad del fichero en el que los incluían. A estos requerimientos contesta sólo el denunciante diciendo que “al rellenar la ficha de datos yo creí que era exigencia para que me dieran el carné, pero en ningún momento autoricé a este economato a utilizar mis datos personales para su beneficio y no me informaron de la finalidad del fichero”. El sindicato CASI no ha atendido el requerimiento efectuado.
c. Jorge Juan 6
28001 Madrid
www.agpd.es
3/9
HECHOS PROBADOS
PRIMERO: Don R.R.R. solicitó y obtuvo el carné del economato ECORE a través del sindicato CASI. SEGUNDO: A mediados del mes de enero de 2007, el Sr. R.R.R. recibió por correo ordinario en su domicilio particular, una carta procedente de CASI que contenía un escrito de exposición de su proyecto sindical y una solicitud para rellenar y poder concurrir a las elecciones sindicales del Ayuntamiento de Madrid. (Folios 3 a 5) TERCERO: En febrero de 2007 el sindicato CASI recibió un escrito del Sr. R.R.R. por el que expresaba su deseo de ser dado de baja de la base de datos puesto que no quería recibir más documentación del sindicato, e informando que había denunciado en la Agencia Española de Protección de Datos para que investigaran de dónde había sacado el sindicato la información particular de su persona. (Folio 13) CUARTO: El sindicato le contestó que sus datos figuraban en sus ficheros dentro del archivo ECORE y que los datos los había facilitado él mismo para recibir el carné. Atendiendo a su solicitud se eliminaban los datos personales del archivo. (Folio 17) FUNDAMENTOS DE DERECHO
I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II Se alega en primer lugar por el denunciado, una concurrencia entre los derechos fundamentales de protección de datos personales y de libertad sindical, cuando dice que es “lógico y coherente” en uso del derecho de libertad sindical, intentar atraer a los “simpatizantes”. El derecho a la protección de los datos personales está previsto en el artículo 18.4 de la CE, bajo la referencia al uso de la informática, en la STC 292/2000, de 30 de noviembre, y en el desarrollo legal en la Ley Orgánica 15/1999 ya citada. Uno de los principios esenciales para la salvaguarda de este derecho es que ha de mediar el “consentimiento inequívoco del afectado” según el artículo 6.1 de la misma Ley. El derecho a la libertad sindical está previsto en el artículo 28.1 de la CE y su desarrollo legal está en la Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical, que establece en su artículo 2.1 que “la libertad sindical comprende: (…) d) El derecho a la actividad sindical”. Y su artículo 2.2.d) dice que “las organizaciones sindicales en el ejercicio de la libertad sindical, tienen derecho a: el ejercicio de la actividad sindical en la empresa o fuera de ella, que comprenderá, en todo caso, el derecho a la negociación colectiva, al ejercicio del derecho de huelga, al planteamiento de conflictos individuales y colectivos y a la presentación de candidaturas para la elección de Comités de Empresa y Delegados de Personal, y de los correspondientes órganos de
c. Jorge Juan 6
28001 Madrid
www.agpd.es
4/9
las Administraciones Públicas, en los términos previstos en las normas correspondientes”. Y su artículo 8.1 dice que “los trabajadores afiliados a un sindicato podrán, en el ámbito de la empresa o centro de trabajo: (…) c) recibir la información que le remita su sindicato”, que se extiende en el Estatuto de los Trabajadores a cuantos presten servicio en el centro de trabajo. En este caso concreto la actividad de la organización sindical imputada ha consistido en la remisión de información sindical al domicilio del denunciante, utilizando los datos aportados por él mismo para la remisión del carné del sindicato ECORE.
III
Debemos proceder a analizar la alegación sobre la presunción de inocencia por aplicación del artículo 24.2 de nuestra Carta Magna. En este sentido la Sentencia de la Audiencia Nacional en el Recurso número 29/2000, de 25 de mayo de 2001, en el Fundamento de Derecho segundo, señala: “Conviene recordar como el Tribunal Constitucional viene manteniendo que el derecho a la presunción de inocencia no puede entenderse reducido al estricto campo del enjuiciamiento de conductas presuntamente delictivas, sino que debe entenderse también que preside la adopción de cualquier resolución tanto administrativa como jurisdiccional que se base en la condición o conducta de las personas de cuya apreciación derive un resultado sancionatorio o limitativo de sus derechos, estando superada toda reticencia a este principio. De otro lado, la Sentencia del mismo Tribunal, de 20 de febrero – S 44/1989 – indica “Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor reo, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurrente aquella actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate. Desde la perspectiva constitucional la diferenciación entre la presunción de inocencia y la regla in dubio pro reo resulta necesaria en la medida que la presunción de inocencia ha sido configurada por el artículo 24.2 de la Constitución como garantía procesal del imputado y derecho fundamental del ciudadano protegible en la vía de amparo, lo que no ocurre propiamente con la regla in dubio pro reo, condición o exigencia subjetiva del convencimiento del órgano judicial en la valoración de la prueba inculpatoria existente aportada al proceso”. En este sentido no se considera que pueda alegarse presunción de inocencia cuando se ha probado en este procedimiento la remisión de información sindical al domicilio del denunciante utilizando los datos proporcionados para una finalidad distinta, incompatible: la obtención del carné de un economato. Cuestión esta reconocida por la propia entidad imputada cuando manifiesta que los datos fueron dados voluntariamente para beneficiarse del carné de ECORE.
c. Jorge Juan 6
28001 Madrid
www.agpd.es
5/9
IV En el presente procedimiento, se imputa a C.A.S.I. la infracción del artículo 4.2 de la LOPD. Con el fin de precisar la antijuridicidad de la infracción imputada, procede analizar, previamente, el principio de consentimiento consagrado en el artículo 6.1 de la LOPD, que dispone: “ El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. El tratamiento de datos de carácter personal sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo) “ consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporciona a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...)” . Son pues elementos característicos del derecho fundamental a la protección de datos de carácter personal los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. V La LOPD, además de sentar el anterior principio de consentimiento, regula en su artículo 4 el principio de calidad de datos que resulta aplicable en el presente procedimiento. El citado artículo 4 debe interpretarse conjunta y sistemáticamente con el transcrito anteriormente. El apartado 2 del citado artículo 4, dispone que: “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.”. El principio de calidad que prohíbe utilizar datos para una finalidad incompatible o distinta de aquella para la que los mismos fueron recabados, se contiene en el Título II de la LOPD, como uno de los principios básicos de la protección de datos. Las “finalidades” a las que alude este apartado 2 han de ligarse o conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”
c. Jorge Juan 6
28001 Madrid
www.agpd.es
6/9
En consecuencia, si el tratamiento del dato ha de ser “pertinente” al fin perseguido y la finalidad ha de estar “determinada”, difícilmente se puede encontrar un uso del dato para una finalidad “distinta” sin incurrir en la prohibición del artículo 4.2 aunque emplee el término “incompatible”. La Audiencia Nacional, en su Sentencia de fecha 15/06/05, considera que el artículo 4 de la LOPD establece una sutil distinción entre finalidad de la recogida y finalidad del tratamiento, “pues la recogida sólo puede hacerse con fines determinados, explícitos y legítimos, y el tratamiento posterior no puede hacerse de manera incompatible con dichos fines. Así pues, y de acuerdo con el artículo 1.b) de la Directiva 95/46/CE de 24 de octubre de 1995 (en cuya redacción se inspira el repetido artículo 4.2 de nuestra LOPD), si la recogida se hizo con fines determinados, cualquier uso o tratamiento posterior con finalidad distinta es incompatible con la primera finalidad que determinó la captura por lo que, en este contexto, diferente o incompatible significan lo mismo.” En definitiva, los datos no pueden ser tratados para fines distintos a los que motivaron su recogida, pues esto supondría un nuevo uso que requiere el consentimiento del interesado. En el caso que nos ocupa, el sindicato C.A.S.I. recabó los datos del denunciante con la única finalidad de proporcionarle el carné del economato sin que le informaran de la finalidad del fichero en el que incluían sus datos. A pesar de ello, CASI trató sus datos con el fin de enviarle información sobre su actividad sindical y pedirle su voto.
VI
El artículo 44.3.d) de la LOPD considera infracción grave: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.” En relación al tipo de infracción establecido en el citado artículo 44.3.d), la Audiencia Nacional, en Sentencia de 27/10/04, ha declarado: “Sucede así que, como ya dijimos en la Sentencia de 8 de octubre de 2003 (recurso 1821/01) el mencionado artículo 44.3 d) de la Ley Orgánica 15/1999, aun no siendo, ciertamente, un modelo a seguir en lo que se refiere a claridad y precisión a la hora de tipificar una conducta infractora, no alberga una formulación genérica y carente de contenido como afirma la demandante. La definición de la conducta típica mediante la expresión “tratar los datos de carácter personal ...” no puede ser tachada de falta de contenido pues nos remite directamente a cualquiera de las concretas actividades que el artículo 3.d) de la propia Ley incluye en la definición de “tratamiento de datos” (recogida, grabación, conservación, elaboración, ... de datos de carácter personal). Y tampoco cabe tachar de excesivamente genérico o impreciso el inciso relativo a que el tratamiento o uso de los datos se realice “... con conculcación de los principios y garantías establecidos en la presente Ley...”, pues tales principios y garantías debidamente acotados en el Título II del propio texto legal bajo las rúbricas de Principios de la Protección de Datos (artículos 4 a 12) y Derechos de las Personas (artículos 13 a 19)”.
c. Jorge Juan 6
28001 Madrid
www.agpd.es
7/9
El principio de calidad de los datos se recoge en el artículo 4 de la LOPD, y se configura, como ya se ha señalado, como un principio básico en materia de protección de datos, y así se recoge en numerosas Sentencias de la Audiencia Nacional, entre otras, las de fechas 25/05/01 y 05/04/02. En el presente caso se considera que el sindicato CASI es responsable de la infracción descrita, toda vez que vulneró el principio de calidad de datos, consagrado en el artículo 4.2 de la LOPD, cuando trató los datos del denunciante para fines incompatibles para los que fueron recabados, lo que encuentra su tipificación en el citado artículo 44.3.d) de la citada Ley Orgánica.
VII
De acuerdo con lo establecido en el artículo 45.2, 4 y 5 de la LOPD: “2. Las infracciones graves serán sancionadas con multa de 60.101,21 a 300.506,05 euros. 4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. La Audiencia Nacional, en sus Sentencias de 24 de mayo de 2002 y 16 de febrero de 2005, ha señalado en cuanto a la aplicación del apartado 5 del citado precepto que “... la presente regla debe aplicarse con exquisita ponderación y solo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos y concretos”. En el supuesto examinado, CASI solicita el archivo del procedimiento según las alegaciones ya descritas. En este caso, no se pueden ignorar las circunstancias apuntadas por el sindicato C.A.S.I., que se consideran de relevancia y trascendencia suficiente para apreciar una cualificada disminución de la culpabilidad de la entidad imputada, tal como la creencia de la utilización del derecho de libertad sindical para la remisión al denunciante del escrito de exposición de su proyecto sindical.
c. Jorge Juan 6
28001 Madrid
www.agpd.es
8/9
A este respecto cabe apreciar una cualificada disminución de la culpabilidad o de la antijuridicidad del hecho imputado, por cuando la utilización por parte de CASI de los datos de D. R.R.R. para remitirle a su domicilio particular un escrito de exposición de su proyecto sindical, se efectuó en la creencia de la utilización del derecho de libertad sindical y en la obtención válida de su consentimiento. En conclusión, en aplicación del artículo 45.5 de la LOPD y a tenor de los criterios de graduación de las sanciones recogidos en el artículo 45.4 de la LOPD, y , en especial, al volumen de tratamientos efectuados y a los perjuicios económicos causados al denunciante, se considera ponderada y proporcionada a la gravedad del hecho la imposición de una multa de 3.000 € (tres mil euros) por el incumplimiento del “principio de calidad de datos” recogido en el artículo 4.2 de la citada Ley Orgánica, que resulta del tratamiento de los datos del denunciante con fin distinto, remitirle un escrito de exposición de su proyecto sindical, a aquel para el que fueron recabados, obtención del carné del economato ECORE.
Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad COALICION DE ASOCIACIONES Y SINDICATOS INDEPENDIENTES C.A.S.I., por una infracción del artículo 4.2 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a COALICION DE ASOCIACIONES Y SINDICATOS INDEPENDIENTES C.A.S.I. con domicilio en (C/…………………………….), a la Agencia de Proteccion de Datos de la Comunidad de Madrid con domicilio en C/ Cardenal Marcelo Spinola, 14 - 3ª Planta - 28016 Madrid y a D. R.R.R. con domicilio en (C/……………………………). TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
c. Jorge Juan 6
28001 Madrid
www.agpd.es
9/9
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Madrid, 19
de noviembre de 2008
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
c. Jorge Juan 6
28001 Madrid
www.agpd.es