¿Se debe hacer caso a cualquier requerimiento de la Agencia?


Recientemente se ha publicado en la web de la Agencia de Protección de Datos, una resolución en la que se declara una infracción leve a un Hospital del Servicio Gallego de Salud. La resolución (que se puede consultar aquí), no tiene mucha historia: La Agencia, en la fase de recabar información para su Informe de cumplimiento de la LOPD en Hospitales, y en base a sus competencias, requirió al Hospital Xeral de Lugo que le enviara determinada información. El Hospital, hizo caso omiso del requerimiento (aunque posteriormente si que parece que le envió la información requerida). La consecuencia de todo ello: Declaración de infracción leve (no hace falta recordar que a una Administración Pública no se le sanciona económicamente).

Este “caso”, me hace pensar que si una Administración Pública (como es la Agencia de Protección de Datos), requiere el envío de información, más vale hacerla caso. Y para ello, sólo se debe acudir, por ejemplo, al  artículo 39 de la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, que regula el deber de colaboración de los ciudadanos.

Por otro lado, parece que últimamente se ha puesto de moda que la Agencia de Protección de Datos llame por teléfono a sus “administrados” (los responsables de fichero)  para “pedirles cuentas”. Sólo hace falta ojear alguno de los Grupos de Linkedin (pongo de ejemplo sólo uno) para ver estas actuaciones…

Bueno, en realidad, esto no es así, porque la Agencia de Proteción de Datos, no actua de esta manera, sino una pseudo-consultora cuyo nombre empieza por C y que está relacionada con el problema de Coste 0 (me remito a la entrada “Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral de la APEP “ que fue transcrita en este mismo blog). Antes de continuar, desearía realizar una reflexión: ¿La Agencia de Protección de Datos, no debería hacer algo per se para evitar estos hechos? Se me viene a la cabeza, por ejemplo, el artículo 402 del Código Penal.

Volviendo al hilo original de esta entrada, podemos sacar la sencilla conclusión de que la Agencia de Protección de Datos, si necesita alguna información, no se pondrá en contacto por teléfono ya que según la legislación administrativa (artículo 35 de la Ley 30/1992), los administrados tienen, por ejemplo, derecho a identificar a la Administración Pública cuando actúa y en una comunicación por teléfono, lo veo bastante complicado.

Así, pues, de todo lo expuesto, podemos sacar dos grandes conclusiones:

  1. La Agencia, cuando actúa, no lo hará por teléfono, sino por escrito.
  2. La Agencia, si envía un requerimiento o solicita una información previa, mejor contestar, porque en caso contrario, se estaría incumpliendo la normativa de protección de datos, como en el caso que se ha expuesto al inicio de esta entrada.
Ahora bien ¿y si la Agencia requiere una información por escrito en la que, en un principio, no exista una obligación a facilitarla?…Pongamos por ejemplo, ¿Y si la Agencia le solicitada por escrito a una operadora de telecomunicaciones que identifique el titular de una IP un día y una hora concreta? ¿Se debe facilitar la información ya que está actuando en virtud del artículo 40.1 de la LOPD? (Parece ser que es el artículo esgrimido por la AEPD para requerir esta información).

Autor: 

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados

del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo


Anuncios

7 Responses to “¿Se debe hacer caso a cualquier requerimiento de la Agencia?”


  1. 1 David 10/10/2011 en 08:57

    Hola:

    Te cambio la pregunta final un poco, sabiendo cual es mi respuesta a la que tú planteas…

    ¿Sancionaría el ministerio de industria, LGT mediante, al ISP que proporciona los datos de tráfico asociados a una IP a la Agencia?

    Un saludo.

  2. 3 Sergio Carrasco 10/10/2011 en 11:13

    Yo particularmente separaría el “se debe hacer caso” del “se deben facilitar los datos”. Es lo mismo que sucede en los expedientes de comprobación limitada o de inspección que tramito yo particularmente. Lo que siempre está claro es que en base a estas competencias responder hay que responder, luego podríamos entrar en si hay que darlo todo o no (el Art. 39 LRJPAC también es bastante claro al respecto).

    Respecto a lo que dice David, es que estamos ante un caso en el que se les exige algo mediante un acto seguramente anulable (no diré nulo dado que no es tan tan manifiesto que no son competentes al respecto, y como a veces los jueces son pijoteros con el Art. 62, mejor curarse en salud), con lo cual no estaba obligado realmente a facilitar dichos datos. Dado que además son órganos diferentes, Industria actuaría de oficio obligado por la habilitación legal con que cuenta, sin perjuicio de las consecuencias que tenga además para la Agencia el hecho de que una de sus Resoluciones debiera ser anulada.

    Esa es mi opinión, por supuesto jeje

    Un saludo

  3. 5 fjavier_sempere 10/10/2011 en 17:54

    Muy buenas, excelente post, como siempre.

    Un pequeño comentario: más que en el artículo 39 de la ley 30/1992, cualquier inspección, sea la materia que sea, debe fundamentarse en la norma sectorial que habilite la misma. Normalmente, son artículos del tipo “podrán acceder a cualquier tipo de documentos, actos…etc”.

    No obstante, eso no es óbice para que en la inspección, cualquiera que sea su ámbito, se aplique el principio de calidad, de manera que se requiera la información estrictamente necesaria para el caso concreto.

    • 6 Administrador 10/10/2011 en 18:35

      Gracias Javier por tus palabras. Se nota que eres un buen “compañero de la privacidad”.
      Efectivamente, tu bien lo has dicho: principio de legalidad en los procedimientos sancionadores, pero yo me quería referir (igual no lo he dejado claro), en la “fase previa”, es decir, cuando la Agencia no ha incoado expediente sancionador y usa su facultad (como cualquier Administración) de “pedir explicaciones previas”.

      Saludos

      • 7 fjavier_sempere 10/10/2011 en 19:35

        Que va, que va, si te he entendido perfectamente 🙂

        pd: También te puedes encontrar el caso a la inversa…inspección de lo que sea que pide informes y documentos al denunciado y éste se ampara en la LOPD para no darlos.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Blockchain: perspectiva jurídica

Ciertamente no soy muy dado a realizar comentarios sobre la tecnología que soporta los diferentes sistemas de información, tanto por desconocimiento como por convicción. Las Ciencias del saber son muy amplias y requieren, para opinar con un cierto seso, dominar en profundidad la materia, resultándome muy embarazoso realizar un juicio de valor sobre algo que […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica

A %d blogueros les gusta esto: