Recientemente se ha publicado en la web de la Agencia de Protección de Datos, una resolución en la que se declara una infracción leve a un Hospital del Servicio Gallego de Salud. La resolución (que se puede consultar aquí), no tiene mucha historia: La Agencia, en la fase de recabar información para su Informe de cumplimiento de la LOPD en Hospitales, y en base a sus competencias, requirió al Hospital Xeral de Lugo que le enviara determinada información. El Hospital, hizo caso omiso del requerimiento (aunque posteriormente si que parece que le envió la información requerida). La consecuencia de todo ello: Declaración de infracción leve (no hace falta recordar que a una Administración Pública no se le sanciona económicamente).
Este «caso», me hace pensar que si una Administración Pública (como es la Agencia de Protección de Datos), requiere el envío de información, más vale hacerla caso. Y para ello, sólo se debe acudir, por ejemplo, al artículo 39 de la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, que regula el deber de colaboración de los ciudadanos.
Por otro lado, parece que últimamente se ha puesto de moda que la Agencia de Protección de Datos llame por teléfono a sus «administrados» (los responsables de fichero) para «pedirles cuentas». Sólo hace falta ojear alguno de los Grupos de Linkedin (pongo de ejemplo sólo uno) para ver estas actuaciones…
Bueno, en realidad, esto no es así, porque la Agencia de Proteción de Datos, no actua de esta manera, sino una pseudo-consultora cuyo nombre empieza por C y que está relacionada con el problema de Coste 0 (me remito a la entrada «Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral de la APEP « que fue transcrita en este mismo blog). Antes de continuar, desearía realizar una reflexión: ¿La Agencia de Protección de Datos, no debería hacer algo per se para evitar estos hechos? Se me viene a la cabeza, por ejemplo, el artículo 402 del Código Penal.
Volviendo al hilo original de esta entrada, podemos sacar la sencilla conclusión de que la Agencia de Protección de Datos, si necesita alguna información, no se pondrá en contacto por teléfono ya que según la legislación administrativa (artículo 35 de la Ley 30/1992), los administrados tienen, por ejemplo, derecho a identificar a la Administración Pública cuando actúa y en una comunicación por teléfono, lo veo bastante complicado.
Así, pues, de todo lo expuesto, podemos sacar dos grandes conclusiones:
- La Agencia, cuando actúa, no lo hará por teléfono, sino por escrito.
- La Agencia, si envía un requerimiento o solicita una información previa, mejor contestar, porque en caso contrario, se estaría incumpliendo la normativa de protección de datos, como en el caso que se ha expuesto al inicio de esta entrada.
Autor:
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados
del Señorío de Vizcaya
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Hola:
Te cambio la pregunta final un poco, sabiendo cual es mi respuesta a la que tú planteas…
¿Sancionaría el ministerio de industria, LGT mediante, al ISP que proporciona los datos de tráfico asociados a una IP a la Agencia?
Un saludo.
David, gracias por comentar.
Misma pregunta, pero desde otro punto de vista….Desde luego, interesante.
Saludos.
Yo particularmente separaría el «se debe hacer caso» del «se deben facilitar los datos». Es lo mismo que sucede en los expedientes de comprobación limitada o de inspección que tramito yo particularmente. Lo que siempre está claro es que en base a estas competencias responder hay que responder, luego podríamos entrar en si hay que darlo todo o no (el Art. 39 LRJPAC también es bastante claro al respecto).
Respecto a lo que dice David, es que estamos ante un caso en el que se les exige algo mediante un acto seguramente anulable (no diré nulo dado que no es tan tan manifiesto que no son competentes al respecto, y como a veces los jueces son pijoteros con el Art. 62, mejor curarse en salud), con lo cual no estaba obligado realmente a facilitar dichos datos. Dado que además son órganos diferentes, Industria actuaría de oficio obligado por la habilitación legal con que cuenta, sin perjuicio de las consecuencias que tenga además para la Agencia el hecho de que una de sus Resoluciones debiera ser anulada.
Esa es mi opinión, por supuesto jeje
Un saludo
Buena «puntualización» Sergio…a veces el «lenguaje periodístico» nos puede y nos olvidamos del lenguaje jurídico.
Gracias por comentar
Muy buenas, excelente post, como siempre.
Un pequeño comentario: más que en el artículo 39 de la ley 30/1992, cualquier inspección, sea la materia que sea, debe fundamentarse en la norma sectorial que habilite la misma. Normalmente, son artículos del tipo «podrán acceder a cualquier tipo de documentos, actos…etc».
No obstante, eso no es óbice para que en la inspección, cualquiera que sea su ámbito, se aplique el principio de calidad, de manera que se requiera la información estrictamente necesaria para el caso concreto.
Gracias Javier por tus palabras. Se nota que eres un buen «compañero de la privacidad».
Efectivamente, tu bien lo has dicho: principio de legalidad en los procedimientos sancionadores, pero yo me quería referir (igual no lo he dejado claro), en la «fase previa», es decir, cuando la Agencia no ha incoado expediente sancionador y usa su facultad (como cualquier Administración) de «pedir explicaciones previas».
Saludos
Que va, que va, si te he entendido perfectamente 🙂
pd: También te puedes encontrar el caso a la inversa…inspección de lo que sea que pide informes y documentos al denunciado y éste se ampara en la LOPD para no darlos.