COMPENDIO SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL PARA: ABOGADOS DESPACHOS JURÍDICOS.

ÍNDICE. INTRODUCCIÓN. I. INFORMES JURÍDICOS - Solicitudes de datos efectuadas por la Policía Judicial sin mandamiento judicial o requerimiento previo del Ministerio Fiscal (Informe 1999/0000) - Difusión de datos de sentencias condenatorias por negligencia médica (Informe 2000/0000) - Tratamiento por abogados y procuradores de los datos de las partes en un proceso (Informe 2000/0000) - Distinción entre ficheros de titularidad pública y privada (Informe 2001/0000) - Naturaleza de los ficheros colegiales (Informe 2002/0000) - Competencias de la Agencia en relación con el Registro Civil (Informe 2004/0002) - Tratamiento de datos en el Registro Civil y su consideración de especialmente protegidos (Informe 2006/0431) - Publicación de datos de carácter personal en repertorios de jurisprudencia (Informe 2006/0434) - Publicación de datos de carácter personal en Sentencias del Tribunal Constitucional (Informe 2006/0451) - Fuentes accesibles al público. Requisitos para incluir entre los mismos a los listados de profesionales (Informe 2008/0164) - Acceso a los documentos necesarios por parte de los colegios de abogados para poder pagar a los abogados de oficio (Informe 2008/0170) - Deber de informar en cesión al CGPJ por colegios profesionales (Informe 2008/0221) - Lista de colegiados como fuentes accesibles al público (Informe 2008/0258) - Consideración de la lista de colegiados como fuente accesible al público (Informe 2008/0321) - Comunicación a un asociado la identidad del resto de asociados (Informe 2008/0333) - La creación de una base de datos en la que sólo aparezca el DNI o el NIF queda sometida a toda la normativa de Protección de datos (Informe 2008/0334). - Titularidad pública de los ficheros de sociedades profesionales de los colegios profesionales (Informe 2008/0356) - Acceso por la Policía local a datos de matrícula en parking (Informe 2008/0433). - Consentimiento al tratamiento de datos especialmente protegidos incorporados a fichero (Informe 2008/0453). - Grabación de conversaciones telefónicas por la Policía local (Informes 2008/0549 y 2009/0078). - Comunicación listado abogados adscritos a servicios de asistencia jurídica gratuita a colegiado del mismo colegio profesional (Informe 2009/0062). - Requisitos de creación, notificación e inscripción de ficheros de Colegio Profesional (Informe 2009/0298) - Cesión de datos de colegiados a compañía aseguradora. Seguro colectivo de responsabilidad civil suscrito por Colegio (Informe 2009/0549) - Cesión de datos de asociados a otros socios y cesión a terceros con fines publicitarios (Informe 2010/0038) - Naturaleza de ficheros colegiales. Forma de creación (Informe 2010/0068)

II.- RESOLUCIONES II.1.- Procedimiento Sancionador - Resolución de fecha 03-03-2005 (PS-00155-2004). Artículo 6 LOPD. Recurrida. - Resolución de fecha 09-01-2006 (PS-00172-2005). Artículo 5.5 LOPD. - Resolución de fecha 27-09-2006 (PS-00334-2005). Artículos 6.1 y 11.1 LOPD. Página 1 de 353

- Resolución de fecha 17-11-2006 (PS-00071-2006). Artículos 4.2, 6 y 47 LOPD. - Resolución de fecha 20-12-2006 (PS-00213-2006). Artículo 43.1 LOPD. - Resolución de fecha 23-07-2007 (PS-00053-2007). Artículo 21 LSSI-CE. - Resolución de fecha 28-02-2008 (PS-00311-2007). Artículo 9 LOPD. - Resolución de fecha 14-04-2008 (PS-00525-2007). Artículo 10 LOPD. - Resolución de fecha 22-07-2008 (PS-00039-2008). Artículos 9 y 26.1 LOPD. - Resolución de fecha 07-10-2009 (PS-00371-2009). Artículo 38.3 LGT. - Resolución de fecha 30-12-2010 (PS-00375-2010). Artículo 26 LOPD.

II.2. Tutela de derechos - Resolución de fecha 07-05-2005 (TD-00362-2005). Artículo 15 LOPD. - Resolución de fecha 02-03-2006 (TD-00474-2005). Artículo 15 LOPD. - Resolución de fecha 10-07-2006 (TD-00112-2006). Artículo 16 LOPD. - Resolución de fecha 07-09-2006 (TD 00103-2005). Artículo 5.5 LOPD. - Resolución de fecha 03-03-2008 (TD-00754-2007). Artículo 16 LOPD. - Resolución de fecha 24-03-2008 (TD-00785-2007). Artículos 15 y 16 LOPD. - Resolución de fecha 10-07-2008 (TD-00224-2008). Artículo 15 LOPD. - Resolución de fecha 13-08-2008 (TD-00589-2008). Artículo 16 LOPD. - Resolución de fecha 17-11-2008 (TD-00816-2008). Artículo 15 LOPD. - Resolución de fecha 09-02-2009 (TD-01663-2008). Artículo 16 LOPD. - Resolución de fecha 03-09-2010 (TD-00941-2010). Artículo 16 LOPD. - Resolución de fecha 30-11-2010 (TD-00961-2010). Artículo 15 LOPD. - Resolución de fecha 28-01-2011 (TD-01183-2010). Artículo 16 LOPD. - Resolución de fecha 15-02-2011 (TD-01187-2010). Artículo 16 LOPD.

II. 3. Archivo de Actuaciones. - Resolución de fecha 16-04-2004 (E-00007-2004). Artículo 12 LOPD. - Resolución de fecha 04-09-2007 (E-00168-2007). Artículo 47 LOPD. - Resolución de fecha 06-11-2007 (E-00416-2007). Artículo 10 y 11 LOPD. - Resolución de fecha-09-01-2008 (E-01143-2006). Artículo 9 y 10 LOPD. - Resolución de fecha 12-02-2008 (E-00094-2007). Artículo 10 LOPD. - Resolución de fecha 12-06-2008 (E-01403-2007). Artículo10 LOPD. - Resolución de fecha 10-07-2008 (E-01119-2006). Artículo 16 LOPD. - Resolución de fecha 30-09-2008 (E-01630-2007). Artículo 10 25 y 26 LOPD . - Resolución de fecha 22-10-2008 (E-01019-2008). Artículo 2 y 10 LOPD. - Resolución de fecha 08-01-2009 (E-00893-2008). Artículo 10 LOPD. - Resolución de fecha 27-04-2009 (E-01315-2008). Artículo 10 LOPD. - Resolución de fecha 09-06-2009 (E-01408-2008). Artículo 6 LOPD. - Resolución de fecha 17-12-2009 (E-02649-2009). Artículo 6 10 y 11 LOPD. - Resolución de fecha 16-11-2010 (E-00259-2010). Artículo 9 LOPD. - Resolución de fecha 24-01-2011 (E-02319-2010). Artículo 6.1 LOPD. - Resolución de fecha 07-03-2011 (E-01134-2010). Artículo 6.1 LOPD.

III. RECURSOS - Recurso de Reposición E-00501–2006. Resolución de fecha 06-03-2007. Artículo 20 CE - Recurso de Reposición E-01630-2007. Resolución de fecha 17-11-2008. Artículos 10, 25 y 26 LOPD. - Recurso de Reposición E-02649-2009. Resolución de fecha 25-02-2010. Artículo 11.1 LOPD.

Página 2 de 353

INTRODUCCIÓN. El derecho fundamental a la protección de datos de carácter personal ha estado regulado, por primera vez en nuestro ordenamiento jurídico, a través de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD). Esta norma vigente hasta el 14 de enero de 2000, previó la creación de la Agencia Española de Protección de Datos (en adelante, AEPD), quedando conformada mediante el Real Decreto 428/1993, de 26 de marzo. De este modo, la AEPD se ha constituido como un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones, relacionándose con el Gobierno a través del Ministerio de Justicia. Una de sus principales funciones, con carácter general, es velar por el cumplimiento de la legislación sobre protección de datos, esto es, las vigente Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (en adelante, LOPD) y sus normas de desarrollo y controlar su aplicación a fin de garantizar el derecho fundamental a la protección de datos personales. Entre otras labores, se encuentra la elaboración de informes jurídicos respecto a las consultas planteadas por los responsables de ficheros (entidades públicas y privadas) en cuanto a la interpretación y aplicación de la LOPD, sus normas de desarrollo, así como otras normas que se interrelacionaran con la materia de protección de datos de carácter personal. No obstante, debe significarse que dichos informes no tienen carácter vinculante y no prejuzgan el criterio del Director de la Agencia en el ejercicio de sus funciones, entre las que la Ley no prevé la evacuación de consultas vinculantes. Además de la AEPD, se han creado autoridades de control autonómicas, en este caso, sólo las Agencias de Protección de Datos de la Comunidad de Madrid, Cataluña y País Vasco. Éstas únicamente tienen competencia respecto a los ficheros o tratamientos de datos personales de las entidades públicas de su circunscripción geográfica. Aunque con menor profusión, estos organismos autonómicos también emiten informes jurídicos. Más cabe decir, que en los informes jurídicos de las agencias autonómicas se interpreta y aplica la normativa de protección de datos, en consonancia con legislación autonómica, que no resulta de aplicación. En el Real Decreto 1720/2007, de 21 de diciembre (RLOPD), por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), en vigor desde Página 3 de 353

el 19 de abril de 2008, aparecen a partir del artículo 120 los procedimientos relativos al ejercicio de la potestad sancionadora. Debido a que en la actualidad la Agencia Española de Protección de Datos (APD) posee potestad sancionadora atribuida tanto por la LOPD, la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la información y de comercio electrónico, y Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, nos centraremos en los informes, resoluciones, recursos presentados, y archivo de actuaciones de la Agencia referidos a la potestad sancionadora prevista en la LOPD tal como consta en el art. 120 del RDLOPD. No hay que olvidar que al procedimiento administrativo sancionador en materia de protección de datos se aplican también los principios generales de la potestad sancionadora y del procedimiento sancionador que se encuentran en los artículos 134 y s.s. de la Ley 30/92. Los despachos de abogados han sufrido en los últimos años una transformación en todos sus ámbitos de gestión y de organización y han transitado desde el modelo personalista al de empresas de servicios legales. Esa transformación (modernización) ha supuesto también la adopción por el despacho de abogados de las tecnologías de la información y la comunicación. A este panorama ha venido a sumarse la Ley 2/2007, de 15 de marzo, de sociedades profesionales, que son aquellas que tienen por objeto social el ejercicio común de una actividad profesional y a las cuales les son atribuidos los derechos y obligaciones inherentes al ejercicio de la actividad profesional como titulares de la relación jurídica establecida con el cliente. Los abogados de un despacho comparten un espacio común, servicios o incluso el nombre o firma comercial del despacho, sin embargo, cada uno de ellos es como una unidad económica independiente en la que sólo comparten los gastos comunes y facturan directamente de forma personal a sus clientes, cada uno de ellos será responsable del tratamiento y, por tanto, existirán tantos responsables del tratamiento como abogados integren el despacho colectivo. Cada uno de los integrantes del despacho es titular de la relación jurídica establecida con sus respectivos clientes. Este modelo de despacho genera ciertas dificultades de organización y fricciones con respecto a la seguridad de los datos, pues la posible existencia de un flujo de información dentro del propio despacho podrá ser considerada una cesión o comunicación de datos. El RD 1720/2007 recoge en su artículo 57 un supuesto de «ficheros en los que exista más de un responsable», que es aquel del que resultan responsables varias personas o entidades de forma simultánea; de una primera lectura cabe extraer la conclusión de que es el mecanismo adecuado para regular las situaciones que se dan en un despacho colectivo de abogados. Sin embargo, no estamos ante el supuesto que contempla el Reglamento. El fichero de asuntos de un despacho colectivo de abogados no podrá entenderse Página 4 de 353

como un fichero con varios responsables. Cada abogado será responsable de sus propios expedientes o asuntos y deberá establecer de forma correcta el control de accesos para impedir el uso de datos para quienes no sean de su competencia. Al menos éste es el criterio que ha manifestado recientemente la Agencia Española de Protección de Datos (AEPD). ¿Cuál es la situación que podemos encontrar en muchos despachos colectivos/ individuales? Desde el punto de vista de la protección de datos, el fichero de asuntos (clientes, expedientes, etc.) se compone de una parte en formato papel compuesta por las actuaciones, documentos, etc., mientras que parte de los datos de ese expediente están informatizados, es decir, que disponen de un fichero «mixto». Para la gestión informatizada del fichero, nos encontraremos incluso con una aplicación de software compartida entre los profesionales para la gestión de los respectivos expedientes. Los abogados integrantes del despacho colectivo deberán, por tanto, asumir el respectivo rol de responsables del fichero o del tratamiento y cumplir con las obligaciones que prescriben la Ley y el Reglamento. A estas alturas, podemos presumir que la mayoría de los abogados son conscientes de que en su quehacer diario tratan datos de carácter personal, de los clientes, de los proveedores del despacho y de los profesionales y trabajadores del mismo. Sin embargo, desde el punto de vista de la normativa de protección de datos de carácter personal, todavía hay un camino por recorrer para la adaptación de los despachos de abogados a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), y a su Reglamento, recién aprobado por el Real Decreto 1720/2007, de 21 de diciembre, en vigor desde el pasado 19 de abril. GESDATOS en el estudio y análisis periódico de la legislación, presta máxima atención a los dictámenes emitidos por la autoridad de control estatal y las autonómicas, y consciente de la situación mencionada ha realizado una labor de selección de aquellos que pueden resultar de interés para los abogados. A estos efectos, GESDATOS ha elaborado el presente compendio de informes jurídicos y resoluciones de la AEPD, el cual obedece a un criterio de ordenación y estructura por materias que pueden afectar a los abogados y a los despachos profesionales de los que formen parte. No habiendo informes relativos a todos los aspectos que puedan verse afectados en la actividad legal diaria, se ha tratado de agrupar los más significativos por razón de la materia que versan y/o corresponden a un área concreta. Este compendio se completa con resoluciones relativas al archivo de actuaciones dictadas por la AEPD en relación a procedimientos sancionadores abiertos a abogados o a despachos profesionales, ante un incumplimiento o supuesto incumplimiento de la normativa. El compendio no recoge todos los informes jurídicos y procedimientos sancionadores de la AEPD, sólo aquéllos que a criterio de GESDATOS resultan de interés o relevancia para los abogados. Página 5 de 353

GESDATOS sólo permite la reproducción, la transformación, distribución o comunicación pública [por cualquier medio, ya sea electrónico, mecánico, fotocopia, por registro u otros métodos, ni su préstamo, alquiler o cualquier otra forma de cesión o transmisión, con carácter oneroso o gratuito] y, en general, cualquier otra forma de uso, parcial o total, del presente compendio. En definitiva, el único propósito de GESDATOS es aportar, de este modo, un instrumento de ayuda y apoyo en nuestra labor de consultoría, para esclarecer cuestiones emergentes entorno a la aplicación de la normativa de protección de datos en el ámbito de la Abogacía. GESDATOS

Página 6 de 353

INFORMES JURÍDICOS. Solicitudes de datos efectuadas por la Policía Judicial sin mandamiento judicial o requerimiento previo del Ministerio Fiscal - Año 1999 Se ha planteado por diversas empresas la posibilidad de acceder a solicitudes efectuadas por miembros de las Fuerzas y Cuerpos de Seguridad, ejerciendo funciones de Policía Judicial, cuando no existe un previo mandato del órgano jurisdiccional o requerimiento del Ministerio Fiscal para que se obtengan los datos, llevando a cabo la actuación por propia iniciativa o a instancia de su superior jerárquico. En este caso nos encontramos ante el ejercicio por los efectivos de la Policía Judicial de funciones que, siéndoles expresamente reconocidas por sus disposiciones reguladoras, se identifican con las atribuidas, con carácter general, a todos los miembros de las Fuerzas y Cuerpos de Seguridad del Estado, por lo que resultará aplicable a este segundo supuesto lo dispuesto en el artículo 22.2 de la LOPD, según el cual "la recogida y tratamiento automatizado para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías, en función de su grado de fiabilidad". El citado artículo habilita a los miembros de la Policía Judicial para la obtención y tratamiento de los datos requeridos, lo que llevará aparejada la procedencia de la cesión instada, siempre y cuando se cumplan las siguientes condiciones: a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta. b) Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos. c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto. d) Que, en cumplimiento del artículo 22.4 de la LOPD, los datos sean cancelados "cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento". Con referencia a la última de las conclusiones señaladas, debe indicarse que, tratándose de actuaciones llevadas a cabo en el ámbito de las competencias consagradas en el apartado a) del artículo 445.1 de la Ley Orgánica del Poder Judicial, la Policía Judicial se encuentra obligada a dar cuenta de los hechos a la Autoridad Judicial y Fiscal de forma inmediata. A mayor abundamiento, debe recordarse que, conforme dispone el artículo 11.2 d) de la LOPD, procederá la cesión si ésta "tiene por destinatario...al Página 7 de 353

Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas", lo que, conforme se ha señalado, ocurre en el presente supuesto, dada la obligación de los miembros de la Policía Judicial de poner los datos que hayan sido obtenidos en conocimiento de la Autoridad Judicial o Fiscal. Por ello, la cesión solicitada tendrá amparo no sólo en el artículo 22.2 de la LOPD, sino también en el propio artículo 11.2 d) de la misma, siendo en consecuencia conforme a la LOPD el cumplimiento de la cesión solicitada.

Página 8 de 353

Difusión de datos de sentencias condenatorias por negligencia médica - Año 2000. Se ha planteado si es posible la difusión a través de Internet de datos relativos a sentencias firmes condenatorias por delitos relacionados con negligencia médica. Se indicaba que los datos serían tratados y cedidos sin recabar con carácter previo el consentimiento del interesado, toda vez que, según indicaba la consulta "los datos se extraerían de fuentes accesibles al público, como lo son las sentencias públicas". En este caso, tras recordar que el artículo 6 de la LOPD parte de la exigencia de consentimiento para el tratamiento de los datos, con las únicas excepciones de su apartado segundo, se indicó que en cuanto a los ficheros en que se contengan datos relacionados con la comisión de infracciones penales y administrativas, el artículo 7.5 de la LOPD establece que tales datos "sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras". En consecuencia, el artículo 7.5 de la Ley establece una regla específica para este tipo de datos, que impide, en todo caso, su tratamiento por parte de cualquier entidad de derecho privado, quedando limitado dicho tratamiento a las Administraciones Públicas y, exclusivamente, cuando así lo establezca una norma con rango suficiente. De ello se desprende que, incluso si los datos contenidos en las resoluciones judiciales fueran considerados incorporados a fuentes accesibles al público, su tratamiento inconsentido se encontraría vedado por la Ley a la consultante, dada su naturaleza jurídico-privada. Dicho lo anterior, y en relación con la alegación de que los datos se encontraban incorporados a fuentes accesibles al público, se recordó que, como se dice en otros lugares de esta memoria, la simple lectura del tenor literal del artículo 3.j) de la LOPD indica que las resoluciones judiciales no pueden ser consideradas como fuente accesible al público, sin perjuicio del principio de publicidad contenido en la Ley Orgánica del Poder Judicial, recordándose así mismo que la regla general establecida en el inciso primero del artículo 3.j) en modo alguno impide que resulte de aplicación la enumeración taxativa contenida en su inciso segundo, dado que el contenido de este primer inciso no hace sino indicar un requisito indispensable para que los ficheros enumerados por la propia norma puedan ser considerados como fuentes de acceso público. En resumen tales ficheros sólo serán considerados como fuentes de acceso público cuando su consulta pueda ser realizada por cualquiera sin ninguna limitación salvo, en su caso, el abono de un precio, pero sólo son fuentes de acceso público las enumeradas, entre las que no se encuentran las resoluciones judiciales. Por otra parte, la conclusión alcanzada tampoco contradice el principio de publicidad de las actuaciones judiciales, consagrado en cuanto a las sentencias por los artículos 205.6, 232 y 266 de la Ley Orgánica del Poder Judicial, al que ya hicimos referencia. Ello se funda en que la publicidad a la que se refieren dichos preceptos tiene por objeto asegurar el pleno desenvolvimiento del derecho de las partes a Página 9 de 353

obtener la tutela efectiva de los jueces y Tribunales en el ejercicio de sus derechos, sin que en ningún modo pueda producírseles indefensión, consagrado por el artículo 24.1 de la Constitución. Por ello, entendemos, no puede ampararse en un precepto cuyo fundamento es la salvaguarda de los derechos de los ciudadanos la realización de otras actividades que pueden producir una merma de otros derechos fundamentales, como en este caso, el derecho al honor, la intimidad y la propia imagen, protegido por el artículo 18 de la propia Constitución. La colisión entre la publicidad de las sentencias y el derecho a la intimidad de las personas ya ha sido, por otra parte, analizado por el Consejo General del Poder Judicial, disponiendo en el Acuerdo de 18 de junio de 1997, por el que se modifica el Reglamento número 5/1995, de 7 de junio, regulador de los aspectos accesorios de las actuaciones judiciales, como apartado 3 del nuevo artículo 5 bis del Reglamento, que "en el tratamiento y difusión de las resoluciones judiciales se procurará la supresión de los datos de identificación para asegurar en todo momento la protección del honor e intimidad personal y familiar". En consecuencia, el tratamiento de los datos contenidos en las sentencias condenatorias firmes resulta contrario a las previsiones contenidas en la LOPD, al quedar éste limitado a las Administraciones Públicas, en el ejercicio de las atribuciones que les son conferidas por la Ley, sin que quepa amparar su tratamiento por partes ajenas al proceso en normas cuyo fundamento es precisamente salvaguardar los derechos procesales de quienes son parte en el propio proceso. En cuanto a la difusión de los datos a través de Internet, se recordó que la misma, dado que el contenido de la citada lista podría resultar conocido por cualquier usuario en la citada red, supondría un cesión de datos de carácter personal, respecto de la cual el artículo 11.1 de la Ley Orgánica prevé, con absoluta rotundidad que "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado". Esta regla sólo se ve exceptuada en los supuestos contemplados en el apartado segundo del propio artículo 11, ninguno de los cuales daría cobertura a la publicación pretendida, dado que el único que podría resultar de dudosa aplicación al caso es el contenido en la letra b) del artículo 11.2 ("cuando se trate de datos recogidos de fuentes accesibles al público") y, como se ha dicho, los datos no se encuentran, en este caso, recogidos en fuentes accesibles al público. Debe ponerse de manifiesto que el artículo 44 de la LOPD, que establece los distintos tipos de las infracciones en materia de protección de datos tipifica, incluye, como infracción grave, en la letra c) de su apartado tercero "proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible" y como infracción muy grave, en la letra b) de su apartado cuarto "la Página 10 de 353

comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas ". Por ello, tanto el tratamiento como la publicación en Internet de los datos a que se refiere la consulta podrían ser, a tenor de lo que se ha venido indicando, constitutivas de sendas infracciones, sancionables, respectivamente con multas de 10 a 50 y de 50 a 100 millones de pesetas, conforme a lo previsto en el artículo 45 de la Ley. Por último, se planteó si resultaba admisible establecer listas o repertorios de las sentencias dictadas en que existan condenas por negligencia médica, publicándose los datos con referencia exclusiva al nombre e iniciales de los apellidos de los afectados. Con carácter general, y en lo referente a los repertorios, su publicación será posible, a juicio de esta Agencia Española de Protección de Datos, siempre y cuando de la misma no pueda derivarse el conocimiento de la persona que haya resultado condenada por la sentencia. En caso contrario, tal y como se ha venido indicando hasta ahora, no será posible la difusión de las sentencias sin antes recabar el consentimiento de los afectados. En este sentido, las disposiciones de la LOPD no serán de aplicación siempre que los datos hayan sido previamente sometidos a un procedimiento de disociación, que el artículo 3 f) de la Ley define como "todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable". En consecuencia, para que un procedimiento de disociación pueda ser considerado suficiente a los efectos de la Ley Orgánica 15/1999, será necesario que de la aplicación de dicho procedimiento resulte imposible identificar un determinado dato con su sujeto determinado. A la vista de lo anterior, y teniendo en cuenta las especiales circunstancias concurrentes en el presente caso, en que los facultativos pueden ser identificados no sólo por su nombre y apellidos, sino también por el puesto que desempeñan en un determinado centro sanitario o, incluso, en áreas reducidas, por ser el único especialista en una determinada rama de la medicina, la mera sustitución de los apellidos por sus iniciales puede no resultar suficiente para que la disociación pueda considerarse conforme a lo prevenido en la LOPD, dado que si dicha supresión no va acompañada de la referente al puesto desempeñado y, en su caso, a la del área geográfica en la que el facultativo desempeña su profesión, no será posible considerar que aquél no resulta identificable, debiendo, en ese caso, someterse el fichero a las previsiones de la Ley, que exigen el consentimiento del afectado. Por otra parte, la conclusión anteriormente alcanzada no entorpece la finalidad perseguida mediante la elaboración del repertorio jurisprudencial, que permite al usuario tener conocimiento de la doctrina y jurisprudencia existente en una determinada materia, partiendo del concepto de jurisprudencia como "doctrina que, de modo reiterado, establezca el Tribunal Supremo al interpretar y aplicar Página 11 de 353

la ley , la costumbre y los principios generales del derecho", en los términos prescritos por el artículo 1.6 del Código Civil. En consonancia con lo indicado, la finalidad que debe perseguir la creación de la base de datos será la de permitir al usuario acceder al conocimiento del modo en que el Tribunal Supremo o los restantes Juzgados y Tribunales han interpretado lo establecido en el ordenamiento jurídico, sin que sea dable que dicha finalidad pueda ser contemplada en un sentido más amplio, con la consiguiente cercenación de los derechos fundamentales de las personas que intervengan en el litigio, como sucedería si se conocieran los datos personales referidos a dichas personas, que en modo alguno aportan información adicional sobre el contenido jurídico de la sentencia. Así lo recuerda el Consejo general del Poder Judicial, en la Exposición de Motivos del Acuerdo de 18 de junio de 1997, al que ya nos hemos referido, al indicar que con la publicidad de las sentencias en el repertorio "se posibilitará un mejor y más directo conocimiento de dichas resoluciones por parte de los Juzgados y Tribunales, contribuyendo al propio tiempo a satisfacer las exigencias derivadas del derecho de igualdad en la aplicación de las Leyes, conforme a la doctrina del Tribunal Constitucional", sin que esta función informadora pueda entenderse en modo alguno completada con el conocimiento de quienes fueron parte en el litigio.

Página 12 de 353

Tratamiento por Abogados y Procuradores de los datos de las partes en un proceso. Se ha consultado si los abogados y procuradores habrán de recabar el consentimiento de sus clientes y de la contraparte de los mismos en procesos en que aquéllos les confieran su representación o defensa. Como regla general, la inclusión de los datos de los clientes y sus oponentes en un fichero supondrá un tratamiento de datos de carácter personal, que requeriría, en principio, el consentimiento del afectado, con el deber de informar al mismo de los extremos contenidos en el artículo 5.1 o, en caso de no recabarse los datos del propio afectado, la obligación de informar a éste de dicha inclusión en el plazo de tres meses, tal y como dispone el artículo 5.4, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. En lo referente al tratamiento de los datos de los clientes, podrá efectuarse el mismo sin consentimiento del afectado, a tenor de lo establecido en el artículo 6.2 de la Ley Orgánica 15/199, que excluye del consentimiento los supuestos en que los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”. Sin embargo, el problema se plantea en el supuesto de que los datos se refieran a los oponentes de los clientes del abogado o procurador, dado que en ese caso el tratamiento resulta absolutamente imprescindible para la asistencia letrada al cliente, si bien ese tratamiento pudiera chocar con el derecho a la protección de datos de la persona cuyos datos son objeto de tratamiento. A nuestro juicio, en este caso surgiría una colisión entre dos derechos fundamentales: el derecho a la protección de datos de carácter personal, derivado del artículo 18 de la Constitución y consagrado como derecho autónomo e informador del texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, por un lado; y el derecho a la asistencia letrada, como manifestación del derecho de los ciudadanos a obtener la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24.2 de la Constitución. Para resolver esta cuestión, debe indicarse que, en primer lugar, la propia Ley Orgánica 15/1999 permite establecer los límites para la exigencia del consentimiento, dado que su artículo 6.1 exige, como regla general, el consentimiento para el tratamiento de los datos “salvo que la Ley disponga otra cosa”. A la vista de este precepto, el legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos, incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida. Página 13 de 353

En este caso, como se dijo, el tratamiento por los abogados y procuradores de los datos referidos a la contraparte de sus clientes en los litigios en que aquéllos ejerzan la postulación procesal trae su causa, directamente, del derecho de todos los ciudadanos a la asistencia letrada, consagrado por el artículo 24.2 del Texto Constitucional. En efecto, la exigibilidad del consentimiento del oponente para el tratamiento de sus datos por el abogado o procurador supondría dejar a disposición de aquél el almacenamiento de la información necesaria para que el cliente pueda ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos datos puede implicar, lógicamente, una merma en la posibilidad de aportación por el interesado de “los medios de prueba pertinentes para su defensa”, vulnerándose otra de las garantías derivadas del citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de este derecho. Por todo ello, si bien ninguna disposición con rango de Ley establece expresamente la posibilidad del tratamiento por abogados y procuradores de los datos referidos al oponente de su cliente en el seno de un determinado proceso judicial, es evidente que dicha posibilidad trae causa directa de una norma de rango constitucional, reguladora además de uno de los derechos fundamentales y libertades públicas consagrados por la Constitución, y desarrollado por las leyes reguladoras de cada uno de los Órdenes Jurisdiccionales, en los preceptos referidos a la representación y defensa de las partes, por lo que existirá, desde el punto de vista de la Agencia, una habilitación legal para el tratamiento de los datos, que trae su cobertura del propio artículo 24 de la Constitución y sus normas de desarrollo. Dicho esto, deberá analizarse si el abogado o procurador se encuentra obligado, por imperativo del artículo 5.4 de la Ley Orgánica, a informar a los oponentes de su cliente de la existencia de un fichero o tratamiento, su responsable, su finalidad, la posibilidad que los afectados ejerciten los derechos que la Ley les atribuye y los destinatarios de los datos, dada la concurrencia entre el derecho del cliente a obtener la adecuada asistencia de letrado y, en definitiva, a ver satisfecha la tutela judicial efectiva, consagrada por el artículo 24 de la Constitución, y del oponente a la protección de sus datos de carácter personal, lo que supondrá el cumplimiento del citado deber de información. Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por todas, STC 186/2000, de 10 de julio, con cita de otras muchas) “el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho”. Pues bien, aplicando la doctrina antedicha al supuesto concreto, y sin perjuicio de lo que, en su caso, manifestare en el futuro el Tribunal Constitucional, procederá ponderar en qué caso la limitación del ejercicio de uno de los Página 14 de 353

derechos en conflicto puede producir una mayor merma de los derechos de la otra parte o, en su caso, las medidas que permitirán mitigar ese potencial perjuicio. Siguiendo esta premisa, en nuestra opinión debería darse una prevalencia al derecho consagrado por el artículo 24 de la Constitución, garantizando a su vez las medidas que evitarán un mayor perjuicio a los afectados (en este caso, los oponentes de los clientes cuyos datos son objeto de tratamiento). Ello se funda en que la comunicación a los afectados de las informaciones de que los abogados o procuradores puedan disponer, procedentes de sus clientes, podrían perjudicar, como ya se indicó, el adecuado ejercicio por el propio interesado de las facultades vinculadas con su derecho a obtener la tutela efectiva de los Jueces y Tribunales (al quedar en conocimiento de la otra parte los datos que pudieran ser aportados a juicio en defensa de su derecho).

Página 15 de 353

Distinción entre ficheros de titularidad pública y privada. Se consultó por una Entidad Pública Empresarial dependiente de una Comunidad Autónoma sobre el carácter público o privado de los ficheros de datos de que era responsable, lo que dio pié a considerar con carácter general la naturaleza pública o privada de los ficheros a la vista de lo establecido en la LOPD. Como punto de partida, debe indicarse que la Ley no delimita de forma expresa los criterios delimitadores de la titularidad pública o privada de los distintos ficheros, si bien en el articulado del Capítulo I del Título IV viene a identificar los ficheros de titularidad pública como aquéllos cuya responsabilidad corresponde a las Administraciones Públicas (artículos 20 y 21), estableciendo ciertas especialidades en su régimen jurídico en las restantes disposiciones de este capítulo y en el artículo 46, en lo que se refiere al régimen sancionador. A partir de estos preceptos, deberá determinarse cuál es la interpretación que deba darse al término "titularidad pública", contenido en las citadas disposiciones, planteándose dos posibles criterios: por un lado el meramente subjetivo, que atiende a la naturaleza pública o privada del responsable del fichero; por otro, el criterio planteado por la consulta que atiende a la función desempeñada por dicho responsable. Pues bien, como punto de partida, entendemos que, tal y como se desprende de las disposiciones de la LOPD, el criterio que ha de prevalecer en este punto es el relativo a la naturaleza pública o privada del responsable, ya que la Ley no se diferencia ambas categorías de ficheros con base en criterios relacionados con la actividad llevada a cabo por el responsable, sino con el criterio de la "titularidad" del fichero. Así se desprende, no sólo de las rúbricas de los Capítulos I y II del Título IV de la Ley, sino de lo dispuesto en el artículo 46, que establece una especialidad en materia sancionadora para los supuestos de ficheros de titularidad pública, refiriéndose a los mismos como "ficheros de los que sean responsables las Administraciones Públicas", añadiendo, en su apartado segundo la posible imposición de las sanciones "establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas". En el caso examinado, como se ha indicado, el responsable del fichero era una Empresa Pública, configurada por la norma legal que la creó como entidad de derecho público sometida a lo dispuesto en esa la presente Ley y en sus disposiciones complementarias de desarrollo. Por lo que respecta a las relaciones jurídicas externas, a las adquisiciones patrimoniales y a la contratación, se establecía por ley su sujeción, sin excepciones, al derecho privado. También se indicaba en dicha norma legal que de los acuerdos que dictasen los órganos de gobierno de dicha Empresa Pública conocería la jurisdicción que en cada caso corresponda, sin necesidad de formular la reclamación previa en vía gubernativa. De este último inciso se desprendía que la entidad se encontraba incluso desprovista de las prerrogativas derivadas del procedimiento de reclamación previa al ejercicio de acciones civiles o laborales, reconocida por los artículos 120 y siguientes de la Ley 30/1992.

Página 16 de 353

Por ello, no ostentando la responsable del fichero la condición de administración pública, sometida al derecho administrativo, resulta imposible considerar el fichero al que se refiere la consulta como de titularidad pública, siendo un fichero de titularidad privada, sometido a las disposiciones previstas en la LOPD para este tipo de ficheros. Por otra parte, y en cuanto al criterio para discernir la naturaleza de la actividad desarrollada por la Entidad Pública que formuló la consulta, la cuestión preponderante implicaba atender al ejercicio, en su caso, por la misma, de auténticas potestades administrativas, en el término tradicional del término (tributaria, sancionadora, expropiatoria y disciplinaria); esto es, si la responsable del fichero se encontraba, en el ejercicio de las actividades relacionadas con el fichero, investido de imperium, lo que no sucedía en ese caso. Todo ello aboca a la conclusión ya sostenida, consistente en considerar que el fichero al que se refiere la presente consulta es un fichero de titularidad privada, quedando sometido a las disposiciones contenidas en el Capítulo II del Título IV de la Ley Orgánica 15/1999.

Página 17 de 353

Naturaleza de los ficheros colegiales - Año 2002 Diversos colegios profesionales han elevado consultas a la Agencia solicitando su parecer acerca de la naturaleza de los ficheros colegiales, en el sentido de considerarlos ficheros de titularidad pública o privada. En relación con esta cuestión, debe señalarse que, si bien la LOPD delimita en su articulado el régimen de los ficheros de titularidad pública y privada, no establece un concepto de los mismos. Por esta razón, la delimitación deberá fundarse en los criterios que determinan la naturaleza jurídico-pública o jurídico-privada del responsable del fichero. Esta conclusión se alcanza atendiendo a las peculiaridades establecidas para el régimen de los ficheros de titularidad pública, toda vez que los mismos únicamente podrían ser constituidos en caso de que se desarrollen como consecuencia del ejercicio de una competencia administrativa, tal y como se desprende del artículo 21.1 de la LOPD, que permite la cesión entre Administraciones Públicas cuando la misma se funde en el ejercicio de unas mismas competencias. En este mismo sentido, el artículo 20 de la Ley exige que los ficheros se encuentren relacionados con la actuación de una Administración con potestad para dictar la correspondiente Disposición de carácter general de creación del fichero. Por tanto, se considera que la delimitación del régimen aplicable a los ficheros de titularidad pública y privada deberá fundarse en un doble criterio: por una parte el responsable del fichero deberá ser una Administración Pública y por otra, en los supuestos que pudieran plantear una mayor complejidad, sería necesario que el fichero sea creado como consecuencia del ejercicio de potestades públicas. Dicho lo anterior, la delimitación de la naturaleza jurídica de las denominadas corporaciones de derecho público ha sido una cuestión ampliamente debatida por la doctrina administrativista, no habiéndose alcanzado en el momento presente una tesis unívoca sobre este particular. No obstante, la jurisprudencia de nuestro Tribunal Constitucional ha analizado reiteradamente esta cuestión en numerosas sentencias, cuya cita conviene recordar en este momento. En particular, merece especial atención la Sentencia 20/1988, cuyo Fundamento Jurídico cuarto analiza la naturaleza de los Colegios Profesionales, indicando lo siguiente: "Como ha declarado este Tribunal en anteriores ocasiones -SSTC 76/1983, de 5 de agosto; 23/1984, de 20 de febrero y 123/1987, de 15 de julio-, los Colegios Profesionales son corporaciones sectoriales que se constituyen para defender primordialmente los intereses privados de sus miembros, pero que también atienden a finalidades de interés público, en razón de las cuales se configuran legalmente como personas jurídico-públicas o Corporaciones de Derecho público cuyo origen, organización y funciones no dependen sólo de la voluntad de los asociados, sino también, y en primer término, de las determinaciones Página 18 de 353

obligatorias del propio legislador, el cual, por lo general, les atribuye asimismo el ejercicio de funciones propias de las Administraciones territoriales o permite a estas últimas recabar la colaboración de aquéllas mediante delegaciones expresas de competencias administrativas, lo que sitúa a tales Corporaciones bajo la dependencia o tutela de las citadas Administraciones territoriales titulares de las funciones o competencias ejercidas por aquéllas". Del mismo modo, la Sentencia 87/1989, recordando la doctrina sentada por la sentencia anteriormente transcrita, aclara, en su Fundamento Jurídico tercero que: "Si bien es cierto que el carácter de Corporaciones Públicas que la Ley reconoce a los Colegios Profesionales no oscurece la naturaleza privada de sus fines y cometidos principales, también lo es que la dimensión pública de los entes colegiales les equipara a las Administraciones Públicas de carácter territorial, si bien tal equiparación quede limitada a los solos aspectos organizativos y competenciales en los que se concreta y singulariza la dimensión pública de los Colegios". De lo indicado por el Tribunal en las dos sentencias transcritas cabe deducir una serie de consecuencias sumamente relevantes en la materia que nos ocupa. Así, si bien es cierto que el Tribunal recuerda que los colegios profesionales son corporaciones sectoriales que se constituyen para defender primordialmente los intereses privados de sus miembros, pero que también atienden a finalidades de interés público, posteriormente esta afirmación se ve complementada por otras que, reiteradamente, atribuyen a los colegios una naturaleza jurídica que, incluso se indica, les equipara a las Administraciones Públicas de carácter territorial. Así, se recuerda que dichas entidades ejercen en determinadas materias competencias administrativas, del mismo modo en que lo hacen las administraciones territoriales, lo que, precisamente sitúa a los Colegios bajo la dependencia o tutela de dichas Administraciones. Del mismo modo, se indica que estas auténticas potestades administrativas, tales como la ordenación de la profesión colegiada o el ejercicio de la potestad sancionadora, entre otras, se ejercen por expresa atribución del propio legislador que, o bien atribuye expresamente la competencia a las entidades colegiales o le permite recabar la colaboración de las Administraciones territoriales mediante delegaciones expresas de competencias administrativas. La misma conclusión se alcanzaría en caso de considerarse que la referencia a la "delegación" de las competencias ha de entenderse no en sentido estricto, sino que supusiera en la práctica una centralización o desconcentración de competencias, tal y como indican las Sentencias del Tribunal Supremo de 25 de octubre de 1993 (Ar. 1993\8010) y 17 de noviembre de 2001 (Ar. 2001\10273). En consecuencia, a la luz de dicha sentencia, los colegios profesionales ejercen auténticas potestades de derecho público bien por expresa atribución

Página 19 de 353

del legislador bien por delegación o desconcentración a las mismas de dichas potestades. De ello no cabe sino concluir que la naturaleza de los colegios profesionales es la de ente de derecho público equiparable, al menos en lo referente al ejercicio de las potestades administrativas que expresamente le atribuye el legislador, a las Administraciones Públicas Territoriales. Ello se funda en el hecho de que, según se desprende de la jurisprudencia referenciada los colegios profesionales ejercen dichas competencias bien por expresa atribución del legislador, siendo así que la competencia originara para el ejercicio de potestades administrativas sólo puede encomendarse a Administraciones Públicas, bien por delegación o desconcentración de la Administración tutelante, dado que las mismas no podrían tener lugar a favor de quien no ostenta la naturaleza de Administración Pública. Así se refleja en lo establecido en la propia normativa reguladora de los colegios profesionales. En particular, el artículo 1.3 de la Ley 2/74, de 13 de febrero, reguladora de los Colegios Profesionales, si bien incluye entre los "fines esenciales de estas Corporaciones" la defensa de los intereses profesionales de los colegiados, debe recordarse que, con anterioridad a dicha finalidad incluye como esencial "la ordenación del ejercicio de las profesiones". Como consecuencia de esta "finalidad esencial", evidentemente pública el artículo 5 atribuye a los Colegios las competencias para "ejercer cuantas funciones les sean encomendadas por la Administración" (apartado b), "ordenar en el ámbito de su competencia la actividad profesional de los colegiados, velando por la ética y dignidad profesional y el respeto debido a los derechos de los particulares y ejercer la facultad disciplinaria en el orden profesional y colegial" (apartado i), "adoptar las medidas conducentes a evitar el intrusismo profesional" (apartado l) o "cumplir y hacer cumplir a los colegiados las Leyes generales y especiales y los Estatutos profesionales y Reglamentos de Régimen interior, así como las normas y decisiones adoptadas por los órganos colegiados en materia de su competencia" (apartado u). Al propio tiempo, los Colegios se someten a sus estatutos, que habrán de ser adoptados por la Administración Pública competente para ejercer la tutela sobre los mismos, bien la del Estado, bien las de las Comunidades Autónomas en cuanto a los colegios situados en su ámbito respectivo, en virtud de las correspondientes normas de traspaso de competencias.. Del mismo modo, la Ley 2/1974 establece en su artículo 8 que "los actos emanados de los órganos de los colegios profesionales y de los Consejos Generales en cuanto estén sujetos al Derecho Administrativo, una vez agotados los recursos corporativos serán directamente impugnables ante la Jurisdicción Contencioso-Administrativa". De todo ello se desprende que los Colegios y Consejos se encuentran, al menos en parte de las funciones que desempeñan, sometidos al Derecho Página 20 de 353

Administrativo, dictando auténticos actos administrativos revisables, como tales actos, por la jurisdicción contencioso-administrativa. Al propio tiempo, el artículo 8.3 de la Ley 2/1974 enumera en su párrafo segundo las causas de nulidad de los actos administrativos dictados por los órganos colegiales, coincidiendo plenamente con lo previsto en la entonces vigente Ley de Procedimiento Administrativo, lo que no hace sino ahondar en la naturaleza pública de las potestades en cuya virtud se dictan dichos actos. Además, la tesis que se ha venido indicando resulta asimismo confirmada por la jurisprudencia del Tribunal Supremo, bien por el hecho mismo de que su Sala Tercera ha venido ininterrumpidamente conociendo de los recursos planteados contra los actos dictados por los órganos de los Colegios, bien por el análisis efectuado por la Sala Primera cuando ante la misma se han planteado recursos de casación referentes a actos emanados de los órganos colegiales. En este punto, y sin ánimo de resultar en exceso exhaustivos, la Sentencia de 28 de septiembre de 1998 (Ar. 1998\7289) recuerda en su único Fundamento de derecho que los Colegios Profesionales "tienen facultades de autoadministración sobre sus miembros y sus decisiones están sujetas al control jurisdiccional que es el contencioso-administrativo cuando se trata de defensa de la corporación, constitución de sus órganos, régimen electoral, decisiones sobre colegiación y disciplina, así como los actos de aprobación de presupuestos". En el mismo sentido, la Sentencia del Alto Tribunal de 26 de noviembre de 1998 (Ar. 1998\8758), tras recordar la naturaleza dual de los Colegios Profesionales indica claramente que los mismos "desarrollan, a la par, una serie de actividades propias de un ámbito de derecho público, de servicio público e interés general, y otras de orden privado restringidas a su relación interna con los integrantes de las corporaciones y que carecen de toda eficacia externa o pública". Así reiterando la jurisprudencia citada, la sentencia concluye que "en los temas que versen, entre otros, sobre defensa de la corporación, constitución de sus órganos, régimen electoral, decisiones sobre colegiación y disciplina, por su evidente matiz de derecho público, (los Colegios) están sujetos al control jurisdiccional del orden contencioso-administrativo". En resumen, los colegios profesionales, en cuanto dicten actos relacionados, entre otros, con las materias reseñadas por la jurisprudencia, ejercen auténticas potestades administrativas, siendo tales decisiones auténticos actos administrativos. La consecuencia de todo lo que se ha venido indicando, aplicando lo dispuesto en la LOPD, es que los ficheros creados o gestionados por los Colegios Profesionales o sus Consejos para el ejercicio de las potestades a las que se ha venido haciendo referencia se encontrarán sometidos al régimen de los ficheros de titularidad pública, contenido en los artículos 20 y siguientes de la Ley Orgánica. Página 21 de 353

En este sentido, es necesario recalcar que, del tenor de la Ley, y en especial de su artículo 21, la naturaleza pública de los ficheros viene expresamente ligada a la titularidad y ejercicio de competencias de derecho público. Sólo de este modo podría resultar comprensible y aplicable la referencia efectuada por dicho precepto a la comunicación de los datos "para el ejercicio de competencias" diferentes o que versen sobre materias distintas. Del mismo modo, teniendo en cuenta que la Ley 2/1974 atribuye a los Colegios Profesionales el ejercicio de la potestad disciplinaria, de derecho público sobre sus colegiados, la consideración de los ficheros de dichas Corporaciones como de titularidad privada haría imposible la creación de ficheros referentes al ejercicio de esta potestad, toda vez que el artículo 7.5 de la Ley Orgánica 15/1999 limita claramente la creación de estos ficheros al disponer que "los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras". Todo ello no hace sino reincidir en nuestra tesis de que los ficheros de que sean responsables los Colegios Profesionales y Consejos Generales, en cuanto se relacionen con el ejercicio por los mismos de sus competencias de derecho público y, en consecuencia, con la atribución a los mismos de potestades administrativas, se encontrarán sometidos al régimen de los ficheros de titularidad pública y no al de los ficheros de titularidad privada, que será aplicable a los ficheros no vinculados con el ejercicio de tales potestades.

Página 22 de 353

Competencias de la Agencia en relación con el Registro Civil. Informe In2/2004. Competencias de la AEPD en relación con los registros civiles I Se plantea en el presente caso si la Agencia Española de Protección de Datos resulta competente para el ejercicio de las funciones de inspección en relación con el tratamiento de datos de carácter personal efectuado por los registros civiles, teniendo en cuenta que el artículo 2.3 d) de la Ley Orgánica 15/1999 dispone que los tratamientos efectuados por los mencionados registros “se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica”. Partiendo de esta premisa, los tratamientos efectuados por el Registro Civil se rigen por lo dispuesto en la Ley reguladora de dicho Registro, de 8 de junio de 1957 y su Reglamento, aprobado por Decreto de 14 de noviembre de 1958. Por otra parte, el artículo 40 de la Ley Orgánica 15/1999 dispone que “Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos”. De lo dispuesto en el mencionado precepto se desprende que, sin perjuicio de la aplicación de las normas sustantivas que pueden contenerse en la regulación legal o reglamentaria del Registro Civil, las competencias de la Agencia Española de Protección de Datos, y en particular de la Inspección de Datos podrán recaer sobre los tratamientos efectuados por el Registro. Es decir, lo dispuesto en el artículo 2.3 d) de la Ley Orgánica 15/1999 implicará que los principios inspiradores del derecho fundamental a la protección de datos, consagrado como tal por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, deberán aplicarse en el caso del Registro Civil de acuerdo con lo establecido en su normativa específica y, en lo expresamente señalado, por la Ley Orgánica 15/1999. Sin embargo, en lo que se refiere a las competencias de esta Agencia Española de Protección de Datos o a aquellas obligaciones que la Ley Orgánica imponga con carácter general a la totalidad de los ficheros o tratamiento, sin excluir de dichas normas a los previstos en el artículo 2.3, de forma que únicamente quedarán fuera de su aplicación los ficheros previstos en el artículo 2.2, deberá considerarse planamente a dichos ficheros lo establecido en la Ley Orgánica. Así, a título de ejemplo, deberá procederse a la inscripción de los ficheros en el Registro General de Protección de Datos, toda vez que el artículo 39 de la Ley Orgánica impone esta obligación en relación con la totalidad de los ficheros de titularidad pública, de modo que no cabe efectuar exclusión alguna en relación con la misma. Pues bien, como se ha indicado, el artículo 40 de la Ley Orgánica 15/1999 otorga a la Agencia Española de Protección de Datos la potestad de ejercer la Página 23 de 353

función inspector en relación con “los ficheros a que hace referencia la presente Ley”, no limitando dicha función a los ficheros íntegramente sometidos a la misma, sino a todos los no excluidos expresamente de su aplicación, como sucedería en el supuesto planteado, independientemente de la aplicación, en el ejercicio de las potestades inspectoras y, en su caso, sancionadoras, de las normas sustantivas contenidas en la regulación específica de esos ficheros. Podría argumentarse que el párrafo primero del artículo 41 del Reglamento del Registro Civil, modificado por el artículo 1 del Real Decreto 1917/1986, de 29 agosto, dispone que “Dentro del Ministerio de Justicia, compete a la Dirección General de los Registros y del Notariado la dirección e inspección de los servicios del Registro Civil”. Sin embargo, dicha previsión en lo que a protección de datos se refiere debería considerarse derogada por el ya reiterado artículo 40 de la Ley Orgánica 15/1999, dado que la misma es posterior y superior en rango al Reglamento del Registro Civil, en la redacción que se ha reproducido. En consecuencia, ha de considerarse que, sin perjuicio de la aplicación de la normativa sobre el Registro Civil en estos supuestos, la Agencia Española de Protección de Datos es plenamente competente para el ejercicio de las competencias relacionadas con los tratamientos que el mismo efectúa, tanto en lo referente a la función inspectora como en relación con la tramitación, en su caso, del correspondiente procedimiento de infracción de administraciones públicas. II Por otra parte, la tesis suscrita en el presente informe puede considerarse corroborada por la Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 25 de enero de 2002. Mediante la citada Sentencia se estimó el recurso interpuesto por la Asociación Libre de Abogados de Madrid contra resolución del Director de la Agencia Española de Protección de Datos, recaída en el Expediente E/00069/1999, por la que se declaraba el archivo de actuaciones contra el Colegio de Abogados de Madrid, por la de un fichero de datos para el cobro de los "derechos de intervención profesional" (bastanteos). La mencionada Resolución hacía referencia a la cesión, autorizada por las Salas de Gobierno del Tribunal Supremo, Audiencia Nacional y Tribunales Superiores de Justicia, al Colegio de Abogados de Madrid, de los datos referidos a la representación procesal en los diferentes procesos tramitados ante los Juzgados y Tribunales. Según se indicaba en la mencionada resolución: En consecuencia, habiéndose residenciado reglamentariamente y en virtud de mandato legal en el Consejo General del Poder Judicial la competencia sobre la materia, atribuyéndose aquélla a la autoridad judicial y a sus órganos de gobierno, es por lo que tratándose de ficheros jurisdiccionales que contengan datos personales, toda información requerida por tercero deberá contar con el consentimiento del afectado o, en su caso, ser autorizado por el titular del órgano jurisdiccional, Página 24 de 353

correspondiendo a éste velar por la defensa de los derechos reconocidos en el art. 18.4 de la Constitución y en la Ley Orgánica 5/1992. En el presente caso ha quedado acreditado, conforme a lo expuesto en los Antecedentes de Hecho, que el Servicio de Comprobación del Colegio de Abogados de Madrid ha recabado datos que se introducen y almacenan en el fichero denominado ICAM, los cuales se obtienen del acceso a los LibrosRegistro de los órganos judiciales y a los Poderes otorgados en cada procedimiento, tanto si constan en soporte papel como si lo están en soporte automatizado. El citado acceso ha sido autorizado por la Sala de Gobierno del Tribunal Supremo, el Tribunal Superior de Justicia de Madrid y la Audiencia Provincial. Por tanto, el pronunciamiento de la Agencia de Protección de Datos sobre la adecuación o no a la LORTAD del fichero denominado ICAM exige, inexcusablemente y con carácter previo, una decisión sobre la licitud del acceso autorizado por los propios órganos jurisdiccionales, ya que, de ser éste legítimo y conforme con la citada Ley Orgánica, el tratamiento posterior de los datos en aquel fichero no infringiría la normativa de protección de datos. Sin embargo, de conformidad con las disposiciones citadas en los Fundamentos de Derecho anteriores, la decisión sobre la licitud y alcance de los accesos autorizados corresponde a la autoridad judicial y a sus órganos de gobierno, y, en su caso, a la jurisdicción contencioso-administrativa.” La Sentencia de la Audiencia de 25 de enero de 2002 viene a estimar el recurso formulado contra dicha resolución, lo que implícitamente implica el reconocimiento de la competencia de la Agencia Española de Protección de Datos para ejercer sus competencias de inspección y, en su caso, incoación del correspondiente procedimiento de infracción en relación con los ficheros judiciales, pese a existir normas específicas que atribuirían la competencia a otro órgano, lo que no haría sino conformar la tesis mantenida hasta el presente momento.

Página 25 de 353

Tratamiento de datos en el Registro Civil y su consideración de especialmente protegidos. Informe 431/2007 La consulta plantea si en el supuesto de matrimonio entre personas de un mismo sexo, debemos de considerar si se están tratando datos especialmente protegidos como es la vida sexual del afectado, conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. Como punto de partida, es preciso señalar que la Ley del Registro Civil de 8 de junio de 1957 establece en su artículo 1 que en el “En el Registro Civil se inscribirán los hechos concernientes al estado civil de las personas y aquellos otros que determina la Ley. Constituyen, por tanto, su objeto: 1. El nacimiento. 2. La filiación. 3. El nombre y apellidos. 4. La emancipación y habilitación de edad. 5. Las modificaciones judiciales de la capacidad de las personas o que éstas han sido declaradas en concurso, quiebra o suspensión de pagos. 6. Las declaraciones de ausencia o fallecimiento. 7. La nacionalidad y vecindad. 8. La patria potestad, tutela y demás representaciones que señala la Ley. 9. El matrimonio. 10. La defunción.” Por tanto en el mismo tan sólo se harán constar hechos concretos, dado que así lo determina el artículo 35 de la mencionada Ley señalando que “En las inscripciones constarán exclusivamente: 1. Los hechos de que hacen fe según su clase, con indicación, si fueren conocidas, de las circunstancias de la fecha, hora y lugar en que acaecen, y las demás exigidas en cada caso por la Ley o el Reglamento. 2. La declaración o documento auténtico en virtud del cual se practican. 3. La fecha de las mismas y los nombres de los funcionarios que las autoricen.” En el Registro de la Agencia Española de Protección de Datos, consta inscrito desde el año 2004, el fichero relativo al Estado Civil de las personas, fichero que no se ha visto modificado tras las modificaciones operadas en el Código Civil en virtud de la Ley 13/2005, de 1 de julio, por la que se modifica el artículo 44 del mencionado texto legal señalando que “El hombre y la mujer tienen derecho a contraer matrimonio conforme a las disposiciones de este Código. El matrimonio tendrá los mismos requisitos y efectos cuando ambos contrayentes sean del mismo o de diferente sexo.” La mencionada modificación determina que a los efectos de su constancia en el Registro Civil como hechos inscribibles relacionados con el matrimonio, resulte admisible que los contrayentes sean del mismo sexo o de diferente sexo, indicando expresamente que en cualquiera de dichos supuestos “el matrimonio tendrá los mismos requisitos y efectos”.

Página 26 de 353

Esta identidad de efectos, unida al hecho de que el Registro Civil tiene por objeto la constatación de hechos inscribibles supone, desde la perspectiva de la normativa reguladora de protección de datos personales, que la indicada modificación en el matrimonio que afecta a los hechos que deben constar en el Registro Civil, no altera su naturaleza. En consecuencia, si hasta la modificación del Código Civil, los hechos relativos al matrimonio inscritos en el Registro Civil no se consideraban especialmente protegidos respecto a la posible relación de la vida sexual del afectado, la misma conclusión debe mantenerse con posterioridad a aquella.

Página 27 de 353

Publicación de datos de abogados y procuradores en repertorios de jurisprudencia. Informe 434/2006 La consulta plantea determinadas cuestiones relacionadas con la publicación en los repertorios de jurisprudencia elaborados por la consultante de datos referidos a los abogados y procuradores que intervienen en el proceso sin tener la condición de partes en el mismo. La cuestión planteada ha sido analizada por esta Agencia Española de Protección de Datos en resolución de 13 de enero de 2006, por la que se acuerda el archivo del procedimiento iniciado como consecuencia de la denuncia formulada por la letrado de un recurrente en vía de amparo ante el Tribunal Constitucional, como consecuencia de la publicación en Internet de la Sentencia recaída, incluyendo sus datos identificativos. En el Fundamento de Derecho IX de la citada Resolución se señala lo siguiente: “Sin perjuicio de lo señalado con anterioridad, debe analizarse si en el caso concreto que se examina, consistente en la publicación, a través de Internet, del nombre y apellidos de la denunciante en su condición de letrada de la parte recurrente, contenidos en el texto de la Sentencia n° 222/2002 de 25 de noviembre, del Tribunal Constitucional, vulnera el derecho fundamental a la protección de datos. El Tribunal Constitucional ha declarado, en su Sentencia 292/2000, de 30 de noviembre, en cuanto al derecho fundamental a la protección de datos, “que el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionales protegidos, pues así lo exige el principio de unidad de la Constitución (STC 11/1981, de 8 de abril FJ 7; 196/1987, de 11 de diciembre, FJ 6; y respecto del art. 18, la STC 110/1984, FJ 5). Esos límites o bien pueden ser restricciones directas del derecho fundamental mismo, a las que antes se ha aludido o bien pueden ser restricciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En el primer caso, regular esos límites es una forma de desarrollo del derecho fundamental. En el segundo, los límites que se fijan lo son a la forma concreta en la que cabe ejercer el haz de facultades que compone el contenido del derecho fundamental en cuestión, constituyendo una manera de regular su ejercicio, lo que puede hacer el legislador ordinario a tenor de lo dispuesto en el art. 53.1 CE. La primera constatación que debe hacerse, que no por evidente es menos capital, es que la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental .. . Como se ha dicho anteriormente, la propia LOPD permite establecer los límites para la exigencia del consentimiento. En consecuencia, habrá que determinar si en los concretos hechos que se examinan concurre alguna de las circunstancias previstas en los artículos 6.2 y 11.2 de la LOPD, que excluirían el requisito del consentimiento para el tratamiento de los datos de la denunciante.

Página 28 de 353

El artículo 24 de la Constitución Española señala que “todos tienen derecho a obtener la tutela judicial efectiva de los jueces y tribunales en el ejercicio de sus derechos e intereses legítimos, sin que en ningún caso se produzca indefensión y a la defensa y asistencia de Letrado”: La LOPJ indica en su Exposición de Motivos que “Los Libros y y VI establecen el marco básico regulador de aquellos otros órganos, cuerpos de funcionarios y profesionales que, sin integrar el Poder Judicial, colaboran de diversas formas con él, haciendo posible la efectividad de su tutela en los términos establecidos por la Constitución”. El Libro V, bajo el epígrafe: “Del Ministerio Fiscal y demás personas e instituciones que cooperan con la Administración de justicia y de los que la auxilian”, consagra la función de los Abogados y Procuradores en su condición de colaboradores con la Administración de Justicia. El artículo 30 del Real Decreto 658/2001, de 22 de junio, por el que se aprueba el Estatuto General de la Abogacía Española, establece que “El deber fundamental del abogado, como partícipe en la función pública de la Administración de Justicia, es cooperar a ella asesorando, conciliando y defendiendo en derecho los intereses que le sean confiados. En ningún caso la tutela de tales intereses puede justificar la desviación del fin supremo de Justicia a que la abogacía se halla vinculada.” La Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (en lo sucesivo LEC), que se aplica de forma supletoria a la LOTC, entre otros asuntos, en materia de publicidad y forma de los actos, comunicaciones y actos de auxilio jurisdiccional (artículo 80 LOTC), recoge en el artículo 225.4 que constituye vicio de nulidad absoluta de los actos procesales: “Cuando se realicen sin intervención de abogado, en los casos en que la ley la establezca como obligatoria”: En consonancia con lo anterior, el artículo 209 de la LEC señala que, en el encabezamiento de las sentencias, “deberán expresarse los nombres de las partes y, cuando sea necesario, la legitimación y representación en virtud de las cuales actúen, así como los nombres de los abogados y procurados y el objeto del juicio.” De los citados artículos se desprende el derecho de todos los ciudadanos a la asistencia letrada, y el deber de los profesionales del Derecho de colaborar en la función de publicidad de la Justicia que incluyen las garantías procesales a las que se acaba de hacer referencia y que vienen consagradas en las leyes anteriormente citadas. Por lo tanto, en este supuesto concreto, la publicación de la Sentencia n° 222/2002 del Tribunal Constitucional en el BOE n° 304, suplemento de 20/02/2002, conteniendo la identificación de la denunciante en calidad de letrada, y por tanto, colaboradora necesaria en la función procesal de publicidad de la Justicia, y su posterior publicación, a través de Internet, se encuentra amparada en la dispensa del requisito del consentimiento prevista en el citado artículo 6 de la LOPD. En suma, no se aprecia que la publicación por parte del Tribunal Constitucional, a través de Internet, del nombre y apellidos de la denunciante como tal letrada suponga infracción de la LOPD.” En consecuencia, y para el supuesto planteado, referido a los datos de abogados y procuradores, cabe considerar que su publicación no resulta contraria a lo dispuesto en la Ley Orgánica 15/1999.

Página 29 de 353

Publicación de datos de carácter personal en Sentencias del Tribunal Constitucional. Informe 451/2006 La consulta plantea si es conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, la publicación de las Sentencias del Tribunal Constitucional sin ocultar la identidad personal de los afectados por ella. Esta cuestión ya ha sido resuelta por el Tribunal Constitucional en Sentencia 114/2006, de 5 de abril de 2006, que en sus Fundamentos Jurídicos quinto, sexto y séptimo viene a fundamentar la difusión pública del contenido íntegro de sus resoluciones judiciales. “...Para ello resulta necesario destacar previamente una serie de consideraciones tanto sobre el alcance de la publicidad y publicación de las resoluciones jurisdiccionales de este Tribunal como sobre las posibilidades de hacer excepciones a la completa identificación de las partes procesales a través de la inclusión de sus iniciales. En primer lugar, ha de incidirse en que la Ley Orgánica de este Tribunal establece, por un lado, y en su artículo 1.1, que «[e]l Tribunal Constitucional, como intérprete supremo de la Constitución, es independiente de los demás órganos constitucionales y está sometido sólo a la Constitución y a la presente Ley Orgánica»; y, por otro, y en su artículo 80, que se aplicarán con carácter supletorio las previsiones de la Ley Orgánica del Poder Judicial (LOPJ) y de la Ley de Enjuiciamiento Civil (LECiv), entre otras materias, en lo relativo a la «publicidad y forma de los actos». Ello determina que resulte inequívoco, desde la perspectiva de la concreta naturaleza de la cuestión que se suscita y el órgano al que corresponde resolver sobre la misma, que al aparecer referida al alcance de la publicidad de una resolución de este Tribunal y fundamentarse en la alegación del ejercicio de derechos fundamentales, sea una cuestión jurisdiccional de exclusiva competencia de este Tribunal, en tanto que juez del caso en el que se suscita y, a la vez, supremo intérprete de la Constitución y órgano jurisdiccional superior en cuanto afecta a garantías constitucionales (art. 123.1 CE). Igualmente, también determina que, desde la perspectiva de la normativa aplicable para resolver esta cuestión, las únicas previsiones a las que en exclusiva ha de atender este Tribunal tanto en lo relativo a la publicidad y publicación de sus resoluciones judiciales como, en su caso, a la posibilidad de omitir la identificación de las partes, sean la propia Constitución y la Ley Orgánica del Tribunal Constitucional y, en lo no regulado por éstas y cuando resulten compatibles con la exigencia de la publicidad de las resoluciones del Tribunal Constitucional, la Ley Orgánica del Poder Judicial y la Ley de enjuiciamiento civil, toda vez que, como ya ha reiterado este Tribunal, la aplicación supletoria prevista en el art. 80 LOTC sólo será posible en la medida en que no contradiga lo dispuesto en la Ley Orgánica y sus principios inspiradores. 6 En concreto, en cuanto a la publicidad y publicación de las resoluciones jurisdiccionales del Tribunal Constitucional, las previsiones establecidas en la Constitución son, por un lado, el art. 120 de la CEen cuyos apartados primero y tercero se establece, respectivamente, el principio general de que «[l]as actuaciones judiciales serán públicas, con las excepciones que prevean las Leyes de procedimiento», y que «[l]as sentencias serán siempre motivadas»; y, por otro, y muy especialmente, el art. 164.1 CE que establece Página 30 de 353

que «[l]as sentencias del Tribunal Constitucional se publicarán en el boletín oficial del Estado con los votos particulares, si los hubiere», incidiendo, además, en que el valor de cosa juzgada la adquieren a partir del día siguiente de su publicación. Por su parte, las previsiones establecidas en la Ley Orgánica del Tribunal Constitucional sobre el particular son, por un lado, el art. 86.2, concretando que la obligación de publicación en el Boletín Oficial aparece referida tanto a las Sentencias como a las Declaraciones sobre la constitucionalidad de los tratados internacionales y que la misma debe producirse dentro de los treinta días siguientes a la fecha del fallo; y, por otro, el art. 99.2, que establece, como obligación del Tribunal Constitucional «la recopilación, clasificación y publicación de la doctrina constitucional del Tribunal». Una lectura conjunta de estas previsiones, puestas en relación con los arts. 9.1 CE y 5.1 LOPJ, determina que resulte también inequívoco que el art. 164.1 CE establece, más allá incluso del principio general de publicidad de las actuaciones judiciales y sus resoluciones del art. 120 CE, una exigencia constitucional específica de máxima difusión y publicidad de las resoluciones jurisdiccionales de este Tribunal, que se concreta, por un lado, en que, junto con la más obvia y expresa obligación formal de publicación de determinadas resoluciones en el Boletín Oficial, resulte también implícita una obligación material de dar la mayor accesibilidad y difusión pública al contenido de todas aquellas resoluciones jurisdiccionales del Tribunal que incorporen doctrina constitucional, con independencia de su naturaleza y del proceso en que se dicten; y, por otro, en que la publicidad lo ha de ser de la resolución íntegra. En efecto, con carácter general, el art. 9.1 CE establece la sujeción de los ciudadanos y los poderes públicos a la Constitución y, específicamente en lo referido al Poder Judicial, el art. 5.1 LOPJ determina la vinculación directa de los órganos judiciales a la Constitución, destacando que la misma se produce conforme a la interpretación que de los preceptos y principios constitucionales «resulte de las resoluciones dictadas por el Tribunal Constitucional en todo tipo de procesos». En virtud de ello, y desde la perspectiva del alcance del deber de publicidad y publicación de las resoluciones jurisdiccionales de este Tribunal, es obligado concluir, en primer lugar, que, como presupuesto para el cumplimiento de esta función específica de la jurisprudencia constitucional, resulta necesario que se posibilite el más amplio acceso y conocimiento a la interpretación que de los preceptos y principios constitucionales realiza este Tribunal. En segundo lugar, que, en la medida en que esa función está vinculada con el contenido de las resoluciones jurisdiccionales de este Tribunal, con independencia de su carácter y del proceso en que se dicten, la necesidad de máxima accesibilidad debe ser extensible a todas las resoluciones jurisdiccionales del Tribunal siempre que incorporen doctrina constitucional, incluyéndose, por tanto, los Autos. En tercer lugar, que la exigencia de máxima accesibilidad, si bien respecto de Sentencia y Declaraciones podría quedar garantizada formalmente con su publicación en el Boletín Oficial, sin embargo, materialmente, junto con la de los Autos, y conforme a lo previsto en el art. 99.2 LOTC, es función ineludible del Tribunal Constitucional garantizarla y dotarla de eficacia, a través de dar publicidad a su contenido por los medios -impresos, informáticos o de otra índole- que resulten precisos. Y, por último, que la publicidad que así debe ser garantizada es la de la resolución judicial en su Página 31 de 353

integridad, incluyendo, por lo común, la completa identificación de quienes hayan sido parte en el proceso constitucional respectivo, en tanto que permite asegurar intereses de indudable relevancia constitucional, como son, ante todo, la constancia del imparcial ejercicio de la jurisdicción constitucional y el derecho de todos a ser informados de las circunstancias, también las personales, de los casos que por su trascendencia acceden, precisamente, a esta jurisdicción; y ello sin olvidar que, en no pocos supuestos, el conocimiento de tales circunstancias será necesario para la correcta intelección de la aplicación, en el caso, de la propia doctrina constitucional. Igualmente, debe destacarse que es también una consecuencia derivada de todo lo anterior, que no resulta posible hacer una distinción entre una supuesta publicidad formal, fundamentada en la obligación de publicación de las Sentencias y Declaraciones en el «Boletín Oficial del Estado» -sea en soporte papel, electrónico o cualquier otro que en cada momento se decida legalmentey una publicidad material, fundamentada en la obligación de dotar de máxima difusión y accesibilidad pública a las resoluciones jurisdiccionales de este Tribunal y que se concreta en la inserción que de las mismas realiza el propio Tribunal Constitucional en sus recopilaciones jurisprudenciales -también con independencia de que sea en soporte papel, informático, en internet o cualquier otro que pudiera acordarse-, ya que si bien la primera tiene eventuales efectos jurídicos que no son aplicables a la segunda, sin embargo, ambas suponen una publicidad exigida legalmente. Ello refuerza la conclusión, ya señalada anteriormente, de que cualquier cuestión relativa a la eventual omisión de la identificación de las partes intervinientes en un proceso constitucional tanto en la resolución jurisdiccional que se dicte como en la publicidad que de la misma se haga por parte de este Tribunal, al amparo de la obligación formal de publicación en el Boletín Oficial o de la obligación material de darle la máxima difusión, es de naturaleza jurisdiccional y corresponde resolverla de manera exclusiva y excluyente a este Tribunal con la sola sujeción a lo previsto en la Constitución y en la Ley Orgánica del Tribunal Constitucional.” Por todo lo expuesto, hemos de concluir que, según doctrina del Tribunal Constitucional, la publicación íntegra de sus Sentencias con nombres y apellidos de los afectados, no resulta contraria a la Ley Orgánica 15/1999.

Página 32 de 353

Informe Jurídico (0164/2008) La consulta plantea distintas cuestiones relacionadas con la actividad de la consultante que ha creado una base de datos de profesionales de la medicina utilizando como fuentes los cuadros médicos de diversas compañías aseguradoras de asistencia sanitaria, disponibles on-line e incluyendo en el apartado “dirección” la de los centros médicos donde los profesionales prestan sus servicios. I En primer lugar, debe analizarse la última de las cuestiones planteadas, en la que se solicita el parecer de esta Agencia en relación a si el citado fichero se encontraría sometido a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, teniendo en cuenta, según parece desprenderse de la consulta, lo establecido en el artículo 2.2 de su Reglamento de desarrollo, aprobado por Real decreto 1720/2007, de 21 de diciembre. Según señala el mencionado precepto “este Reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”. Esta Agencia se ha pronunciado acerca de la interpretación que ha de darse a lo dispuesto en el segundo inciso del precepto citado en numerosos informes a partir del emitido con fecha 28 de febrero de 2008, en que se señalaba lo siguiente: “(...) la Agencia ha venido señalando que en los supuestos en que el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999, viniendo el Reglamento a plasmar este principio. No obstante, nuevamente, es necesario que el tratamiento del dato de la persona de contacto sea accesorio en relación con la finalidad perseguida. Ello se materializará mediante el cumplimiento de dos requisitos: El primero, que aparece expresamente recogido en el Reglamento será el de que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales”. De este modo, cualquier tratamiento que contenga datos adicionales a los citados se encontrará plenamente sometido a la Ley Orgánica 15/1999, por exceder de lo meramente imprescindible para identificar al sujeto en cuanto contacto de quien realiza el tratamiento con otra empresa o persona jurídica. Por ello, no se encontrarían excluidos de la Ley los ficheros en los que, por ejemplo, se incluyera el dato del documento nacional de identidad del sujeto, al no ser el mismo necesario para e mantenimiento del contacto empresarial. Igualmente, y por razones obvias, nunca podrá considerarse que se encuentran Página 33 de 353

excluidos de la Ley Orgánica los ficheros del empresario respecto de su propio personal, en que la finalidad no será el mero contacto, sino el ejercicio de las potestades de organización y dirección que a aquél atribuyen las leyes. El segundo de los límites se encuentra, como en el supuesto contemplado en el artículo 2.3, en la finalidad que justifica el tratamiento. Como se ha venido indicando reiteradamente, la inclusión de los datos de la persona de contacto debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos. De este modo, la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad. Así sucedería en caso de que el tratamiento responda a relaciones “business to business”, de modo que las comunicaciones dirigidas a la empresa, simplemente, incorporen el nombre de la persona como medio de representar gráficamente el destinatario de la misma. Por el contrario, sin la relación fuera “business to consumer”, siendo relevante el sujeto cuyo dato ha sido tratado no sólo en cuanto a la posición ocupada sino como destinatario real de la comunicación, el tratamiento se encontraría plenamente sometido a la Ley Orgánica 15/1999, no siendo de aplicación lo dispuesto en el artículo 2.2 del Reglamento.” En el supuesto contemplado en el presente caso, debe tenerse en cuenta que el objeto de la base de datos a la que se refiere la consulta no es la identificación de las empresas que prestan servicios de asistencia sanitaria ni de centros sanitarios, sino la identificación de los propios facultativos. Así se desprende de la consulta, en que se hace referencia a la creación de “una base de datos de profesionales de la medicina”. De este modo, no puede considerarse que la inclusión de los datos del facultativo sea meramente accidental en relación con la finalidad que justifica el tratamiento, sino que es precisamente la identificación de cada uno de los profesionales de la medicina el objeto de la base de datos creadas y la finalidad que motiva su creación. En consecuencia, el fichero se encontrará planamente sometido a lo dispuesto en la Ley Orgánica 15/1999, debiendo darse cumplimiento a las obligaciones previstas en la misma y en su Reglamento de desarrollo, entre las cuales se encuentra la de notificar el mismo para su inscripción en el Registro General de Protección de Datos de esta Agencia. II En segundo lugar, deberá analizarse si una vez sentado lo anterior, el tratamiento llevado a cabo por la consultante mediante la creación de la base de datos a la que se refiere la consulta resulta conforme a la Ley Orgánica 15/1999. El artículo 6 de la citada Ley Orgánica, después de establecer como regla general legitimadora del tratamiento en su apartado 1 el consentimiento del afectado, establece en su apartado 2 que “no será preciso el consentimiento Página 34 de 353

(...) cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”. El artículo 3 j) de la Ley Orgánica enumera taxativamente las fuentes accesibles al público, señalando en su inciso segundo que “tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación”. De este modo, para que el tratamiento de los datos a los que se refiere la consulta resulte conforme a lo dispuesto en la Ley Orgánica 15/1999 deberá ser posible considerar que los directorios de las compañías de asistencia sanitaria disponibles en Internet tienen la consideración de fuentes accesibles al público al ser “listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo”. El artículo 7.1 del reglamento de desarrollo de la Ley Orgánica aclara el concepto establecido en el artículo 3 j) de la Ley Orgánica, en particular en referencia al supuesto al que se viene haciendo referencia en este informe en su apartado c) que incluye entre las fuentes accesibles al público: “Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional”. De lo dispuesto en el mencionado precepto se desprende, en primer lugar, que las listas a las que se refiere el precepto no han de identificarse necesariamente con los listados de profesionales editados o públicamente accesibles por Internet, por los Colegios Profesionales, dado que se establecen especiales aclaraciones en relación a los mismos que no será predicables de la totalidad de las listas a las que se refiere el precepto. En consecuencia, la legislación de protección de datos permite que existan, con la condición de fuentes accesibles al público, listas de profesionales no procedentes de colegios profesionales. En segundo lugar, el precepto establece el contenido máximo que deberán incorporar dichos listados de profesionales. De este modo, si la lista incluyera otros datos distintos a los mencionados en el precepto, incluyendo el concepto amplio del término “dirección” que la propia norma prevé, tampoco podría considerarse incluida en la enumeración de las posibles fuentes accesibles al público, respecto de las cuales se legitima el tratamiento de los datos por el artículo 6.2 de la Ley Orgánica.

Página 35 de 353

Por último, el artículo 7.2 del Reglamento de desarrollo de la Ley Orgánica 15/1999 establece una exigencia adicional para que los ficheros puedan ser considerados fuentes accesibles al público, al disponer que “en todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación”. Ello excluirá del alcance de este concepto los listados de profesionales que pudieran encontrarse en Internet en sitios web en los que el acceso se encontrase restringido a un determinado colectivo, aún cuando se cumplieran los dos requisitos anteriormente citados. Por el contrario, si el único criterio restrictivo del acceso fuera la exigencia de una determinada suscripción sí sería posible considerar el listado como fuente accesible al público. De lo señalado hasta ahora, cabe deducir que el tratamiento llevado a cabo por la consultante sería conforme al artículo 6.2 de la Ley Orgánica 15/1999 siempre que concurrieran las siguientes condiciones en las listas de las que se hubieran obtenido los datos: - Dichas listas se refieren únicamente a profesionales de la medicina, pudiendo proceder o no (como sucede en el supuesto planteado) de un colegio profesional. - Las listas contienen única y exclusivamente los datos a los que se refiere el artículo 3 j) de la Ley Orgánica 15/1999, con la aclaración efectuada por el artículo 7.1 c) del Reglamento que la desarrolla. - Además, las listas son libremente accesibles por cualquier persona, mediando o no el pago de una contraprestación, pero el acceso no se encuentra limitado a un determinado colectivo (por ejemplo, los asegurados de la compañía de asistencia sanitaria). III Por otra parte, si se dieran los requisitos anteriormente expuestos, ya se ha señalado que el consultante queda plenamente sometido a las previsiones de la Ley Orgánica 15/1999, entre las que se encuentra el deber de información al afectado acerca del tratamiento de sus datos. A tal efecto, dispone el artículo 5.1 de la Ley Orgánica 15/1999 que “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”. Si los datos no hubieran sido recabados del afectado, el artículo 5.4 de la Ley Orgánica añade que “éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo”. Página 36 de 353

El plazo previsto en el citado precepto se encuentra además limitado en los supuestos en que se va a proceder a la cesión de los datos a terceros, lo que aquí podría producirse se producirá mediante la difusión, en su caso, de la base de datos, al disponer el artículo 27.1 de la Ley Orgánica 15/1999 que “el responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario”. Al propio tiempo, si los datos fueran utilizados en actividades de publicidad o prospección comercial, el artículo 5.5 de la Ley Orgánica 15/1999 exceptúa la aplicación de lo señalado en los preceptos que acaban de indicarse, si bien se dispone que “en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten”.

Página 37 de 353

Comunicación de información al Colegio de abogados. Informe 0170/2008. La consulta plantea si puede ampararse en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, la comunicación de la documentación señalada al Colegio de Abogados a los efectos de que los abogados de oficio perciban la remuneración correspondiente. En primer lugar es preciso indicar que la comunicación de la documentación señalada en la consulta, constituye una cesión de datos de carácter personal, definida en el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a persona distinta del interesado”. En relación con la cesión de datos, el artículo 11.1 de la Ley dispone que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. El consentimiento deberá ser otorgado con carácter previo a la cesión y suficientemente informado de la finalidad a la que se destinen los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quién se pretende comunicar (artículo 11.3), y que debe recabar el cedente como responsable del fichero que contiene los datos que se pretenden ceder. La obligación de consentimiento sólo se verá exceptuada en los supuestos enumerados en el artículo 11.2 se prevén las excepciones a la necesidad del consentimiento para que la cesión de datos pueda ser efectiva y así se establece que nos será necesario dicho consentimiento: a) Cuando la cesión está autorizada en una Ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos. En consecuencia sólo será lícita la cesión sin el consentimiento previo del afectado, cuando la misma pueda ampararse en alguna de las excepciones del artículo 11.2, de lo contrario debería de recabarse el consentimiento del afectado.

Página 38 de 353

La Ley 1/1996, de 10 de enero de asistencia jurídica gratuita, regula en los artículos 37 y siguientes la subvención y supervisión de los servicios de asistencia jurídica gratuita. Más concretamente el artículo 38 establece que “Reglamentariamente se establecerá el sistema a través del cual se subvencionará, con cargo a las dotaciones presupuestarias del Ministerio de Justicia, el coste que genere a los Consejos Generales y Colegios profesionales de Abogados y Procuradores el funcionamiento operativo de los servicios de asistencia jurídica gratuita, de las unidades encargadas del asesoramiento y la orientación previos al proceso a los ciudadanos y de la calificación provisional de las pretensiones solicitadas. Dicho sistema se ajustará en todo caso a las siguientes reglas: a) La subvención se determinará para cada Colegio con un sistema de módulos compensatorios por expediente tramitado. b) Hasta tanto no se cumpla el mencionado requisito, los Colegios percibirán la cuantía que resulte de aplicar el 8 por 100 al coste económico generado en cada período de liquidación por las actuaciones profesionales mencionadas en el artículo anterior.” Por su parte el Principado de Asturias, ha procedido ha desarrollar la citada Ley a través del Decreto 273/2007 de 28 de noviembre, por el que se aprueba el Reglamento de Asistencia Jurídica Gratuita y es en su artículo 39 donde se regula la verificación de los servicios prestados, estableciendo que: 1. Los colegios de abogados y los de procuradores deberán verificar la efectiva prestación de los servicios por parte de los profesionales mediante la oportuna justificación documental que conservarán a disposición de la Consejería competente en materia de justicia por un período de cuatro años. 2. Los colegios de abogados y los de procuradores comunicarán a la Consejería competente en materia de justicia los pronunciamientos en costas que se hayan producido y las posibles indemnizaciones o beneficios obtenidos por el cliente que tenga reconocido el derecho de asistencia jurídica gratuita. 3. En todos los casos, la documentación acreditativa de la actuación profesional a la que se refiere el apartado primero del presente artículo se deberá efectuar mediante la aportación del correspondiente justificante de la intervención profesional, en el plazo de un mes natural a contar desde la finalización de aquélla. El justificante de la intervención profesional, debidamente sellado, será facilitado a abogados y abogadas y procuradores y procuradoras por los correspondientes colegios y se identificará en el mismo a la persona solicitante, el número de expediente, el profesional designado y la fecha de la designación. Los Letrados y Letradas y procuradores y procuradoras deberán cumplimentar el justificante con los datos identificativos del órgano judicial, procedimiento y fase procesal alcanzada, para que, una vez realizada la actuación profesional de la que nace el devengo de la indemnización, sea sellado por el órgano judicial o por el centro de detención.” De ambas normas podemos concluir que para el abono de las retribuciones, lo que deberá de presentarse es el justificante de intervención procesal debidamente sellado al que hace referencia el artículo 39 anteriormente trascrito, no siendo necesario para el Colegio de Abogados conocer todo el fondo del asunto.

Página 39 de 353

Requerimiento de información del consejo General de la Abogacía al Colegio profesional. Informe Jurídico 0221/2008 La consulta es continuación de la que fue objeto de informe de fecha 19 de septiembre de 2007, relativa a la existencia de amparo en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, para la comunicación al Consejo por parte de los Colegios Profesionales de Abogados y Procuradores de los datos correspondientes a sus colegiados ejercientes “a efectos de su incorporación a las aplicaciones informáticas de utilización en los órganos judiciales”. Según se indicaba en el mencionado informe, la cesión planteada podía considerarse amparada en lo dispuesto en los apartados a) y c) del artículo 11.2 de la Ley Orgánica 15/1999, en conexión con lo dispuesto en la Ley de Enjuiciamiento Civil en lo que a la representación y defensa de las partes en el proceso se refiere. En el citado informe se indicaba lo siguiente: “Así el artículo 23.1 de la Ley de Enjuiciamiento Civil dispone que “La comparecencia en juicio será por medio de Procurador, que habrá de ser licenciado en Derecho, legalmente habilitado para actuar en el Tribunal que conozca del juicio”, con las excepciones previstas en su apartado 2. Igualmente, el artículo 31.1 dispone, en lo que a la defensa de las partes se refiere, y con las únicas excepciones previstas en el apartado 2, que “Los litigantes serán dirigidos por abogados habilitados para ejercer su profesión en el tribunal que conozca del asunto. No podrá proveerse a ninguna solicitud que no lleve la firma de abogado”. De este modo, la Ley atribuye a los abogados y procuradores la representación y defensa de las partes ante los órganos jurisdiccionales, sólo pudiendo ejercerse dichas funciones por quienes se encuentren expresamente habilitados para dicho ejercicio, para lo que es requisito ineludible la colegiación del profesional, tal y como se deriva de la normativa general y especial referida a los correspondientes colegios. De este modo, siendo necesario el cumplimiento de dichos requisitos, el conocimiento por parte de los órgano jurisdiccionales de la condición de colegiado del correspondiente abogado o procurador, mediante el acceso a los correspondientes censos de colegiados ejercientes, parece necesario para el adecuado ejercicio de la correspondiente profesión, evitándose el incumplimiento de las leyes rituarias y garantizándose la adecuada representación y defensa de las partes, en los términos exigidos por aquéllas. De este modo, sería posible considerar que la cesión de los datos resulta necesaria para el adecuado ejercicio de la profesión de abogado o procurador, instada mediante la colegiación por parte del profesional, así como entender que la cesión se encuentra habilitada por las normas procesales, en conexión con lo dispuesto en la Ley de Colegios Profesionales y las normas específicas reguladoras de ambas profesiones.” En la presente consulta se plantea si debe darse cumplimiento en este caso al deber de información a los colegiados y a quién corresponde dicha obligación. Con carácter general, el artículo 5.1 de la Ley Orgánica 15/1999 impone el deber de información a los afectados de los que se recaban datos de carácter Página 40 de 353

personal, entre otras cosas, “de los destinatarios de la información”, es decir, de los cesionarios de los datos, tal y como prevé su letra a) in fine. El artículo 5.4 impone igualmente la obligación de informar acerca de lo establecido en el artículo 5.1 a), entre otros, en caso de que los datos no sean recabados de os afectados, debiendo verificarse en el plazo de tres meses desde la recogida de los datos, a menos que se vaya a producir su comunicación posterior, en cuyo caso el artículo 27.1 impone el deber de información con anterioridad a dicha comunicación. Por su parte, el artículo 5.5 dispone en su primer párrafo que “No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias”. En todo caso, debe ponerse de manifiesto que la excepción a la que se hace referencia en este artículo únicamente opera en los supuestos previstos en el “apartado anterior”; es decir, en el artículo 5.4, referido a los supuestos en que “los datos de carácter personal no hayan sido recabados del interesado”. En el presente caso, los Colegios Profesionales cesionarios sí habrán recogido los datos de los propios colegiados, por lo que no operaría la excepción señalada, debiendo cumplirse en todo caso el deber de informar acerca de la cesión al Consejo general del Poder Judicial. Aún en caso de existir dudas acerca de la conclusión que acaba de alcanzarse, lo que únicamente se hace constar a efectos de reforzar las conclusiones derivadas del presente informe, la aplicación del artículo 5.5 de la Ley Orgánica 15/1999 ha sido analizada por la Agencia Española de Protección de Datos, en informe de 8 de noviembre de 2004, habiéndose señalado lo siguiente: “El artículo 5 de la Ley Orgánica 15/1999 viene a establecer un deber impuesto en general a los responsables de los tratamientos, de tal suerte que, en principio, será necesario informar al afectado del tratamiento de sus datos de carácter personal, tanto en los supuestos en que el mismo cuenta con el consentimiento del mismo como en los casos en que el tratamiento se encuentra habilitado por otras causas admitidas por el artículo 6 de la propia Ley. Según lo dispuesto en el propio artículo 5, el cumplimiento de dicho deber debería ser inmediato en caso de que los datos fueran recogidos de los afectados o verificarse en el plazo de tres meses desde la recogida, si el origen de los datos no fuera el propio afectado. No obstante, esta regla admite determinadas excepciones o matizaciones para supuestos excepcionales. Así, en caso de que los datos no sean recogidos directamente de los afectados, el artículo 5.5 establece en su párrafo primero que “No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias”. Página 41 de 353

El precepto transcrito tiene su origen en lo establecido en el artículo 11.2 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de la que la Ley Orgánica 15/1999 es transposición al Ordenamiento español. Según dicho precepto “Las disposiciones del apartado 1 (referido al deber de información en caso de recogida de los datos de fuentes distintas al propio afectado) no se aplicarán, en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas”. De este modo, una interpretación coherente del artículo 5.5 de la Ley Orgánica 15/1999, a la vista de lo establecido en la Directiva 95/46/CE de que trae causa, implica que el deber de información al afectado quedará exceptuado en los supuestos en que el tratamiento o cesión de datos venga expresamente regulado en una norma con rango de Ley. (...) En todo caso, es preciso aclarar que la aplicación de la excepción del artículo 5.5 a la que venimos refiriéndonos en este caso será aplicable a supuestos como el aquí analizado, en que el tratamiento o cesión de los datos de carácter personal aparece recogido expresamente en una norma con rango de Ley, pero no a aquellos supuesto en que la Ley “autorice” o “habilite” la cesión de los datos, pero no la recoja de modo expreso y taxativo en su articulado, sin perjuicio de que en dichos supuestos la cesión se encontrará amparada por lo dispuesto en los artículos 6.2 u 11.2 a) de la Ley Orgánica 15/1999. En el sentido que se ha descrito se ha pronunciado ya la Agencia Española de Protección de Datos en resolución de 8 de octubre de 2004, en la que se señala: “El artículo 5.5 también exceptúa de la obligación de informar cuando expresamente una Ley lo prevea. De la interpretación literal del artículo resultaría que la obligación de informar debe estar expresamente exceptuada en una Ley para que se cumplan las condiciones previstas en este supuesto. Sin embargo la Directiva 95/46/CE, que ha sido traspuesta por la Ley 15/1999, en su artículo 11.2 especifica que no existe deber de informar en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley, por lo que ha de interpretarse este supuesto de exclusión en los términos previstos en la Directiva, quedando excluida la obligación de informar cuando la cesión de datos esté expresamente prevista en una Ley” Como se analizaba en el informe de 19 de septiembre de 2007, la cesión aquí analizada no se encuentra expresamente prevista en ninguna norma con rango de Ley, sino que se desprende de lo establecido respecto de la representación y defensa de las partes en la legislación procesal, vinculada igualmente al requisito de colegiación obligatoria establecido en la Ley 2/1974 y las normas reguladoras de las profesiones de abogado y procurador.

Página 42 de 353

En consecuencia, aún cuando se considerase aplicable al caso el artículo 5.5 de la Ley Orgánica 15/1999, lo que ya se ha señalado con anterioridad que no procede, no se cumplirían los requisitos objetivos necesarios para aplicar la excepción prevista en el mismo, al no existir una habilitación legal expresa para la cesión. En cuanto al sujeto obligado a dar cumplimiento al deber de informar serán los Colegios Profesionales quienes deberán informar a los profesionales acerca de los destinatarios de la información que consta en sus ficheros, necesaria para el adecuado ejercicio de las profesiones de abogado y procurador. En este sentido, tampoco cabe considerar aplicable al caso la excepción prevista en el artículo 5.5 de la Ley Orgánica para los supuestos en que el cumplimiento del deber de informar resulte imposible o exija un esfuerzo desproporcionado, dada la relación constante existente entre la Corporación y el colegiado. A la vista de todo ello, cabe concluir que los Colegios de abogados y procuradores deberán dar cumplimiento al deber de informar a los colegiados acerca de la cesión de sus datos al Consejo general del Poder Judicial, pudiendo incluir dicha información en las comunicaciones que aquéllos dirigen periódicamente a los colegiados.

Página 43 de 353

Comunicación de datos contenidos en listas profesionales. Informe 0258/2008 La consulta plantea, si conforme a la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, se puede comunicarla lista de profesionales con los datos limitados a los previstos en el artículo 3 j) de la citada Ley Orgánica. En primer lugar es preciso indicar que la definición contenida en el artículo 3j) relativa a las fuentes accesibles al público se complementa con lo dispuesto en el artículo 7 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la Ley Orgánica 15/1999 que tiene por finalidad clarificar el concepto de fuentes accesibles al público. Por tanto, para poder considerar el listado de asociados como fuentes accesibles al público se exige la concurrencia de determinados requisitos que se contemplan en el artículo 7.1 c) del Real Decreto 1720/2007 1 “ (..)c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.” En consecuencia, no todos los ficheros que contengan los datos enumerados taxativamente en el artículo han de ser considerados fuentes accesibles al público, sino que para que dicha circunstancia pueda tener lugar, será indispensable que tales ficheros puedan ser libremente accesibles por cualquier persona, bien gratuitamente, bien mediante el abono de una contraprestación. Los ficheros que conteniendo los datos enumerados sean utilizados internamente por el Colegio Profesional o sean de acceso restringido, por ejemplo, a los propios colegiados, exclusivamente, no tendrán la condición de fuente accesible al público. En este sentido, debe indicarse que la Sentencia de la Audiencia Nacional de 29 de junio de 2001 recuerda que “Las fuentes accesibles al público son aquéllas a través de las cuales podemos conocer en bloque, es decir, no mediante consultas puntuales al Colegio Profesional correspondiente a cada colegiado, sino en su totalidad, en forma de listado, los pertenecientes a un determinado colectivo (...) por ser dicho conocimiento, íntegro, de carácter público”. De este modo, será preciso que exista una divulgación previa del listado de colegiados, de forma que los mismos aparezcan en una publicación divulgada fuera del Colegio, aunque el número de sus destinatarios sea limitado, no cumpliéndose este requisito en caso de que no exista divulgación externa al Colegio, sino que el censo sea de uso interno o estrictamente limitado a los colegiados. La existencia de dicha divulgación previa se plasma en el apartado segundo del artículo 7 2. señalando que “En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación.” Página 44 de 353

En consecuencia, el listado previsto en la consulta sólo tendrá la consideración de fuentes accesibles al público cuando concurra las dos circunstancias señaladas; - Que los datos objeto de cesión se redujeran a aquellos enumerados en el artículo 7.1 c). - Que los mismos hubieran sido objeto de difusión pública mediante la publicación de un directorio de colegiado. Por tanto si el listado cumple dichos requisitos podrá tener la consideración de fuentes accesibles al público, con las consiguientes posibilidades de tratar y ceder los dato sin el consentimiento de los afectados, según lo señalado en el artículo 6.2 y 11.2 de la Ley Orgánica 15/1999. En consecuencia, la publicación en la página web de un listado de asociados, convierte a la lista en fuentes accesibles al público, siempre que previamente se hayan dado los requisitos anteriormente señalados para considerarla como fuente accesible al público, y además se hayan cumplido con los deber que con carácter general impone la normativa de protección de datos tales como, el deber de informar previsto en el artículo 5, o se haya obtenido el consentimiento de los sujetos, en los casos que proceda. La segunda cuestión, alude al cumplimiento del deber de informar, previsto en el artículo 5.1 de la Ley Orgánica, describiendo en la consulta el procedimiento utilizado por la consultante para atender dicho deber. Respecto a dicho procedimiento, la Agencia en diversos informes tales como el de fecha 21 de diciembre de 2006 se ha pronunciado sobre la correcta realización del mismo, señalando que; Como cuestión previa, es preciso señalar que dado que del contenido de la consulta no se desprende otra cosa, entendemos que “por aviso legal de protección de datos”, se está refiriendo al cumplimiento del deber de informar previsto en el artículo 5.1 de la Ley Orgánica 15/1999. El artículo 5.1 de la citada Ley Orgánica establece que “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”. Dicho lo anterior, la conservación de este consentimiento será imprescindible para asegurar que el tratamiento de los datos se ha adecuado a las exigencias contenidas en la Ley Orgánica. En consecuencia será necesario que se haga constar de alguna forma en el fichero la existencia de esta autorización, conservando, en un soporte que permita asegurar su autenticidad, la conformidad del afectado con el tratamiento de sus datos, y asegurando asimismo que el afectado tiene pleno conocimiento de los extremos requeridos por el artículo 5.1 de la Ley Orgánica 15/1999. En consecuencia la existencia de dicho consentimiento deberá conservarse por la entidad consultante, tanto Página 45 de 353

en el supuesto de los colegiados antiguos como en el de sus nuevos colegiados. En este sentido, debe señalarse que la Audiencia Nacional ha analizado el efecto probatorio de la notificación a los interesados del tratamiento de sus datos personales en su Sentencia de 31 de mayo de 2006 donde viene a modular el criterio sostenido por la Sentencia de 24 de enero de 2003, reconociendo, precisamente, la posible acreditación de la recepción a través de indicios que permiten desvirtuar la alegación del afectado, señalando que “y aún en el caso de que no lo desvirtuaran plenamente introducen las suficientes dudas como para que entendamos aplicable el principio del favor rei, principio general aplicable en la valoración de la prueba tanto en los procesos penales como en los procedimientos administrativos sancionadores”. En consecuencia, la Audiencia Nacional viene a reconocer que sin perjuicio de que la carga de la prueba de la notificación corresponde al responsable del fichero, será suficiente para lograr esa acreditación la aportación de indicios suficientes que coadyuven a entender cumplido el requisito. Ciertamente, los posibles indicios a aportar podrán diferir en cada caso En el supuesto analizado por la Sentencia de 31 de mayo de 2006, se aceptaron como indicios “la inclusión en el fichero auxiliar de notificaciones de esta comunicación como realizada” y el hecho de que “(el afectado) se dirige a (la recurrente) sabiendo que sus datos están incluidos en el fichero y quien había sido la entidad informante de los mismos sin que se haya acreditado mínimamente que dicho conocimiento lo obtuvo de forma distinta de la comunicación que dice haber realizado (la recurrente), y, finalmente, “el hecho de que al domicilio al que aparece dirigida la comunicación que se niega haber recibido, se han remitido otras comunicaciones de las que el denunciante ha tenido perfecto conocimiento”. No obstante, podría resultar conveniente la utilización de medios fiables, independientes y auditables para la realización de las notificaciones o la obligación de comprobación de que los envíos no han sido devueltos por su destinatario. Al tratarse de medios independientes, en el caso planteado, resultaría aconsejable que la acreditación de dichos envíos y las posibles devoluciones las efectuará una persona distinta al secretario general del Colegio.” En virtud de lo dispuesto y lo señalado en la consulta, podemos concluir que siempre que la entidad contratada para realizar los envíos sea independiente de la consultante y permita acreditar éstos y las posibles devoluciones, el procedimiento resulta correcto. En cuanto a la última cuestión, está plenamente vinculada con el concepto de fuentes accesibles al público al que hemos hecho referencia anteriormente, por tanto si la lista de colegiados cumple con los requisitos para considerarla d fuentes accesibles al público, se podrá comunicar a cualquier solicitante.

Página 46 de 353

Traspaso de información entre Colegios profesionales. Informe 0321/2008 La consulta plantea, si al amparo del artículo 7.1 c) Real Decreto 1720/2007, de 21 de diciembre por el que se desarrolla la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal. Se pueden comunicar a otros Colegios Profesionales los datos profesionales de sus colegiados. El artículo 7 del Reglamento que desarrolla la Ley Orgánica 15/1999 tiene por finalidad clarificar el concepto de fuentes accesibles al público, contenido en el artículo 3 j) de la LOPD, que señala “son fuentes accesibles al público “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación” Para poder considerar el listado de colegiados como fuentes accesibles al público se exige la concurrencia de determinados requisitos que se contemplan en el artículo 7.1 c) del Real Decreto 1720/2007 1 “ (..)c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.” En consecuencia, no todos los ficheros que contengan los datos enumerados taxativamente en el artículo han de ser considerados fuentes accesibles al público, sino que para que dicha circunstancia pueda tener lugar, será indispensable que tales ficheros puedan ser libremente accesibles por cualquier persona, bien gratuitamente, bien mediante el abono de una contraprestación. Los ficheros que conteniendo los datos enumerados sean utilizados internamente por el Colegio Profesional o sean de acceso restringido, por ejemplo, a los propios colegiados, exclusivamente, no tendrán la condición de fuente accesible al público. En este sentido, debe indicarse que la Sentencia de la Audiencia Nacional de 29 de junio de 2001 recuerda que “Las fuentes accesibles al público son aquéllas a través de las cuales podemos conocer en bloque, es decir, no mediante consultas puntuales al Colegio Profesional correspondiente a cada colegiado, sino en su totalidad, en forma de listado, los pertenecientes a un determinado colectivo (...) por ser dicho conocimiento, íntegro, de carácter público”. De este modo, será preciso que exista una divulgación previa del listado de colegiados, de forma que los mismos aparezcan en una publicación divulgada fuera del Colegio, aunque el número de sus destinatarios sea limitado, no cumpliéndose este requisito en caso de que no exista divulgación externa al

Página 47 de 353

Colegio, sino que el censo sea de uso interno o estrictamente limitado a los colegiados. La existencia de dicha divulgación previa se plasma en el apartado segundo del artículo 7 2. señalando que “En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación.” En consecuencia, el listado previsto en la consulta sólo tendrá la consideración de fuentes accesibles al público cuando concurra las dos circunstancias señaladas; - Que los datos objeto de cesión se redujeran a aquellos enumerados en el artículo 7.1 c). - Que los mismos hubieran sido objeto de difusión pública mediante la publicación de un directorio de colegiado 7.2. Por tanto si el listado cumple dichos requisitos podrá tener la consideración de fuentes accesibles al público, con las consiguientes posibilidades de tratar y ceder los dato sin el consentimiento de los afectados, según lo señalado en el artículo 6.2 y 11.2 de la Ley Orgánica 15/1999. Dado que en el supuesto de hecho planteado en la consulta desconocemos si el listado de los colegiados cumple con los requisitos expuestos, podemos concluir que de cumplirlos el listado tendrá la consideración de fuente accesible al público, pudiendo en consecuencia cederse los datos sin necesidad de recabar el consentimiento de los colegiados. En todo caso, la utilización de los datos por parte de los Colegios Profesionales a los que se les comunique deberá ajustarse a lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999, según el cual “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

Página 48 de 353

Cesión de datos de listado de asociados a otro asociado. Informe 0333/2008 La consulta plantea, varias cuestiones relacionadas con la cesión del listado de asociados a un socio que lo solicita, planteándose si dicha comunicación es contraria o no a la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal. En primer lugar, nos cuestionan el sentido literal de un artículo de los Estatutos de la Asociación, en este sentido es preciso indicar que la Agencia Española de Protección de Datos, carece de competencias para concretar el significado del artículo cuestionado, no obstante debemos de atender al tenor literal del mismo para concretar el alcance de la comunicación solicitada. Con carácter general, la revelación a unos socios de los datos referentes a los demás socios implicará la existencia de una cesión o comunicación de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado” Tratándose de una cesión de datos, el artículo 11.1 de la Ley Orgánica dispone que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, no será preciso el consentimiento del interesado “Cuando la cesión está autorizada en una Ley” (artículo 11.2 a) o “Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros” (artículo 11.2 c). Por tanto, se puede entender prestado el consentimiento en aquellos supuestos en que conste en los Estatutos de la Entidad una cláusula que establezca el derecho de los socios a conocer los datos de las restantes personas que integran la asociación, por cuanto el interesado, al prestar su conformidad con lo dispuesto en los Estatutos, habrá consentido la cesión que en los mismos se prevea. En el supuesto de hecho planteado en la consulta se concreta que el artículo 30.2 de los Estatutos señala que “Todo asociado tiene derecho a conocer en cualquier momento, la identidad de los demás miembros de la Asociación, el estado de cuentas de ingresos y gastos y el desarrollo de la actividad de ésta.” Es por ello, que al amparo de dicho artículo deba de comunicarse al asociado que lo solicite la identidad de los demás miembros, dado que la incorporación de cualquier persona a la asociación, conlleva la necesaria aceptación y conocimiento de los Estatutos lo que implicará el conocimiento por aquél del hecho de la cesión y permite amparar la misma en la propia norma estatutaria. En cuanto al alcance de la expresión identidad, habrá que limitarse a concretar que tan sólo podrán acceder a su identidad constituida por los nombres y apellidos de los asociados. Por último indicar, que aquel al que se le comunique la identidad de los asociados deberá respetar los principios de proporcionalidad y finalidad Página 49 de 353

previstos en el artículo 4.1 y. 2 de la Ley Orgánica 15/1999 que señala “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”. Además, el artículo 4.2 dispone que “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”. En el supuesto planteado en la consulta no se concreta dicha finalidad, si bien habrá que entenderla limitada a un uso exclusivo en relación con los fines de la asociación y para poder ejercer por parte de los socios, sus derechos previstos en los Estatutos.

Página 50 de 353

Creación de listado conteniendo datos protegidos. Informe 0334/2008 La consulta plantea si la creación de un fichero en el que sólo se contiene el número de DNI, o el NIE queda sometido a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. En primer lugar es preciso determinar si el número de DNI o el NIE son datos de carácter personal, según la Ley Orgánica 15/1999 el concepto de dato personal, comprende según el artículo 3 a) “cualquier información concerniente a persona física identificada o identificable”, entendemos que se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable. Este concepto se confirma y se concreta tras la entrada en vigor del Reglamento que desarrolla la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, en el que se define tanto dato de carácter personal como persona identificable en el artículo 5.1 estableciendo que son “f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, y o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.” Dichas definiciones hay que relacionarlas con las finalidades que tienen tanto el DNI como el NIE y que aparecen recogidas en sendos Reales Decretos que los regulan. En primero lugar, el Real Decreto 1553/2005, de 23 diciembre por la que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica del DNI, regula en su artículo 1 la naturaleza y funciones del DNI señalando que “1. El Documento Nacional de Identidad es un documento personal e intransferible emitido por el Ministerio del Interior que goza de la protección que a los documentos públicos y oficiales otorgan las leyes. Su titular estará obligado a la custodia y conservación del mismo. 2. Dicho Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo. 3. A cada Documento Nacional de Identidad, se le asignará un número personal que tendrá la consideración de identificador numérico personal de carácter general. 4. Igualmente, el Documento Nacional de Identidad permite a los españoles mayores de edad y que gocen de plena capacidad de obrar la identificación electrónica de su titular, así como realizar la firma electrónica de documentos, en los términos previstos en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica (..)” En cuanto al NIE se encuentra regulado en el Real Decreto 2393/2004, de 30 diciembre por el que se Aprueba el Reglamento de la Ley Orgánica 4/2000, sobre derechos y libertades de los extranjeros en España y su integración social en cuyo artículo 101 regula el número de identidad de extranjero señalando que “1. Los extranjeros que obtengan un documento que les habilite para permanecer en territorio español, aquellos a los que se les haya incoado Página 51 de 353

un expediente administrativo en virtud de lo dispuesto en la normativa sobre extranjería y aquellos que por sus intereses económicos, profesionales o sociales, se relacionen con España serán dotados, a los efectos de identificación, de un número personal, único y exclusivo, de carácter secuencial. 2. El número personal será el identificador del extranjero, que deberá figurar en todos los documentos que se le expidan o tramiten, así como en las diligencias que se estampen en su pasaporte o documento análogo. 3. El número de identidad del extranjero (NIE) deberá ser otorgado de oficio, por la Dirección General de la Policía, en los supuestos mencionados en el apartado 1,(..)”. En consecuencia, la base de datos descrita en la consulta en la que tan sólo aparece recogido el número del DNI o el NIE, queda plenamente sometida a la Ley Orgánica y su Reglamento de desarrollo, debiendo de adoptarse todas las medidas en dichas normas previstas, dado que son números cuya finalidad es identificar a las personas físicas. Asimismo en cuanto al concepto de tratamiento, se define en el apartado c) del 3 de la Ley Orgánica 15/1999“operaciones y procedimientos técnicos de carácter automatiza o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.” Por todo ello, podemos concluir que la actuación descrita en la consulta constituye un tratamiento de datos de carácter personal y por tanto queda sometido a la Ley Orgánica 15/1999, pues así lo establece el artículo 2.1 de la misma, al indicar que “. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”.

Página 52 de 353

Acceso por parte de cuerpos de seguridad a datos protegidos en matrículas de vehículos. Informe Jurídico 433/2008 La consulta plantea “bajo qué circunstancias” puede autorizarse a las Fuerzas y Cuerpos de Seguridad el acceso a las instalaciones de un determinado aparcamiento público para proceder a la lectura de las matrículas de los vehículos estacionados, teniendo en cuenta que la matricula de un vehículo ha de ser considerada como dato de carácter personal, conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. El artículo 22.2 de la Ley Orgánica 15/1999 dispone que “la recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad” El citado artículo habilita, a nuestro juicio, a los miembros de las Fuerzas y Cuerpos de Seguridad para la obtención y tratamiento de los datos requeridos, lo que llevará aparejada la procedencia de la cesión instada, siempre y cuando, tal y como ha venido indicando reiteradamente esta Agencia Española de Protección de Datos en diversos informes, se cumplan las siguientes condiciones: a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta. b) Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos. c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto. d) Que, en cumplimiento del artículo 22.4 de la Ley Orgánica 15/1999, los datos sean cancelados “cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento”.

Página 53 de 353

Obligaciones del abogado. Informe 0453/2008 La consulta plantea diversas cuestiones en relación con la aplicación de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter personal a su actividad profesional como Abogado. I En primer lugar el consultante desea saber si la incorporación de los datos personales de sus clientes al expediente documental o carpeta que abre para cada uno y su uso posterior al objeto de desarrollar sus funciones como abogado constituye un tratamiento de datos no automatizado y si tal expediente sería un fichero. A su vez manifiesta tener inscrito en el Registro de esta Agencia Española de Protección de Datos un fichero de clientes. La respuesta afirmativa a dicha cuestión se encuentra en el artículo 3. c) de la Ley Orgánica 15/1999 que define el tratamiento de datos como “ Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.” Definición que se completa en el artículo 5.1 t) del Reglamento de desarrollo, Real Decreto 1720/2007, de 21 de diciembre al incluir también en su definición cualquier operación de consulta y utilización de datos de carácter personal. El régimen jurídico de la protección de datos se extiende a los datos de carácter personal que estén registrados en un soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de los datos por los sectores público y privado ( artículo 2. 1 de la Ley Orgánica 15/1999), que viene a trasponer el artículo 3 de la Directiva 95/46 CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 que señala que “sus disposiciones se aplicarán al tratamiento total o parcialmente automatizado de datos de carácter personal, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.” Como recoge la Sentencia de 16 de febrero de 2006 de la Audiencia Nacional (rec. 511/2004) “Para abordar el concepto de “tratamiento de datos personales” y el de “fichero” desde la perspectiva legal hemos de partir de la Directiva 95/46, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (…). Esta Directiva nos dice, en primer lugar, que el concepto de tratamiento no puede depender de la técnica utilizada para el manejo de los datos, de ahí que incluya tanto el tratamiento automatizado como el manual ( Considerando 27 de su Preámbulo). Así, lo relevante para que estemos ante un tratamiento de datos personales es la realización de determinadas actuaciones en relación con los mismos, actuaciones que en su descripción son muy amplias y variadas. Nuestra ley lo define de forma muy similar en el artículo 3.c) de la Ley Orgánica 15/1999 (…..). No basta, sin embargo, la realización de una de estas actuaciones en relación con los datos personales para que la ley despliegue sus efectos protectores y sus garantías y derechos del afectado. Es preciso algo más: que las actuaciones de recogida, grabación, conservación, etc. se realicen de forma automatizada o bien, si se realizan de forma manual, que los datos personales estén contenidos o destinados a un fichero.

Página 54 de 353

Así, todo fichero de datos exige para tener esta consideración una estructura u organización con arreglo a criterios determinados. El mero acúmulo de datos sin criterio alguno no podrá tener la consideración de fichero a los efectos de la ley. Pues bien, para que una actuación manual sobre datos personales (recogida, grabación, cesión, etc. ) tenga la consideración de tratamiento de datos personales sujeto al sistema de protección de la Ley Orgánica 15/1999, es necesario que dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo a criterios determinados. Si no es así, el tratamiento manual de datos quedará fuera del ámbito de aplicación de la ley, no será un tratamiento de datos personales según el concepto normativo que la ley proporciona.” Los conceptos de tratamiento y fichero están estrechamente vinculados entre sí. Podríamos decir que el fichero es el soporte físico (ya sea informático o de otra naturaleza) que almacena los datos con un determinado criterio organizativo, en tanto que el tratamiento es la operación que se realiza con los datos que se almacenan en dicho soporte. Así, en la medida en que los datos especialmente protegidos a que alude el consultante, se incorporen a ese soporte físico al que pueda accederse conforme a criterios determinados, tendremos datos incorporados a un fichero, respondiendo con ello a la última de las cuestiones que plantea. El artículo 3 b) de la Ley Orgánica define el fichero como “Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” Y completa el artículo 5.1 k) del Reglamento que considera fichero “Todo conjunto organizado de datos de carácter personal, que permita el acceso con arreglo a criterios determinados, cualquiera (…).” Y en su apartado n) considera como fichero no automatizado “ todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.” De cuanto antecede y de los términos de la consulta, puede concluirse que el consultante estaría realizando un tratamiento de datos personales de los clientes que le han elegido para su asesoramiento y defensa en distintos soportes, el informático ( Fichero de clientes) y manual constituido por las diferentes carpetas o expedientes referidos a los mismos. Así mismo, el consultante habría dado cumplimiento a la obligación de notificación del mismo a esta Agencia Estatal de Protección de Datos, que le ha asignado el número de inscripción que cita en su escrito, que se regula en el artículo 26 de la Ley 15/1999 en cuyo número 2 se describe el contenido de esta notificación, cuya regulación detallada se encuentra en el artículo 55. 2 del Real Decreto 1720/2007, que, a su vez dispone en el artículo 56: “ 1. La notificación de un fichero de datos de carácter personal es independiente del sistema de tratamiento empleado en su organización y del soporte o soportes empleados para el tratamiento de los datos. 2. Cuando los datos de carácter personal objeto de un tratamiento estén almacenados en diferentes soportes, automatizados y no automatizados o exista una copia en soporte no automatizado de un fichero automatizado sólo será precisa una sola notificación, referida a dicho fichero.” Página 55 de 353

II La segunda cuestión que plantea el consultante se refiere a si sería necesario el consentimiento del afectado para el tratamiento de datos del mismo, en los supuestos en que la defensa de éste le viene asignada por el turno de oficio del Colegio de Abogados respectivo, y si se podría prescindir del derecho de información regulado en el artículo 5 de la Ley Orgánica 15/1999. En relación con dicha cuestión, en fecha 21 de febrero de 2001 se emitió Informe en respuesta a las cuestiones planteadas y otras, en el que se expone el parecer de ésta Agencia en relación con las mismas, y que señala entre otras cosas: “Como regla general, la inclusión de los datos de los clientes y sus oponentes en un fichero supondrá un tratamiento de datos de carácter personal, que requeriría, en principio, el consentimiento del afectado, con el deber de informar al mismo de los extremos contenidos en el artículo 5.1 o, en caso de no recabarse los datos del propio afectado, la obligación de informar al afectado de dicha inclusión en el plazo de tres meses, tal y como dispone el artículo 5.4, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. En lo referente al tratamiento de los datos de los clientes, podrá efectuarse el mismo sin consentimiento del afectado, a tenor de lo establecido en el artículo 6.2 de la Ley Orgánica 15/199, que excluye del consentimiento los supuestos en que los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”. A nuestro juicio, en este caso surgiría una colisión entre dos derechos fundamentales: el derecho a la protección de datos de carácter personal, derivado del artículo 18.4 de la Constitución y consagrado como derecho autónomo e informador del texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, por un lado; y el derecho a la asistencia letrada, como manifestación del derecho de los ciudadanos a obtener la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24.2 de la Constitución. Deberá, ante este supuesto, resolverse la cuestión, atendiendo a la jurisprudencia del Tribunal Constitucional en la materia. En relación con la primera de las cuestiones precitadas, la propia Ley Orgánica 15/1999 permitiría establecer los límites para la exigencia del consentimiento, dado que su artículo 6.1 exige, como regla general, el consentimiento para el tratamiento de los datos “salvo que la Ley disponga otra cosa”. A la vista de este precepto, el legislador ha creado un sistema en que la protección del derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos, incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida. Tal y como sostiene reiterada jurisprudencia del tribunal Constitucional (por todas, STC 186/2000, de 10 de julio, con cita de otras muchas) “el derecho a la Página 56 de 353

intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como en todo caso, sea respetuoso con el contenido esencial del derecho”. En este sentido, resulta especialmente relevante lo establecido en el artículo 4 de la Ley, que limitará el tratamiento a los datos adecuados, pertinentes y no excesivos para asegurar la tutela efectiva de los clientes (apartado 1), debiendo además limitarse la conservación a los datos que sean necesarios para el cumplimiento de esta finalidad (artículo 4.2) y limitándose su conservación en el tiempo al período que transcurra entre el momento en que los datos son facilitados y aquél en que cesa la asistencia letrada o adquiere firmeza la sentencia que hubiera sido dictada en el proceso respecto del que resulta relevante la información facilitada (apartado 5 del artículo 4). La conclusión indicada hasta ahora también se desprendería de la propia cobertura ofrecida por el artículo 6.1 de la Ley Orgánica 15/1999, toda vez que la propia Constitución viene a establecer una excepción legal para el tratamiento inconsentido de estos datos.” II Por otra parte, el consultante también trataría datos de ideología y del origen racial o étnico de sus defendidos, por lo que estaríamos ante datos especialmente protegidos a los que resultaría de aplicación el artículo 7. 2 y 3 de la Ley Orgánica que dice : “ 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión o creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado”. 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.” En consecuencia, la Ley habilita el tratamiento sin previo consentimiento de los datos relacionados con la ideología política de los afectados únicamente en caso de que el mismo sea directamente efectuado por el Partido Político en cuestión, lo que en la interpretación más extensiva podría incluir a sus órganos de gobierno y representación. Sin embargo, dicha habilitación no comprendería en ningún caso a los tratamientos que pudieran efectuarse en otros supuestos. Así, es claro que en el supuesto planteado no podría operar la excepción a la que se refiere el artículo 7.2, toda vez que el mismo, en su inciso final establece tajantemente que en todo caso “el tratamiento de dichos datos precisará siempre el previo consentimiento del afectado” que, como se indica en la Ley habrá de ser “expreso y por escrito”, dada la especial naturaleza de los datos a los que se está haciendo referencia. Página 57 de 353

Por este motivo, el tratamiento de los datos a que se refiere la consulta no tendría cobertura en las previsiones de la Ley Orgánica 15/1999, dado que dicho tratamiento, al encontrarse sometido al régimen especial previsto para los datos de ideología por el artículo 7.2 debería contar con el consentimiento previo, expreso y por escrito del afectado. III Respecto de los datos de origen racial del artículo 7.3 sí se contempla que puedan ser tratados, cuando por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente, por lo que la cobertura legal a dicho tratamiento se encontraría también en el artículo 24 de la CE que consagra el derecho fundamental a la tutela judicial efectiva en una de sus manifestaciones, como es el derecho a la defensa procesal y a la asistencia jurídica gratuita en su artículo 119. El hecho de que esta defensa le venga atribuida al consultante por el turno de oficio, no afectaría a la legalidad del tratamiento. Por el contrario, la adscripción voluntaria de los colegiados a los servicios de asistencia letrada y de defensa y representación gratuitas, regulados por la Ley 1/1996, de 10 de enero, de Asistencia Jurídica Gratuita, y cuya organización atribuye el artículo 22 de esta norma a los Consejos Generales de la Abogacía Española y de los Colegios de Procuradores de los Tribunales de España y sus respectivos Colegios, a través de sus Juntas de Gobierno, determina que el Letrado designado para la defensa gratuita del titular de los datos afectado, que solicitó este tipo de defensa, debe asumirla. Así se desprende del artículo 31 de dicha Ley cuando establece: “Obligaciones profesionales. Los abogados y procuradores designados desempeñarán sus funciones de asistencia y representación de forma real y efectiva hasta la terminación del proceso en la instancia judicial de que se trate y, en su caso, la ejecución de las sentencias, si las actuaciones procesales en ésta se produjeran dentro de los dos años siguientes a la resolución judicial dictada en la instancia, sin perjuicio de las causas de renuncia o excusa que estén previstas en la ley. Sólo en el orden penal podrán los abogados designados excusarse de la defensa. Para ello deberá concurrir un motivo personal y justo, que será apreciado por los Decanos de los Colegios.” Y en su artículo 32 párrafo segundo señala que “Salvo lo dispuesto en el artículo anterior, la defensa del acusado o imputado será obligatoria.” A su vez, el artículo 13 regula los requisitos de la solicitud de asistencia jurídica gratuita del siguiente modo: “En la solicitud se harán constar, acompañando los documentos que reglamentariamente se determinen para su acreditación, los datos que permitan apreciar la situación económica del interesado y de los integrantes de su unidad familiar, sus circunstancias personales y familiares, la pretensión que se quiere hacer valer y la parte o partes contrarias en el litigio, si las hubiere.” El artículo 27 de esta Ley 1/1996 señala que el reconocimiento del derecho a la asistencia jurídica gratuita llevará consigo la designación de abogado (…)” Una vez designado abogado, no cabe duda de que la “defensa real y efectiva” que ha de llevar a cabo éste exigirá que el solicitante de esta asistencia ponga en Página 58 de 353

conocimiento de dicho profesional todos los datos necesarios para que pueda evaluar la sostenibilidad de la pretensión a que alude el artículo 32, (momento que parece oportuno para solicitar el consentimiento expreso y escrito para tratar sus datos sobre ideología), o bien conozca dichos datos cuando le den traslado de los autos en el proceso en que el afectado sea parte. De cuanto se ha señalado puede concluirse que los propios artículos 119 y 24 de la Constitución Española y su desarrollo normativo por la Ley1/1996, especialmente en sus artículos 12, 27 y 31, constituyen leyes habilitantes para el tratamiento de los datos del afectado, cuya solicitud de asistencia jurídica gratuita comportaría un consentimiento para el tratamiento de los datos necesarios para su defensa efectiva. No obstante, debe recordarse uno de los principios de la protección de datos personales consagrado en el artículo 4 de la Ley Orgánica 15/1999 que fue citado anteriormente. Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

Página 59 de 353

Grabación de conversaciones telefónicas por la Policía. Informe 0549/2008 y 0078/2009 La consulta plantea si resulta conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal la grabación de las conversaciones telefónicas que se reciben en la policía local y el almacenamiento posterior de las mismas, teniendo en cuenta que no queda registrado el número de teléfono desde el que se efectúan dichas llamadas y que no se aclara en la consulta en relación con qué finalidad se procede a dichas grabaciones. La consulta plantea además la adecuación a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, de la cesión -por parte de funcionarios de la Policía Local- de los datos personales correspondientes a personas implicadas en accidentes de circulación al resto de las partes afectadas por dichos accidentes. I La primera cuestión a resolver en el presente supuesto, consiste en discernir si las conversaciones telefónicas a que la consulta se refiere se encontrarán sometidas a lo dispuesto en la mencionada Ley Orgánica. Para ello será necesario efectuar dos acotaciones previas: a) En primer lugar, se plantea el problema de si dichas conversaciones pueden ser consideradas como datos de carácter personal, de conformidad a lo establecido en la Ley Orgánica de 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. A tal efecto y, con carácter general, debe indicarse que los artículos 1 y 2 de la citada Ley, extienden su protección a los derechos de los ciudadanos en lo que se refiere al tratamiento automatizado o no de sus datos de carácter personal, siendo definidos éstos en el artículo 3.a) de la Ley Orgánica como “cualquier información concerniente a personas físicas identificadas o identificables“. b) En segundo término, y aun cuando nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero, definido como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, por el artículo 3 b) de la Ley. No obstante, si la grabación estuviera digitalizada, nos encontraríamos ante un tratamiento automatizado necesariamente sometido a los preceptos de la Ley Orgánica 15/1999, aunque no haya fichero. Pues bien, en relación con el primero de los criterios a los que se ha hecho referencia, debe indicarse que las grabaciones a las que se refiere la consulta sólo podrán ser consideradas datos de carácter personal en caso de que las mismas permitan la identificación de las personas que aparecen en dichas grabaciones, no encontrándose amparadas en la Ley Orgánica en caso contrario. A nuestro juicio, en el caso que nos ocupa, aunque no pueda asociarse la grabación a un número de teléfono, las conversaciones telefónicas sí podrían Página 60 de 353

contener muy probablemente datos de carácter personal que pudieran identificar, no ya a los interlocutores de la llamada, sino a cualquier persona a la que pudieran referirse en dichas conversaciones. En cuanto a las conversaciones, se ignora cuáles son los criterios de conservación de las cintas en que las mismas se graban, debiendo indicarse que si las mismas pueden considerarse estructuradas en el modo al que se ha hecho referencia, el fichero se encontrará sometido a lo dispuesto en la Ley Orgánica 15/1999. Debe indicarse que el artículo 2.1 de la Ley Orgánica establece que “La presente Ley será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.” Dicho lo anterior, en caso de que exista un sometimiento de los ficheros a la Ley Orgánica, será necesario para proceder al tratamiento de los datos el consentimiento de los afectados, tal y como dispone el artículo 6.1 de la Ley, debiendo informarse a los mismos de los extremos contenidos en el artículo 5.1 de la misma. Por este motivo, será imprescindible que, al proceder a la grabación de las conversaciones telefónicas en cuestión, se comunique al interesado, de forma que conste claramente su conocimiento, los extremos a los que hace referencia el artículo 5.1 de la Ley Orgánica, según el cual ”los afectados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”. Por otra parte, dado que el artículo 6.1 de la Ley 15/1999 establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”, las citadas grabaciones van a constituir la única prueba del consentimiento para el tratamiento y los usos autorizados por el afectado, por lo que debe entenderse de interés de la consultante la conservación de las citadas cintas. Con carácter general, debe partirse de que si tales grabaciones tienen trascendencia y entran dentro del ámbito de aplicación de la Ley 15/1999 desde el momento en que en las mismas se recojan datos personales de las personas que contactan con dicho servicio de atención telefónica, ello determinará la plena aplicación de los preceptos de dicha norma en relación con el tratamiento de datos de carácter personal que implica tal grabación, considerando a estos efectos lo establecido en el artículo 3 c) de la Ley, que define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automatizado o no que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de Página 61 de 353

datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. De ello resulta que la grabación de dichas conversaciones implica someter los datos personales de los que contactan con la policía local a procesos de tratamiento de datos, por ello será necesario informar al que contacte con la consultante de que la conversación va a ser objeto del citado tratamiento, no pudiendo el mismo efectuarse en caso de que el afectado se oponga a ello. II Por otra parte, en el escrito de consulta no se dice si el fichero de grabaciones telefónicas se utilizará para finalidades policiales. No obstante, debe recordarse que la Policía Local, en los Municipios donde exista, constituye una de las Fuerzas y Cuerpos de Seguridad, tal y como previene el artículo 2 c) de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, siendo sus funciones las reguladas en el artículo 53.1 de la propia Ley Orgánica. Respecto de los ficheros de las Fuerzas y Cuerpos de Seguridad, el artículo 22 de la Ley Orgánica 15/1999 establece que “1.- Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley.” Dicho régimen sería el expuesto en el apartado anterior. A su vez, el artículo 22.2 de la Ley Orgánica 15/1999, dispone que “la recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad”, añadiendo el artículo 22.3 que “la recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7 ( ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual), podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales”. A la vista de lo antedicho, cabe concluir que, de acuerdo con los principios de la Ley Orgánica 15/1999, la Agencia de Protección de Datos entiende que no habría inconveniente para que en el ejercicio de funciones específicas se utilicen o se permita las grabaciones telefónicas por parte de los efectivos de la Policía Local, siempre que: - Se asegure que se utilizan únicamente aquellos datos que son adecuados, pertinentes y no excesivos; - El tratamiento se realice en el marco de expedientes concretos y con necesidades debidamente justificadas, relacionadas con la “prevención de un riesgo real para la seguridad pública o para la represión de infracciones Página 62 de 353

penales, en cuyo caso deberá comunicarse la actuación de la Policía Municipal a las Fuerzas y Cuerpos de Seguridad del Estado competentes (artículo 53.2 de la Ley Orgánica 2/1986); y - Se garanticen la confidencialidad y seguridad de los datos personales. No debe olvidarse, por último, que el artículo 22 dispone en su número 4 que: “Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de la responsabilidad.” III En cuanto a la cesión -por parte de funcionarios de la Policía Local- de los datos personales correspondientes a personas implicadas en accidentes de circulación al resto de las partes afectadas por dichos accidentes, debe señalarse que la comunicación de datos a la que se refiere la consulta constituye, conforme a lo dispuesto en el artículo 3 i) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, una cesión de datos de carácter personal, definida como “Toda revelación de datos efectuada a persona distinta del interesado”. Por su parte, el artículo 11.1 de la Ley Orgánica establece que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, quedando exceptuado el consentimiento en aquellos casos en que así lo prevea una Ley. Del tenor de dichos preceptos parece desprenderse que sólo será lícita la cesión de los datos personales de los individuos implicados en un accidente de circulación cuando exista previo consentimiento del interesado o una disposición con rango de Ley así lo prevea. No obstante, en el supuesto objeto de consulta, si el resto de las personas implicadas en un accidente lo que solicitan es una copia del atestado policial sobre las circunstancias e implicaciones del mismo, entendemos que resultarán de aplicación los principios contenidos en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, para el derecho de acceso por parte de quién ostente la condición de interesados en los términos indicados en la propia Ley, a conocer, en cualquier momento, el estado de la tramitación de los procedimientos en los que tengan la condición de interesados, y obtener copias de documentos contenidos en ellos. Por otra parte, conviene traer a colación que el denominado Fichero F.I.V.A (Fichero Informativo de Vehículos Asegurados) se constituye como un fichero de carácter público, creado por el artículo 23.1 del Real Decreto 7/2.001, de 12 Página 63 de 353

de enero, por el que se aprueba el Reglamento sobre la responsabilidad civil y seguro en la circulación de vehículos de motor. Debe recordarse que el citado Reglamento viene a desarrollar el régimen contenido en la Ley de Responsabilidad Civil y Seguro en la Circulación de Vehículos de Motor, tras las reformas operadas por la Ley 30/1995 de 8 de noviembre, de Ordenación y Supervisión de los Seguros Privados. La finalidad de este fichero, de acuerdo con el artículo 27 del mencionado Real Decreto, consiste en: “Suministrar la información necesaria para que las personas implicadas en un accidente de circulación puedan averiguar a la mayor brevedad posible las circunstancias relativas a la entidad aseguradora que cubre la responsabilidad civil de cada uno de los vehículos implicados en el accidente y en facilitar el control de la obligación de asegurarse. A estos efectos, tienen la consideración de implicados los perjudicados por accidentes de circulación, por daños en su persona o en sus bienes, pudiendo actuar por sí o por medio de representante debidamente acreditado”. Igualmente, el Anexo del citado Real Decreto 7/2001 alude en su apartado 5º a la Cesión de los datos del F.I.V.A., estableciendo que la misma se efectuará a implicados en accidentes de circulación, al Ministerio del Interior y al Ministerio Fiscal, los Jueces y Tribunales. En relación con la cesión de estos datos, debe aludirse a las Conclusiones y Recomendaciones del Plan de inspección de oficio al Consorcio de Compensación de Seguros, dictadas por el Director de la Agencia de Protección de Datos con fecha 23 de julio de 2.001. En la Recomendación Cuarta se indicó expresamente que: “De la normativa aplicable se desprende que el Consorcio sólo podrá facilitar datos personales incluidos en sus ficheros automatizados a personas físicas y entidades públicas y privadas, a los efectos del cumplimiento de la normativa sobre Tributos y Seguros, así como para facilitar el control de la obligación de asegurarse, todo ello de conformidad con lo dispuesto en el anterior apartado 1. 7”. Dicho apartado 1. 7 de las Conclusiones de la Inspección de la Agencia de Protección de Datos, indicaba específicamente que: “Con respecto al Fichero Informativo de Vehículos Asegurados la finalidad de mismo es suministrar información por parte del Consorcio a las personas implicadas en un accidente de circulación referente a la entidad aseguradora que cubre la responsabilidad civil, según establece la Ley 30/1.995 y la Directiva 90/232/CEE.” Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

Página 64 de 353

Facilitar listado de abogados adscritos al servicio de justicia gratuita. Informe 0062/2009 La consulta plantea si resulta conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), y a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, facilitar a un colegiado adscrito a dicho Colegio Profesional, copia de la lista de colegiados ejercientes adscritos a los servicios de justicia gratuita, con indicación del domicilio profesional desde la fecha que señala. I La transmisión así planteada implica la existencia de una cesión o comunicación de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”. En relación con las cesiones, el artículo 11.1 de la Ley indica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, este consentimiento no será preciso cuando nos encontremos ante alguna de las excepciones del artículo 11.2 de la LOPD. En relación con este tema, aunque a nivel estatal, ya se pronunció esta Agencia Estatal de Protección de Datos en su Informe de fecha 3 de abril de 2002, en el que se decía: “Entre esos supuestos se incluye el hecho de que los datos aparezcan recogidos de fuentes accesibles al publico; en este caso, la cesión será posible siempre y cuando la misma se produzca en el soporte en que aparece publicada la citada fuente. A estos efectos, el artículo 3 j) de la Ley dentro de la enumeración taxativa de estas fuentes incluye a “las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo”. Sin embargo, los datos a que alude la consulta, relativos a la lista de adscripción voluntaria de los colegiados a los servicios de asistencia letrada y de defensa y representación gratuitas, regulados por la Ley 1/1996, de 10 de enero, de Asistencia Jurídica Gratuita, y cuya organización atribuye el artículo 22 de esta norma a los Consejos Generales de la Abogacía Española y de los Colegios de Procuradores de los Tribunales de España y sus respectivos Colegios, a través de sus Juntas de Gobierno, no serían incluibles en el supuesto examinado de fuente accesible al público. Otro supuesto de excepción al consentimiento en la cesión de datos de carácter personal es el regulado en el apartado segundo, letra a), del artículo 11 la LOPD, esto es, que la cesión esté autorizada en una Ley. En este sentido, debe aludirse al artículo 24 de la ya citada Ley 1/1996, que establece: “Los Colegios profesionales establecerán sistemas de distribución objetiva y equitativa de los distintos turnos y medios para la designación de los profesionales de oficio. Dichos sistemas serán públicos para todos los colegiados y podrán ser consultados por los solicitantes de asistencia jurídica gratuita”. Dicho precepto impone a los Colegios profesionales afectados dar publicidad, si bien limitada a los colegiados, de los sistemas de distribución de los distintos Página 65 de 353

turnos de asistencia letrada y de defensa y representación gratuitas, así como de los procesos de designación de profesionales. Parece lógico que para tal obligación de transparencia tenga efectividad, la misma conlleve la comunicación a los profesionales colegiados de aquello de ellos que se encuentran adscritos a dichos turnos, así como la información relativa al número de turnos o servicios asignados a cada uno de ellos en un determinado periodo de tiempo, lo cual, unido al conocimiento del procedimiento de asignación a los mismos de dichos turnos o servicios, completará la publicidad que la norma examinada establece respecto de los colegiados. Por ello, cabe considerar que dicha comunicación de datos personales, relativa a los colegiados adscritos a dichos turnos o servicios de asistencia jurídica gratuita así como del número de ellos asignados a cada uno, tendría cobertura, desde la perspectiva de la LOPD, en su artículo 11.2 a). “ II Dicha materia ha sido objeto de regulación por el Real Decreto 273/2007, de 28 de noviembre, por el que se aprueba el Reglamento de Asistencia Jurídica Gratuita en el Principado de Asturias, en virtud de las competencias señaladas en el Estatuto de Autonomía del Principado, en sus artículos 9.2. a) y 10.1, apartados 1 y 33, que, conforme a su exposición de motivos, se aprueba respetando las disposiciones de la Ley 1/1996, de 10 de enero, de Asistencia Jurídica Gratuita, que, a su vez, se contempla como regulación supletoria de aplicación (Disposición Adicional Única) en lo no regulado por este Reglamento autonómico. En su artículo 24 regula la gestión colegial de los servicios de asistencia letrada, defensa y representación señalando:” 1. Las Juntas de Gobierno de los Colegios de Abogados y los Colegios de Procuradores del Principado de Asturias regularán y organizarán los servicios de asistencia Letrada y de defensa y representación gratuitas, de quienes soliciten abogado o abogada de oficio en cualquier jurisdicción o no designen abogado o abogada en la jurisdicción penal, conforme a las directrices generales y normas de acceso de los profesionales a los referidos servicios, aprobados por los citados órganos, que serán, en todo caso, de obligado cumplimiento para los colegiados. 3. La organización de los servicios de asistencia jurídica gratuita se efectuará atendiendo a la mejor defensa del ciudadano, a criterios de eficiencia y funcionalidad en la aplicación de los fondos públicos puestos a su disposición, deberá garantizar su continuidad, velando por la distribución objetiva y equitativa de los distintos turnos y medios y, cuando el censo de profesionales lo permita, de especialización por órdenes jurisdiccionales. 4. Los sistemas de distribución de los distintos turnos y medios para la designación de los profesionales serán públicos para todas las personas colegiadas, así como para quienes soliciten asistencia jurídica gratuita. Como puede observarse, el régimen de publicidad se regula de forma idéntica al anteriormente citado del artículo 24 de la Ley 1/1996, respecto del que se emitió el informe referido anteriormente, por lo que desde el punto de vista de la protección de datos de carácter personal debe llevar a la misma conclusión que la alcanzada en su día en el citado informe, concluyendo que la comunicación al colegiado del Ilustre Colegio consultante de las listas de

Página 66 de 353

profesionales que prestan el servicio de asistencia jurídica gratuita vendría amparada en el artículo 11.2 c) de la LOPD. Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, Creación y responsable de fichero. Informe 0298/2009 La consulta plantea diversas dudas respecto a la aplicación de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en materia de creación, condición de responsable e inscripción de ficheros públicos y privados del colegio profesional consultante. Como cuestión previa debe tenerse en cuenta el criterio sostenido por esta Agencia acerca de la naturaleza pública o privada de los ficheros colegiales. Así, en informe de 9 de octubre de 2002, se ponía de manifiesto que, si bien la Ley Orgánica 15/1999 delimita en su articulado el régimen de los ficheros de titularidad pública y privada, no establece un concepto de los mismos, por lo que la delimitación deberá fundarse en los criterios que determinan la naturaleza jurídico-pública o jurídico-privada del responsable del fichero. Concluía dicho informe que los ficheros de que sean responsables los Colegios Profesionales y Consejos Generales, en cuanto se relacionen con el ejercicio por los mismos de sus competencias de derecho público y, en consecuencia, con la atribución a éstos de potestades administrativas, se encontrarán sometidos al régimen de los ficheros de titularidad pública. Señalaba, asimismo, que el régimen de los ficheros de titularidad privada, sólo será de aplicación, en su caso, a los ficheros creados con la única finalidad de llevar a cabo la gestión interna del Colegio o Consejo o de adoptar mecanismos que faciliten el desempeño de la profesión colegiada cuando su adopción no implique el ejercicio de potestades administrativas ni lleve aparejada la existencia de un acto administrativo. Este criterio se plasmó en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, que en las letras l y m del numero primero de su artículo 5 contempla la definición tanto de los ficheros de titularidad privada como pública, disponiendo lo siguiente: “l. Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.” “m. Ficheros de titularidad pública: los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho Página 67 de 353

público siempre que su finalidad sea el ejercicio de potestades de derecho público.” Por consiguiente, la creación de los ficheros del Colegio profesional a que se refiere la consulta, así como su notificación e inscripción, deberá adecuarse, según la naturaleza de cada uno de ellos determinada conforme al criterio anteriormente expuesto, al régimen establecido para los ficheros de titularidad publica en él artículo 20 y siguientes de la Ley Orgánica 15/1999 o al contenido en el artículo 25 y siguientes de la misma norma para los ficheros de titularidad privada. En lo que se refiere a los ficheros de titularidad pública, dispone el número primero del artículo 20 de la Ley Orgánica 15/1999 que ”La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o Diario oficial correspondiente.” El número segundo de dicho artículo concreta las indicaciones que deberá contener la disposición de creación del fichero. De la misma manera, el artículo 52 del Reglamento de desarrollo de dicha ley establece que “La creación, modificación o supresión de los ficheros de titularidad pública sólo podrá hacerse por medio de disposición general o acuerdo publicados en el Boletín Oficial del Estado o diario oficial correspondiente.” El artículo 53 del aludido Reglamento regula la forma de creación de los ficheros de titularidad pública, estableciendo en su número cuarto una previsión específica para las corporaciones de derecho público, según la cual “La creación, modificación o supresión de los ficheros de los que sean responsables las corporaciones de derecho público y que se encuentren relacionados con el ejercicio por aquéllas de potestades de derecho público deberá efectuarse a través de acuerdo de sus órganos de gobierno, en los términos que establezcan sus respectivos Estatutos, debiendo ser igualmente objeto de publicación en el Boletín Oficial del Estado o diario oficial correspondiente.” Para determinar quien es responsable de los ficheros, resulta imprescindible delimitar si el consultante es un órgano del Colegio profesional o si posee personalidad jurídica independiente del mismo, teniendo en cuenta que el artículo 3.d) de la Ley Orgánica 15/1999 define al responsable del fichero como la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.” Los Estatutos del Colegio a que se refiere la consulta, califican, en su artículo 38 a las Delegaciones Territoriales como órganos necesarios dentro de su organización y prevén, en el artículo 41, al regular las relaciones interorgánicas, que dependerán jerárquicamente de la Junta de Gobierno. De dicha norma se deduce que las Delegaciones Territoriales no son sino órganos del Colegio directamente dependientes de la Junta de Gobierno, carentes por tanto de personalidad jurídica propia y diferenciada, siendo así que las actividades que desarrollen no serán sino las derivadas de su propia integración como órganos Página 68 de 353

del Colegio, y sin que dichas delegaciones puedan utilizar la información de que tengan conocimiento como consecuencia del ejercicio de su funciones para un fin distinto del derivado de la gestión que le haya sido encomendada, en el ámbito de las funciones que al colegio Profesional impone la Ley 18/1997, de 21 de noviembre, de ejercicio de profesiones tituladas y de colegios y consejos profesionales del País Vasco, el Estatuto Orgánico de la Profesión de Gestor Administrativo, y sus propios Estatutos. En consecuencia, la condición de responsable de los ficheros creados para el ejercicio de las potestades públicas por el Colegio Profesional corresponderá al propio Colegio, siendo las Delegaciones Territoriales, un mero usuario de los ficheros, en virtud de su condición de órgano del Colegio, correspondiendo, como señala el artículo 53 del Reglamento a los órganos de gobierno del Colegio la aprobación del acuerdo por el que se crean dichos ficheros. En lo que se refiere a la notificación e inscripción de los ficheros de titularidad pública, dispone el número primero del artículo 55 del Reglamento que “Todo fichero de datos de carácter personal de titularidad pública será notificado a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente. No obstante, en el presente caso, es preciso tener en cuenta lo previsto en el número 4 del mismo artículo, conforme al cual “Cuando la obligación de notificar afecte a ficheros sujetos a la competencia de la autoridad de control de una comunidad autónoma que haya creado su propio registro de ficheros, la notificación se realizará a la autoridad autonómica competente, que dará traslado de la inscripción al Registro General de Protección de Datos.” El artículo 18 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, crea el Registro de Protección de Datos, como órgano integrado en la Agencia Vasca de Protección de Datos, disponiendo su número segundo que serán objeto de inscripción en dicho Registro “Los ficheros a los que se refiere el artículo 2.1 de esta Ley.” De los ficheros a que hace referencia el artículo 2.1 de la Ley, al regular su ámbito de aplicación, ámbito limitado a los ficheros de datos de carácter personal creados o gestionados para el ejercicio de potestades de derecho público por diversas entidades interesa mencionar aquí el previsto en la letra j relativo a “Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco” Por consiguiente la notificación de los ficheros de titularidad pública creados por el Colegio a que se refiere la consulta, una vez aprobado el acuerdo de creación y publicado en el Boletín oficial correspondiente serán notificados a la Agencia Vasca de Protección de Datos, siendo esta la que dará traslado al Registro General de Datos de la Agencia Española de Protección de Datos, ya que la finalidad de la previsión contenida en el artículo 55.3 es la de evitar la duplicidad en la notificación por parte de los responsables de los ficheros que deban figurar en un registro autonómico además de en el Registro general de Página 69 de 353

Protección de Datos de esta Agencia. Por ello, los ficheros de titularidad pública de la consultante se encontrarán, al existir un Registro en la Agencia de protección de datos autonómica, inscritos en ambos Registros. En este sentido cabe recordar, como se ha puesto de manifiesto en diversos informes de esta Agencia, entre los que se puede citar el de 4 de marzo de 2003 que “la Ley Orgánica 15/1999 atribuye al Registro General de Protección de Datos la esencial función, derivada de lo exigido por la Directiva 95/46/CE, de dar publicidad a los tratamientos de datos de carácter personal realizados en todo el territorio del Estado español, esto es, atribuye a ese Registro el cumplimiento de la finalidad que motiva su propia existencia a tenor de la Directiva Comunitaria.” Por ello su naturaleza difiere de la de los Registros de las Comunidades Autónomas que serán, como indica dicho informe “meros instrumentos internos que las Agencias Autonómicas podrán constituir para facilitar el desempeño de sus funciones. Estos serán en consecuencia, meros registros administrativos de los tratamientos, instrumentales de la actividad de la Agencia Autonómica, pero no se regirán por el principio de publicidad aplicable en exclusiva a la Agencia del Estado.” En lo que se refiere a la cuestión planteada de creación de distintos ficheros, cuyo contenido coincide, al menos parcialmente, para evitar las dificultades de organización y acceso por los diferentes órganos del Colegio Profesional, debe tomarse en consideración el amplio concepto de fichero recogido en la Ley Orgánica 15/1999, que lo configura en su artículo 3.b) como “todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso”. El Reglamento de desarrollo de la Ley Orgánica 15/1999, define el fichero en la letra k del artículo 5.1 como “Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” Asimismo, aporta a efectos de clarificación del ámbito objetivo de la Ley Orgánica 15/1999 una definición de fichero no automatizado, que será según su letra n “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. ” Así, lo que conforma un fichero a efectos de la normativa de protección de datos es la existencia de un conjunto de datos personales organizados, con independencia de que se encuentre centralizado o de la forma de almacenamiento o de acceso a los datos. El concepto de fichero, por tanto no se encuentra vinculado a la exigencia de que el mismo se encuentre en una única ubicación, siendo posible la existencia de un único fichero con distintas ubicaciones, siempre que el responsable, la tipología de datos contenidos en el fichero y su finalidad sea coincidente. De esta manera, cabe señalar, a modo de ejemplo, que el fichero de colegiados a que hace referencia la consulta puede constituir un único fichero, ubicado físicamente tanto en la sede central, con aquellos datos que precisen los órganos de gobierno para el ejercicio de sus atribuciones, como en cada una de las delegaciones, conteniendo los datos Página 70 de 353

de los colegiados a que extiende su competencia la Delegación, siempre que coincida la tipología de los datos y su finalidad. En todo caso, será el acuerdo de creación del fichero el que determine estas cuestiones en función de las necesidades y forma de organización y funcionamiento del Colegio. En lo que se refiere a los ficheros de titularidad privada, el artículo 25 de la Ley Orgánica 15/1999 prevé que “Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.” Respecto de estos ficheros es aplicable lo anteriormente señalado respecto al carácter de responsable del colegio profesional y de usuario de la Delegación Territorial. En cuanto a su notificación e inscripción, dispone el artículo 55.2 del Reglamento que “Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.” En el caso de estos ficheros, no es precisa su comunicación a la Agencia Vasca de Protección de Datos ya que las Comunidades Autónomas carecen de competencias sobre los ficheros de titularidad privada.

Página 71 de 353

Cesión de datos de colegiados. Informe 0549/2009 La consulta plantea la posibilidad de cesión de los datos de identidad, dirección y número de cuenta corriente de los médicos incorporados al Colegio consultante, a la compañía aseguradora con la que el Colegio tiene suscrito un seguro colectivo de responsabilidad civil, con la finalidad de que la aseguradora pueda atender un requerimiento de la Dirección General de Seguros y Fondos de Pensiones, en relación con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), y a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. I En primer lugar procede aclarar al Colegio consultante que el presente informe carece de valor vinculante y se evacua al amparo de las facultades conferidas a esta Agencia Española de Protección de Datos por el artículo 37.1 e) de la Ley Orgánica 15/1999, a saber, “Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.” Así mismo, en relación con la solicitud de autorización por esta Agencia para la cesión de datos referida en el párrafo anterior, se informa que la misma no tiene entre sus funciones definidas en el citado artículo 37, el autorizar las cesiones de datos, sino que éstas deberán ajustarse al régimen regulador de la LOPD que a continuación se expondrá. II La comunicación de datos personales por parte del Colegio a la entidad aseguradora, constituye una cesión de datos de carácter personal, definida en el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a persona distinta del interesado”. Tal y como determina el artículo 11.1 de la Ley Orgánica 15/1999, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta regla de consentimiento sólo se verá exceptuada en los supuestos contemplados en el artículo 11.2, entre los que cabe destacar el apartado c) de la Ley Orgánica establece que no será necesario el consentimiento del interesado “Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros”. Tratándose de un seguro colectivo de responsabilidad civil que formaliza el Colegio consultante, bien por así haberlo acordado sus órganos de gobierno o por disposición de sus Estatutos, los propios colegiados al incorporarse al Colegio Profesional asumen la condición de parte asegurada. De modo que el desenvolvimiento de la relación jurídica que se entabla entre el profesional que se incorpora al Colegio y éste, hace que sea necesario el tratamiento de sus datos para esta finalidad y la comunicación de los datos personales del colegiado a la compañía aseguradora para que el seguro colectivo pueda desplegar todos sus efectos, de modo que la aseguradora pueda conocer quién es el asegurado, e incluso necesite el contacto directo con éste en los supuestos en que el siniestro se produzca. De modo que la existencia de la relación jurídica entre el colegiado y su Colegio Profesional conlleva el Página 72 de 353

tratamiento de sus datos en la medida en que sean necesarios para formalizar la póliza colectiva de responsabilidad civil en la que el colegiado ha de figurar como asegurado, por lo que la cesión de sus datos a la aseguradora estaría legitimada al amparo del artículo 11.2 c) de la LOPD, y, por consiguiente, no precisará del consentimiento de los afectados. Por ello, la cesión sólo será lícita en el caso de que el colegiado resultase asegurado en el contrato de seguro colectivo para los colegiados en que el colegio fuese el tomador, de forma que pese a que no haya firmado el contrato de seguro resulta asegurado, siendo elemento personal de dicho contrato, lo que según ha señalado la Agencia Española de Protección de Datos , permite considerar el tratamiento amparado por el artículo 6.2 de la LO 15/1999. III Por otra parte, para garantizar adecuadamente los derechos de los afectados, en concreto los de acceso, rectificación, cancelación y oposición, el Colegio consultante deberá informar en el momento de recogida de los datos de los colegiados de los extremos contenidos en el artículo 5 de la LOPD y de que sus datos van a ser cedidos a la compañía aseguradora con la única finalidad de llevar a cabo la relación de seguro descrita. Por último, la cesión de datos personales deberá respetar el principio de calidad de los datos contenido en el artículo 4.1 de la LOPD que dice que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” En consecuencia, la comunicación de los datos de dirección y número de cuenta corriente a la aseguradora será correcta en la medida en que los mismos sean necesarios para la finalidad descrita.

Página 73 de 353

Aplicación de la LOPD a ficheros de asociados. Informe 0038/2010 La consulta plantea diversas dudas en relación con la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, a los ficheros relativos a los asociados de la Agrupación consultante, que según indica son tanto personas físicas como jurídicas. I La primera cuestión que resulta de la consulta formulada es la relativa a la aplicabilidad de la Ley Orgánica 15/1999, a los ficheros de asociados de la consultante. La Ley Orgánica 5/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, dispone en su artículo 2.1, párrafo primero que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, conforme al artículo 3.a) “Cualquier información concerniente a personas físicas identificadas o identificables”. Esta Agencia ha venido considerando que de dichos preceptos se deduce claramente que la protección conferida por la Ley Orgánica 15/1999 no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías en ella establecidas, sin perjuicio de que los Tribunales puedan atender las reclamaciones de responsabilidad que pudieran exigirse en el caso de que el uso de información relativa a las empresas les cause algún perjuicio. Esta interpretación se plasma expresamente en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, que en su artículo 2.2 establece que “Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. En lo que se refiere a los empresarios individuales, el artículo 2.3 del citado Reglamento dispone que “Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.” Esta Agencia se ha pronunciado en informe de 18 de febrero de 2008, respecto a la interpretación que debe darse a dicho precepto, en el que se señalaba que si bien las previsiones de la Ley Orgánica 15/1999 no serían de aplicación a los datos referidos a personas jurídicas, en caso de datos de empresarios individuales la solución no puede ser terminante en uno o en otro sentido, de forma que si la información se refiere a profesionales o a comerciantes individuales, que no tengan organizada su actividad profesional bajo la forma de persona jurídica, habría de tenerse en cuenta lo establecido por ésta Agencia Española de Protección de Datos, en su Resolución de 27 de febrero de 2001, en cuyo Fundamento Jurídico II se indicaba lo siguiente: “... la protección conferida por Página 74 de 353

la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionales que organizan su actividad bajo la forma de empresa (ostentando, en consecuencia la condición de comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y con los empresarios individuales que ejercen una actividad comercial y respecto de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999. En definitiva pues, tanto las personas jurídicas como los profesionales y los comerciantes individuales (éstos dos últimos sólo en los estrictos términos señalados en el párrafo que antecede, esto es, cuando sus datos hayan sido tratados tan sólo en su consideración de empresarios) quedan fuera del manto protector de la Ley Orgánica 15/1999. A contrario sensu, tanto los profesionales como los comerciantes individuales quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto, amparados por ella cuando los primeros no tuvieran organizada su actividad profesional bajo la forma de empresa, no ostentando, en consecuencia, la condición de comerciante (es el caso de los profesionales liberales cuyas actividades están expresamente excluidas del ámbito de aplicación de la Ley Básica 3/1993 por su artículo 6) y los segundos cuando no fuera posible diferenciar su actividad mercantil de la propia actividad privada. En estos dos casos deberán aplicarse siempre las garantías de la Ley Orgánica 15/1999 dada la naturaleza fundamental del derecho a proteger. Ello exigirá siempre ir analizando caso por caso para hallar en cada supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a la protección de datos de los interesados personas físicas, o, por el contrario, aquél no resulte amenazado por incidir tan solo en la esfera de la actividad comercial o empresarial, teniendo en todo caso presente que, en caso de duda, la solución deberá siempre adoptarse a favor de la protección de los derechos individuales”. Señalaba asimismo el aludido informe de 18 de febrero de 2008 que “Al propio tiempo, el tratamiento ha de llevarse a cabo en el ámbito empresarial. Quiere ello decir que a los efectos del tratamiento de los datos, la finalidad perseguida por quien trata el dato es la de recabar y mantener información sobre la empresa y no sobre el comerciante que la ha constituido. Así, el tratamiento de los datos del empresario individual, con las limitaciones que se han venido señalando, para mantener una relación comercial con el mismo, podría encontrarse amparado por el artículo 2.3 del Reglamento, en conexión con las normas de la Ley Orgánica 15/1999 que se han venido indicando. Sin embargo, no podrá considerarse amparado por el precepto, y en consecuencia excluido de la aplicación de la Ley Orgánica 15/1999, el tratamiento de los datos del comerciante llevado a cabo no con la finalidad de mantener una relación empresarial con el establecimiento u organización que el mismo hubiera creado, sino para conocer la información del propio sujeto Página 75 de 353

organizado en forma de empresa, siendo el destinatario del tratamiento no la empresa sino el propio empresario en tanto, por ejemplo, que consumidor individual.” Concluía así el informe aludido respecto del alcance de lo dispuesto en el artículo 2.3 del Reglamento - Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial. - Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la Ley Orgánica.” Por otra parte, en lo que se refiere a los profesionales autónomos debe señalarse que esta Agencia ha manifestado reiteradamente que existe una diferencia entre aquéllos y el empresario individual, de forma que los profesionales autónomos sólo quedarían excluidos de la aplicación de la Ley Orgánica 15/1999 en caso de que los mismos organicen su actividad en forma de empresa. En este sentido se pronunciaba ya la Resolución de 27 de febrero de 2001, en el que se señalaba que a los profesionales les sería aplicable la Ley Orgánica 15/1999 “cuando no tuvieran organizada su actividad profesional bajo la forma de empresa, no ostentando en consecuencia la condición de comerciante (es el caso de los profesionales liberales cuyas actividades están expresamente excluidas del ámbito de aplicación de la Ley Básica 3/1993 por su artículo 6).” Es éste también el criterio de la Audiencia Nacional que en sentencia de 21 de noviembre de 2002 considera aplicable la normativa de protección de datos vigente en el momento a profesionales liberales indicando que “aquellos datos se refieren a profesionales que no ejercen su actividad bajo forma de empresa, no ostentando en consecuencia la condición de comerciantes a la que se refieren los artículos primero y siguientes del Código de Comercio.” Por consiguiente la Ley Orgánica 15/1999 no resultará de aplicación a aquellos asociados a la Agrupación consultante que revistan la forma de persona jurídica, ni a los empresarios individuales cuando los tratamientos se refieran a ellos en su condición de comerciante, industrial o naviero, debiendo, en cambio, sujetarse a las previsiones de dicha norma los restantes supuestos. II La aplicación de lo anteriormente señalado a las cuestiones planteadas en la consulta implica lo siguiente: - El acceso por parte de uno de los miembros de la Agrupación a la lista de asociados, constituirá, respecto de aquéllos asociados cuyos datos personales se encuentren amparados por la Ley Orgánica 15/1999, una cesión de datos, definida por el definida por el artículo 3 i) de dicha Ley como “Toda revelación de datos realizada a una persona distinta del interesado”. Tratándose de una cesión de datos, el artículo 11.1 de la propia Ley dispone que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, será posible la cesión sin contar con el consentimiento del interesado en lo Página 76 de 353

supuestos en que la misma se encuentre amparada por alguna de las excepciones establecidas en el número segundo del artículo 11 que, a los efectos que aquí interesan, quedan limitadas a la prevista en la letra c), esto es, como señala dicho precepto “Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.” Esta Agencia ha venido señalando reiteradamente que la comunicación a los asociados de los datos de carácter personal de los demás asociados, será posible en la medida en que la misma se encuentre expresamente prevista en los Estatutos de la Asociación, dado que sólo en ese caso sería posible entender dicha cesión amparada en el artículo 11.2 c) de la Ley Orgánica 15/1999, única norma que podría invocarse como legitimadora del tratamiento de los datos sin contar con el consentimiento de los propios asociados. Debe, en este sentido, recordarse que la fundamentación en que la Agencia ha justificado la utilización del listado en estos supuestos se basa en el hecho de que el asociado por el hecho de adquirir tal condición deberá conocer y aceptar los estatutos, de modo que será posible considerar que su incorporación a la asociación implica la creación de una relación jurídica entre aquél y ésta, cuyos términos serán fijados por los propios Estatutos. De este modo, el uso de los datos derivado de tal relación quedará delimitado por la finalidad que se haya previsto a tal efecto en los Estatutos. Por tanto, si en la Agrupación se integran personas a quienes resulta de aplicación lo previsto en la Ley Orgánica 15/1999, para la cesión del listado en que se contengan sus datos deberá estarse a lo dispuesto en los Estatutos de la Agrupación respecto a la cesión del listado de socios a los demás asociados y a las finalidades con que ésta esté prevista, de forma que no podrá llevarse a cabo a falta de previsión expresa ni con fines distintos a los recogidos en dichos Estatutos. La segunda de las cuestiones planteadas se refiere a la posibilidad de facilitar los datos de los socios a empresas con las que se han firmado convenios de colaboración que supongan ventajas para aquéllos, con el fin de que el contacto se haga con ellos directamente. Nuevamente nos encontramos aquí ante una cesión de datos respecto de aquellas personas a las que resulta aplicable la Ley Orgánica 15/1999, que deberá ajustarse a lo previsto en el artículo 11 de la misma norma antes citado, siendo preciso el consentimiento del interesado para la cesión de los datos con esta finalidad, por cuanto dicha comunicación de datos no se encontraría amparada en lo previsto en el artículo 11.2.c de dicha Ley. En este sentido dispone el artículo 15 del Reglamento de desarrollo de la Ley Orgánica 15/1999 “Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.” Asimismo, en relación con el consentimiento para el tratamiento de datos para actividades publicitarias dispone el artículo 45.1 del mismo Reglamento que ”Quienes se dediquen a la Página 77 de 353

recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en uno de los siguientes casos: a. Figuren en alguna de las fuentes accesibles al público a las que se refiere la letra j del artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre y el artículo 7 de este reglamento y el interesado no haya manifestado su negativa u oposición a que sus datos sean objeto de tratamiento para las actividades descritas en este apartado. b. Hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad.” Por consiguiente, para la cesión, con fines publicitarios, de los datos de aquellas personas a las que resulta de aplicación lo previsto en la Ley Orgánica 15/1999, salvo que los datos se hayan obtenido de fuentes de acceso al público sin que el interesado haya manifestado su negativa u oposición, será preciso obtener su consentimiento, consentimiento que para ser válido requiere que se determinen los sectores específicos y concretos de actividad a que va a referirse dicha publicidad, sin que pueda llevarse a cabo una comunicación de datos para fines publicitarios en un sector diferente a aquél o aquéllos para los que se ha consentido dicha comunicación. Por último en cuanto al tratamiento general de los datos de asociados que obran en sus archivos, si en ellos constan personas cuyos datos resulten amparados por la Ley Orgánica 15/1999, deberán aplicarse las disposiciones contenidas en dicha norma a cualquier tratamiento que de los mismos se haga, debiendo además tenerse en cuenta las obligaciones que dicha Ley establece en cuanto a notificación de ficheros a esta Agencia y adopción de las correspondientes medidas de seguridad.

Página 78 de 353

Aplicación de la LOPD a ficheros de Colegio profesional. Informe 0068/2010 La consulta plantea diversas dudas respecto a la aplicación de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en materia de creación y naturaleza de los ficheros del Colegio Oficial consultante. El criterio sostenido por esta Agencia, acerca de la naturaleza pública o privada de los ficheros colegiales, ha sido puesto de manifiesto en diversos informes, por todos ellos cabe citar el de 9 de octubre de 2002, en el que se señalaba que, si bien la Ley Orgánica 15/1999 delimita en su articulado el régimen de los ficheros de titularidad pública y privada, no establece un concepto de los mismos, por lo que la delimitación deberá fundarse en los criterios que determinan la naturaleza jurídico-pública o jurídico-privada del responsable del fichero. Concluía dicho informe que los ficheros de que sean responsables los Colegios Profesionales y Consejos Generales, en cuanto se relacionen con el ejercicio por los mismos de sus competencias de derecho público y, en consecuencia, con la atribución a éstos de potestades administrativas, se encontrarán sometidos al régimen de los ficheros de titularidad pública. Señalaba, asimismo, que el régimen de los ficheros de titularidad privada, sólo será de aplicación, en su caso, a los ficheros creados con la única finalidad de llevar a cabo la gestión interna del Colegio o Consejo o de adoptar mecanismos que faciliten el desempeño de la profesión colegiada cuando su adopción no implique el ejercicio de potestades administrativas ni lleve aparejada la existencia de un acto administrativo. Este criterio se plasmó en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, que en las letras l y m del numero primero de su artículo 5 contempla la definición tanto de los ficheros de titularidad privada como pública, disponiendo lo siguiente: “l. Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.” “m. Ficheros de titularidad pública: los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público.” Por consiguiente, la creación de los ficheros del Colegio profesional a que se refiere la consulta, así como su notificación e inscripción, deberá adecuarse, según la naturaleza de cada uno de ellos determinada conforme al criterio anteriormente expuesto, al régimen establecido para los ficheros de titularidad publica en él artículo 20 y siguientes de la Ley Orgánica 15/1999 o al contenido en el artículo 25 y siguientes de la misma norma para los ficheros de titularidad Página 79 de 353

privada. Así, a título de ejemplo, tendrán carácter público los ficheros de profesionales colegiados, los relativos al ejercicio de la potestad disciplinaria o el de visados colegiales. En lo que se refiere a los ficheros de titularidad pública, dispone el número primero del artículo 20 de la Ley Orgánica 15/1999 que ”La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o Diario oficial correspondiente.” El número segundo de dicho artículo concreta las indicaciones que deberá contener la disposición de creación del fichero. De la misma manera, el artículo 52 del Reglamento de desarrollo de dicha ley establece que “La creación, modificación o supresión de los ficheros de titularidad pública sólo podrá hacerse por medio de disposición general o acuerdo publicados en el Boletín Oficial del Estado o diario oficial correspondiente.” El artículo 53 del aludido Reglamento regula la forma de creación de los ficheros de titularidad pública, estableciendo en su número cuarto una previsión específica para las corporaciones de derecho público, según la cual “La creación, modificación o supresión de los ficheros de los que sean responsables las corporaciones de derecho público y que se encuentren relacionados con el ejercicio por aquéllas de potestades de derecho público deberá efectuarse a través de acuerdo de sus órganos de gobierno, en los términos que establezcan sus respectivos Estatutos, debiendo ser igualmente objeto de publicación en el Boletín Oficial del Estado o diario oficial correspondiente.” En lo que se refiere a la notificación e inscripción de los ficheros de titularidad pública, dispone el número primero del artículo 55 del Reglamento que “Todo fichero de datos de carácter personal de titularidad pública será notificado a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente . En lo que se refiere a los ficheros de titularidad privada, el artículo 25 de la Ley Orgánica 15/1999 prevé que “Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.” En cuanto a su notificación e inscripción, dispone el artículo 55.2 del Reglamento que “Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del Página 80 de 353

fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.” II. RESOLUCIONES. II. 1. PROCEDIMIENTO SANCIONADOR P.S.Nº PS/00155/2004 RESOLUCIÓN: R/00059/2005 En el procedimiento sancionador PS/00155/2004 instruido por la Agencia Española de Protección de Datos a la entidad GUÍA TELEFAX ANUARIO PROFESIONAL S.L., vista la denuncia presentada por D. E.L.O, se ha dictado la siguiente Resolución: ANTECEDENTES DE HECHO PRIMERO: Con fecha 14/01/2004, tuvo entrada en esta Agencia un escrito de D. E.L.O en el que declara que ha recibido una comunicación de la entidad Guía Telefax Anuario Profesional S.L dirigida a su antiguo domicilio en el que tenía entonces su despacho profesional. El denunciante manifiesta que en ningún momento ha prestado su consentimiento ni ha autorizado para que sus datos personales sean tratados por la citada entidad y que nunca ha contratado publicidad alguna con la misma. Adjunta a su escrito el envío publicitario, de fecha 03/11/2003, de Guía Telefax Anuario Profesional S.L en el que figuran el nombre y apellidos del denunciante, así como la siguiente dirección: (C/.................). SEGUNDO: A la vista de los hechos denunciados, se efectuaron, entre otras, las siguientes actuaciones de inspección: 1.- Se solicitó información a Guía Telefax Anuario Profesional S.L. quien en escrito, de fecha de registro de entrada de 02/03/2004, aportó impresión de pantalla de la información que figura en su fichero de D. E.L.O. En dicho fichero constan los datos del denunciante con domicilio en la calle (C/.................)., teléfono ######-#. Guía Telefax Anuario Profesional S.L. manifestó que los citados datos fueron obtenidos hace aproximadamente dos años de un ejemplar de Páginas Amarillas de la ciudad de (................) y que no se consideran datos personales ya que el domicilio que consta en los ficheros es el del despacho profesional del Sr. E.L.O. 2.- Se solicitó información a Telefónica Publicidad e Información, S.A. De la documentación aportada por la citada entidad se desprende que en las ediciones de la Guía Telefónica Páginas Amarillas correspondientes a los años 2001-2002 y 2002-2003, se publicaron los datos personales de “.L.O, B” asociados al domicilio de (C/2................) y al teléfono nº #####-##2. En la Página 81 de 353

edición del año 2002-2003 se publicaron también los datos de “L.O, E.J.” asociados al domicilio de (C/3.............) de (................) y teléfono nº ######-#. TERCERO: Con fecha 10/09/2004, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a Guía Telefax Anuario Profesional S.L. con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por la presunta infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.d), pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica. CUARTO: Notificado el citado acuerdo de inicio de procedimiento sancionador, Guía Telefax Anuario Profesional S.L. formuló alegaciones en las que adujo lo siguiente: a) El domicilio que consta en los ficheros de la empresa es el antiguo domicilio profesional del denunciante, por lo que no se trata de un datos de carácter personal. b) En los listines telefónicos de los años 1998, 1999 y 2000 se publicaron los datos del denunciante asociados al domicilio de la (C/....................) y de esta fuente se obtuvieron los datos del Sr. E.L.O sin que hayan sido renovados. c) El denunciante no se dirigió a Guía Telefax Anuario Profesional S.L. solicitando la cancelación de sus datos. d) El Sr. E.L.O ni vive ni trabaja ya en la dirección a la que se remitió el envío publicitario por lo que no se le han causado perjuicios. QUINTO: En fecha 13/10/2004, se acordó por la instructora del procedimiento la apertura de un período de práctica de pruebas y se acordó de oficio la práctica de la prueba consistente en dar por reproducidas las actuaciones de inspección realizadas al inicio del procedimiento. Asimismo a petición de parte se practicaron las siguientes pruebas: - Se solicitó a Telefónica de España, S.A. que especificara los datos relativos a D. E.L.O con domicilio en (................) que se publicaron en las ediciones de las guías páginas blancas vigentes en el período comprendido entre noviembre de 2002 y noviembre de 2003. Contestó Telefónica de España, S.A. que aparecen en las guías páginas blancas de los años 2001-2002, 2002-2003 y 2003-2004 los siguientes datos de D. E.L.O: L.O, E., (C/.......), Teléfono #####-##3. - Se solicitó al Ilustre Colegio Oficial de Abogados de (.............) que informara sobre si publica anuarios con los datos de sus colegiados y en su caso manifieste qué datos de D. E.L.O se publicaron en el anuario vigente en noviembre de 2003. El Colegio contestó que no existe un anuario de profesionales del año 2003, sino que existe una guía profesional de uso interno que únicamente se distribuye entre los colegiados, Juzgados y otros Colegios de Abogados de España. Por otro lado, se desestimó la práctica de las pruebas solicitadas por Guía Telefax Anuario Profesional S.L relativas a los datos que figuraron en las guías o anuarios en los años 1998, 1999 y 2000 de D. E.L.O y la consistente en solicitar a éste que aporte la documentación acreditativa de haber solicitado la Página 82 de 353

cancelación de sus datos a Guía Telefax Anuario Profesional S.L porque su práctica resulta improcedente a tenor de lo establecido en el artículo 17.2 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora, pues no alteraría el resultado de la resolución final a favor del presunto responsable de acuerdo con lo dispuesto en el artículo 28.3 de la Ley Orgánica 15/1999. SEXTO: Concluido el período probatorio se inició el trámite de audiencia, de conformidad con lo establecido en el artículo 18.4 del Real Decreto 1332/1994, de 20 de junio, en el que Guía Telefax Anuario Profesional S.L después de obtener copia de algunos de los documentos obrantes en el procedimiento formuló alegaciones en las que, en resumen, manifestó que los datos del denunciante fueron obtenidos de la guía páginas blancas de Telefónica que es una fuente de acceso público; que el artículo 28.3 de la LOPD no resulta de aplicación al caso en cuestión pues cuando se recabaron los datos, éstos eran de acceso público; que no es posible que Guía Telefax Anuario Profesional S.L. coteje cada año los casi dos millones de datos de empresas y profesionales que forman su base de datos; que la dirección de la (C/................) era el antiguo despacho profesional del denunciante y no su domicilio particular por lo que los datos tratados no son datos personales; que no se han causado perjuicios al denunciante; que únicamente se remitió al denunciante un formulario que incorporaba una propuesta comercial, y al no devolver la propuesta no se le volvió a remitir ninguna documentación; que el Sr. E.L.O nunca se dirigió a la empresa solicitando que no se le remitiera información comercial; que probablemente recibirá más envíos en la dirección de la (C/............) aunque ya no sea su dirección profesional y que resulta de aplicación la previsión contenida en el artículo 45.5 de la LOPD. SÉPTIMO: Con fecha 03/01/2005, se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancione a Guía Telefax Anuario Profesional S.L. con multa de 60.101, 21 € (sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.d) de dicha norma, dándose traslado para alegaciones. OCTAVO: Con fecha 18/01/2005, tuvo entrada en esta Agencia escrito de alegaciones de Guía Telefax Anuario Profesional S.L. en el que reitera que debe excluirse del ámbito de protección de la LOPD a los profesionales; que en el caso presente la persona afectada es un abogado y la dirección utilizada es la de su antiguo domicilio profesional, por lo que no ha quedado afectado el derecho fundamental del denunciante como persona física; que la comunicación remitida al denunciante va dirigida a empresas; que los datos tratados proceden de las guías páginas blancas en las ediciones de 1998, 1999 y 2000; que Guía Telefax Anuario Profesional S.L. trató en el año 2003 un dato recogido en el año 2000, el dato ya se encontraba incorporado a su fichero, por lo que no resulta de aplicación la estipulación contenida en el artículo 28.3 de la LOPD, pues no se recabaron en el año 2003 datos de una edición de las guías del año 2000; que las cesiones de datos que se hayan producido al amparo de Página 83 de 353

la nueva Ley General de Telecomunicaciones 32/2003 no pueden quedar sin efecto por el hecho de que se publique una nueva edición de la guía; que no se ha ocasionado perjuicios al afectado y que procede una reducción de la sanción al amparo del artículo 45.5 de la LOPD. Finalmente solicita la práctica de la prueba consistente en solicitar al Colegio de Abogados de (.............) sobre los datos personales pertenecientes a D. E.L.O que contenía la guía profesional vigente en noviembre de 2003 editada por el Colegio, así como solicitar a Telefónica Publicidad e Información, S.A. que remita copia certificada de las páginas de sus guías “Páginas Blancas” y “Páginas Amarillas” correspondientes a la provincia de (................) de las ediciones 1998, 199 y 2000, donde consten los datos personales de D. E.L.O. HECHOS PROBADOS PRIMERO: En los ficheros de Guía Telefax Anuario Profesional S.L. se encuentran registrados los siguientes datos del denunciante: E.L.O, domicilio en la (C/................) teléfono ######-# (folio 11) SEGUNDO: Los citados datos fueron utilizados por Guía Telefax Anuario Profesional S.L. para remitir al denunciante un envío publicitario de fecha 03/11/2003 (folio 2). TERCERO: En las ediciones de la Guía Telefónica Páginas Amarillas correspondientes a los años 2001-2002 y 2002-2003, se publicaron los datos personales de “L.O, B” asociados al domicilio de la calle (C/2................) y al teléfono nº #####-##2. En la edición del año 2002-2003 se publicaron también los datos de “.L.O, E.J.” asociados al domicilio de la (C/3................) y al teléfono nº ######-# (folios 14 a 19). CUARTO: En la Guía Telefónica Páginas Blancas de los años 2001-2002, 2002-2003 y 2003-2004 se publicaron los siguientes datos de D. E.L.O: E.L.O., (C/4...........), Teléfono #####-##3 (folio 49). QUINTO: El Ilustre Colegio Oficial de Abogados de (............) no publicó en el año 2003 ningún anuario de profesionales. Únicamente existe una guía profesional de uso interno que únicamente se distribuye entre los colegiados, Juzgados y otros Colegios de Abogados de España (folio 50). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la Ley II Se imputa a Guía Telefax Anuario Profesional S.L. en el presente procedimiento una infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que dispone en su apartado 1 que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

Página 84 de 353

El apartado 2 del mismo artículo añade que “no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”. En el presente caso, ha quedado acreditado que en los ficheros de Guía Telefax Anuario Profesional S.L. se encuentran registrados los datos de D. E.L.O, con domicilio en (C/................) y fueron utilizados remitirle un envío publicitario de f echa 03/11/2003. Este tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato. Sin embargo en este caso Guía Telefax Anuario Profesional S.L. no ha acreditado que cuente con el consentimiento del denunciante para el tratamiento automatizado de sus datos personales ni que concurra ninguno de los supuestos de exclusión del consentimiento recogido en el apartado 2 del artículo 6 de la Ley Orgánica 15/1999, por lo que ha de entenderse conculcado el principio de consentimiento que consagra este artículo. III Alega Guía Telefax Anuario Profesional S.L. en su defensa que los datos del denunciante se recabaron de las guías telefónicas del año 2000 y que cuando se recabaron los datos, éstos eran de acceso público. El artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, define en su apartado j) las fuentes accesibles al público como “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación”. Sin embargo, cabe señalar que de acuerdo con lo establecido en el artículo 28.3 de la Ley Orgánica 15/1999 “las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el carácter de fuente accesible con la nueva edición que se publique.

Página 85 de 353

En el caso de que se obtenga telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención” De acuerdo con lo anterior, los datos provenientes de las guías telefónicas pierden el carácter de fuente accesible al público con la nueva edición que se publique. En el supuesto que nos ocupa, en los ficheros de Guía Telefax Anuario Profesional S.L. se encontraban registrados los siguientes datos personales del denunciante: E.L.O, domicilio (C/................), teléfono ######-#. Estos datos fueron utilizados para remitirle un envío publicitario de fecha 03/11/2003. En las ediciones de la Guía Telefónica Páginas Amarillas correspondientes a los años 2001-2002 y 2002-2003, se publicaron los datos personales de “L.O, B” asociados al domicilio de la (C/2................) y teléfono nº #####-##2. En la edición del año 2002-2003 se publicaron también los datos de “L.O, E.J.” asociados al domicilio (C/3................) y teléfono nº ######-#. En la Guía Telefónica Páginas Blancas de los años 2001-2002, 2002-2003 y 2003- 2004 se publicaron los siguientes datos de D. E.L.O: E.L.O., (C/4..............), Teléfono #####-##3 Ninguna de las direcciones publicadas del denunciante en las citadas guías coincide con la registrada en el fichero de la entidad imputada. Tampoco aparece en las citadas guías el nombre completo del denunciante: E.L.O, sino únicamente sus iniciales E. J., por lo que cabe concluir que los datos que constan en el fichero de la entidad no provienen de fuentes de acceso público, pues si como afirma Guía Telefax Anuario Profesional S.L. se obtuvieron de ediciones de guías anteriores, éstas perdieron el carácter de fuente de acceso público con la publicación de la nueva edición, a tenor de lo dispuesto en el citado artículo 28.3. Sentado lo anterior cabe señalar respecto de las pruebas interesadas por Guía Telefax Anuario Profesional S.L., consistentes en solicitar información al Colegio de Abogados de (............) sobre los datos personales pertenecientes a D. E.L.O que contenía la guía profesional vigente en noviembre de 2003 editada por el Colegio y en solicitar a Telefónica Publicidad e Información, S.A. que remita copia certificada de las páginas de sus guías “Páginas Blancas” y “Páginas Amarillas” correspondientes a la provincia de (................) de las ediciones 1998, 1999 y 2000, donde consten los datos personales de D. E.L.O, que la primera de ellas ya fue practicada en el período probatorio, informando el Colegio de Abogados de (............) que existe una guía profesional de uso interno, que únicamente se distribuye entre los Colegiados, Juzgados y otros Colegios de Abogados de España, por lo que a tenor de lo dispuesto en el artículo 3.j) de la Ley Orgánica 15/1999 ha de concluirse que dicha guía no es fuente de acceso público al no publicarse listas de abogados colegiados en el Colegio de (............) cuya consulta puede ser realizada por cualquier persona. A este respecto, la Audiencia Nacional declaró en su sentencia de 29/06/2001 que “las fuentes accesibles al público son aquellas a través de las cuales podemos conocer en bloque, es decir, no mediante consultas puntuales al Página 86 de 353

Colegio Profesional correspondiente sobre cada colegiado, sino en su totalidad, en forma de listado, los pertenecientes a un determinado colectivo, en este caso, los médicos colegiados, por ser dicho conocimiento, íntegro, de carácter público. Quiere esto decir que aunque algunos de los datos, y desde luego no el del domicilio particular, sobre los colegiados estén a disposición de los ciudadanos, sin embargo dicha circunstancia no convierte a aquellos en fuentes accesibles al público, ya que esta expresión alude a un conocimiento completo de los profesionales médicos, al que se le haya dado algún tipo de publicidad, que permita al banco recurrente no solo llevar a cabo la publicidad y venta de sus productos, sino crear productos específicos para ese colectivo, al contar con la colaboración de los colegios profesionales”. Finalmente, en cuanto a la segunda de las pruebas propuestas, ésta ya fue desestimada por resultar su práctica improcedente, pues no alteraría el resultado de la resolución final a favor del presunto responsable, dado que de acuerdo con lo dispuesto en el artículo 28.3 de la Ley Orgánica 15/1999, los datos contenidos en las guías de abonados de los años 1998, 1999 y 2000 no podían ser utilizados en el año 2003 al haber perdido su carácter de fuente de acceso público con la publicación de las ediciones posteriores de las guías telefónicas. IV Asimismo, aduce Guía Telefax Anuario Profesional S.L. que los datos contenidos en su fichero únicamente se refieren al domicilio profesional de denunciante y que estos datos no son de carácter personal. El artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre, establece que “La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.” De dicho precepto se deduce claramente que la protección conferida por la Ley Orgánica 15/1999, no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionales que organizan su actividad bajo la forma de empresa (ostentando, en consecuencia la condición de comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y con los empresarios individuales que ejercen una actividad comercial y respecto de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999. En consecuencia, tanto las personas jurídicas como los profesionales y los comerciantes individuales (éstos dos últimos sólo en los estrictos términos señalados en el párrafo que antecede, esto es, cuando sus datos hayan sido tratados tan sólo en su consideración de empresarios) quedan fuera del manto protector de la Ley Orgánica 15/1999. Contrario sensu, tanto los profesionales como los comerciantes individuales quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto, amparados por ella cuando los primeros no tuvieran organizada su actividad Página 87 de 353

profesional bajo la forma de empresa, no ostentando, en consecuencia, la condición de comerciante (es el caso de los profesionales liberales cuyas actividades están expresamente excluidas del ámbito de aplicación de la Ley 3/1993, de 22 de marzo, Básica de las Cámaras Oficiales de Comercio, Industria y Navegación, por su artículo 6) y los segundos cuando no fuera posible diferenciar su actividad mercantil de la propia actividad privada. En estos dos casos deberán aplicarse siempre las garantías de la Ley Orgánica 15/1999 dada la naturaleza fundamental del derecho a proteger. Ello exigirá siempre ir analizando caso por caso para hallar en cada supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a la protección de datos de los interesados personas físicas, o, por el contrario, aquél no resulte amenazado por incidir tan solo en la esfera de la actividad comercial o empresarial, teniendo en todo caso presente que, en caso de duda, la solución deberá siempre adoptarse a favor de la protección de los derechos individuales. La Audiencia Nacional en sus sentencias de 22/11/2002 (recurso 881/2000) y 25/06/2003 (recurso 1099/2000) adujo que no existían motivos para considerar fuera del ámbito de la Ley Orgánica 15/1999 a los profesionales pues “no ejercen su actividad bajo forma de empresa, no ostentando en consecuencia la condición de comerciante a que se refieren los artículos primero y siguientes del Código de Comercio”. Posteriormente, en sentencia de 11/02/2004 (recurso 119/2002), la Audiencia Nacional declaró lo siguiente: . En definitiva, los datos el denunciante aunque se refieran al lugar de ejercicio de su profesión son datos de carácter personal y se encuentran incluidos en el ámbito de protección de la Ley Orgánica 15/1999. Por todo cuanto antecede, debe considerarse que el tratamiento que ha realizado Guía Telefax Anuario Profesional S.L. de los datos personales del denunciante vulnera el principio de consentimiento, por cuanto no concurre ninguna de las condiciones que conforme al artículo 6 de la Ley Orgánica 15/1999 permitirían a la citada entidad tratar los citados datos. V El artículo 44.3d) de la Ley Orgánica 15/1999 tipifica como infracción grave: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave”. El principio del consentimiento se configura como principio básico en materia de protección de datos y así se declara en la doctrina del Tribunal Constitucional (STC 292/2002). Este principio se recoge en el artículo 6 de la Ley Orgánica 15/1999 que exige la necesidad de consentimiento del afectado para que puedan tratarse sus datos de carácter personal. La Audiencia Nacional ha manifestado en su sentencia de 22/10/2003 que “la descripción de conductas que establece el artículo 44.3d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cual es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave “tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley”, por tanto, se está describiendo una conducta –el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos, realizando envíos publicitarios.” En este caso, Guía Telefax Anuario Profesional S.L. ha incurrido en la infracción descrita, toda vez que supone una vulneración del principio de Página 89 de 353

consentimiento, consagrado en el artículo 6 de la Ley Orgánica 15/1999, el tratamiento que ha realizado de los datos de D. E.L.O, por cuanto este tratamiento se efectuó sin contar con su consentimiento y sin que concurriera ninguna de las causas de exclusión del consentimiento recogidas en el apartado 2 del mencionado artículo 6. Por tanto, Guía Telefax Anuario Profesional S.L. es responsable de la vulneración del artículo 6 de la Ley Orgánica 15/1999, incurriendo en la infracción tipificada en el artículo 44.3.d) de dicha norma. VI El artículo 45 en su apartado 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, indica que las infracciones graves serán sancionadas con multa de 60.101,21 a 300.506,05 €. El mismo artículo, en su apartado 4, establece los criterios de graduación de la sanción “atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.” Añade el apartado 5 del citado artículo que “ Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediantamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. La aplicación con carácter excepcional del citado articulo exige la concurrencia de, al amenos, uno de los siguientes requisitos: a) cualificada disminución de la culpabilidad del imputado y b) cualificada disminución de la antijuridicidad del hecho. En el supuesto que nos ocupa, no procede la aplicación de la previsión contenida en el aludido artículo pues no concurren las circunstancias necesarias para su aplicación, no obstante se impone la sanción en su cuantía mínima de 60. 101, 22 € Vistos los preceptos citados y demás de general aplicación El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: Imponer a la entidad Guia Telefax Anuario Profesional S.L, por una infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101, 21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica. SEGUNDO: Notificar la presente resolución a GUIA TELEFAX ANUARIO PROFESIONAL S.L, con domicilio en (C/ ................), y D. E.L.O, con domicilio en (C/............) Página 90 de 353

TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 20 del Reglamento General de Recaudación aprobado por Real Decreto 1684/1990, de 20 de diciembre, mediante su ingreso en la cuenta nº 0000 0000 00 0000000000 a nombre de la Agencia Española de Protección de Datos del Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su exacción por vía de apremio. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 5 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 20 del mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003. de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la Ley Orgánica 15/1999, de 13 de diciembre), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, según la redacción dada por la Ley 4/1999, de 13 de enero, que la modifica, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 3 de marzo de 2005 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

Página 91 de 353

Procedimiento Nº PS/00172/2005 RESOLUCIÓN: R/00919/2005 En el procedimiento sancionador PS/00172/2005, instruido por la Agencia Española de Protección de Datos a la entidad a COMPAÑÍA DE SEGUROS DE ASISTENCIA SANITARIA, ASOCIACIÓN MÉDICO-QUIRÚRGICA VALENCIANA DE SEGUROS (ASMEQUIVA), vista la denuncia presentada por ILUSTRE COLEGIO DE ABOGADOS DE VALENCIA, y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 17/12/2004, tuvo entrada en esta Agencia Española de Protección de Datos un escrito del Ilustre Colegio de Abogados de Valencia (en lo sucesivo ICAV) en el que denunciaba que había tenido conocimiento de que por parte de la Compañía de Seguros de Asistencia Sanitaria, Asociación Médico-Quirúrgica Valenciana de Seguros (en lo sucesivo ASMEQUIVA) se estaba realizando una campaña de captación de clientes entre los colegiados, de la que adjunta copia de la circular recibida por uno de los destinatarios. Dicho envío se hace, según se dice en dicha circular, amparándose en un acuerdo de colaboración que esa Compañía dice tener con ICAV, apareciendo el escudo del ICAV en el folleto informativo. Manifiesta que el ICAV no ha firmado ningún acuerdo de colaboración con la entidad ASMEQUIVA, por lo que es ajeno a la oferta que se está realizando. En este sentido, denuncia, por un lado, la utilización ilegítima (incluso fraudulenta) del nombre y escudo del ICAV y, por otro lado, una apariencia, contraria a la realidad, de que el ICAV les ha cedido, en virtud del supuesto convenio, su base de datos. Por otra parte manifiesta que, en el caso de que los datos se hubieran extraído de la Guía Colegial, que es fuente de acceso público, según dispone el art. 3.j) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), debiera haberse cumplido por parte de ASMEQUIVA, con el deber de información que preceptúa el artículo 5 apartado 5 in fine de la citada Ley. SEGUNDO: En el marco de las actuaciones previas de investigación practicadas por la Inspección de Datos esta Agencia para el esclarecimiento de los hechos denunciados, se giró visita de Inspección a ASMEQUIVA, con fecha 21/04/2005, en la que se puso de manifiesto por parte del representante de esta entidad lo siguiente: ASMEQUIVA ofrece servicios de asistencia sanitaria a sus clientes, bien sean particulares o bien sean miembros de colectivos con los que se mantiene un acuerdo de colaboración o convenio específico, en cuyo caso ofrece descuentos sobre los importes de las primas o servicios especiales. Estos acuerdos o convenios se instrumentan por escrito o mediante acuerdo verbal. Como parte de los acuerdos mencionados, la entidad hace llegar información sobre sus servicios a los miembros de los colectivos implicados. Los envíos de información pueden ser llevados a cabo de forma directa por la entidad o proporcionando los documentos – trípticos informativos, por ejemplo – a los responsables de dichos colectivos, para que éstos los hagan llegar a sus Página 92 de 353

miembros utilizando sus propios medios y datos. En el caso de que lo haga ASMEQUIVA utiliza normalmente los datos que le son proporcionados por los responsables de los colectivos, si bien acude, en algunos casos, a las guías profesionales editadas por dichas entidades, como pudiera ser un Colegio Profesional. En ningún caso, se utilizan terceras entidades para las labores de personalización, ensobrado y puesta en correo de los envíos. Hasta el año 2004, ASMEQUIVA ha mantenido un acuerdo verbal de colaboración con el ICAV por el cual ha ofrecido a sus miembros sus servicios en condiciones preferentes. Como parte de dicho acuerdo, la entidad remitía con regularidad – generalmente en el último trimestre del año – un escrito detallando las condiciones y características de su oferta. Con carácter previo, el documento confeccionado se remitía a uno de los responsables del Colegio a fin de que diera el visto bueno a su difusión entre el colectivo. La última remisión de escritos fue llevada a cabo en el último trimestre de 2004. Adjunta ejemplares de las cartas remitidas a finales de los años 2002 y 2003. A finales de 2004, a raíz de la incorporación de una nueva Junta de Gobierno, dicha colaboración fue interrumpida por el ICAV de forma unilateral, hecho que se produjo sin previo aviso y por causas ajenas a ASMEQUIVA. Por ese motivo, y tras numerosos intentos de contacto, fue remitida una comunicación por parte del abogado de ASMEQUIVA explicando la situación y manifestando la completa disponibilidad de la entidad para resolver cualquier divergencia existente. A día de hoy, la relación con el ICAV ha sido suspendida. Adjunta copia del escrito mencionado. Por otra parte, respecto al escrito que fue remitido a miembros del ICAV en el último trimestre de 2004, accediendo al equipo en el que se confeccionó dicho escrito así como los sobres con los datos de los destinatarios, se comprobó lo siguiente: 1. Existe un fichero – hoja de cálculo en formato de la aplicación Microsoft Excel – que contiene un total de 4125 registros en los que se recoge la siguiente información: Nombre y apellidos, dirección postal y número de colegiado. Dicho fichero consta como creado el 23 de febrero de 2004, y en el mismo se comprueba que existe un registro con los siguientes datos: “****, P.P.P., (C/......................................)” 2. Existe un fichero – documento de texto en formato de la aplicación Microsoft Word – con el contenido de la circular remitida el último trimestre de 2004. 3. En los locales de la entidad se encuentra un ejemplar de la Guía de Profesionales editada por el Colegio de Abogados de Valencia, en su edición de 2004, en la que figura registrada la siguiente referencia: “****, 1998, P.P.P., (C/......................................), #######”. TERCERO: En la circular que ASMEQUIVA remitió a los colegiados del ICAV, no consta información sobre la procedencia de los datos personales obtenidos para realizar los envíos con las ofertas de asistencia sanitaria, dentro del “Plan Exclusivo de Salud”, tampoco consta la identidad del responsable del tratamiento, ni los derechos que corresponden a los destinatarios al amparo de la normativa de protección de datos. CUARTO: A la vista del resultado de estas actuaciones previas de investigación, el Director de la Agencia Española de Protección de Datos, con Página 93 de 353

fecha 15/07/2005, acordó iniciar procedimiento sancionador a ASMEQUIVA por la presunta infracción del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.l) de dicha norma, pudiendo ser sancionada con multa de 60.101, 21 € a 300.506, 05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica. QUINTO: Con fecha 26/08/2005 tuvo entrada en esta agencia el escrito de alegaciones de ASMEQUIVA al acuerdo de inicio del presente procedimiento sancionador, en el que alega que los datos obtenidos para el envío de la propuesta de contratación especial a determinados miembros del Colegio de Abogados de Valencia es la propia guía de colegiados que dicha Corporación edita y distribuye, a partir de la facultad establecida en el art. 30.1. de la LOPD, si bien por una lamentable omisión, no se incluyó la coletilla relativa a la información de derechos al destinatario. Expone que cuando se trata de dirigirse a colectivos determinados de profesionales, se emplea la guía colegial, precisamente con el fin de dirigir las comunicaciones a las señas profesionales y con el fin de evitar en lo posible invadir ámbitos privados. Así, la compañía AMESQUIVA procedió a una selección aleatoria de Colegiados, confeccionando el correspondiente listado, que posteriormente serviría para el etiquetado o remisión de la carta con la oferta de contratación y, terminado el plazo de la oferta, el fichero fue destruido. Considera que el fichero no se ha utilizado sino para la emisión de una oferta concreta de contratación, dentro del objeto social de la compañía y, por tanto, amparado por la cobertura del “interés legítimo”, sin que ello haya supuesto ninguna vulneración de derecho o libertad fundamental del interesado receptor. En este sentido manifiesta que no ha existido denuncia de ningún interesado dirigida ante esta Agencia, habiendo sido incoado el procedimiento a partir del escrito del propio Colegio de Abogados. Invoca la aplicación del artículo 45.5 de la LOPD.

SEXTO: En fecha 19/09/2005 se acuerda por la Instructora del procedimiento la apertura de un período de práctica de pruebas en el que se dan por reproducidas las actuaciones previas, realizadas al inicio del presente procedimiento, además de incorporar los documentos generados y obtenidos de la entidad denunciada, junto con sus alegaciones al acuerdo de inicio del procedimiento. SÉPTIMO: Concluido el período probatorio se inicia el trámite de audiencia, de conformidad con lo previsto en el artículo 18.4 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrolla la Ley Orgánica 5/1992, que continua en vigor de conformidad con lo establecido en la disposición transitoria tercera de la LOPD, en el que la entidad ASMEQUIVA se reitera en todo lo manifestado en las alegaciones vertidas con anterioridad, reconociendo que si bien no se hizo constar en la carta dirigida a los destinatarios de la oferta la cita relativa a los derechos de acceso, rectificación y cancelación previstos en la LOPD, manifiesta que, no obstante, tal referencia sí consta en los trípticos que se adjuntan a dicha carta que contenía además la toma de datos o formulario cuya suscripción por el destinatario, y posterior presentación en sus oficinas, resultaba vinculante para la Compañía. OCTAVO: Con fecha 30/11/2005 se emitió Propuesta de Resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos Página 94 de 353

se sancionase a la entidad ASMEQUIVA con multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) por la infracción del artículo 5.5 de la LOPD, tipificada como grave en el artículo 44.3.l) de dicha norma. NOVENO: Con fecha 29/12/2005 ASMEQUIVA presenta alegaciones reiterándose en lo manifestado con anterioridad e invocando la aplicación del artículo 45.5 de la LOPD. HECHOS PROBADOS PRIMERO: La Compañía de Seguros de Asistencia Sanitaria, Asociación Médico-Quirúrgica Valenciana de Seguros (ASMEQUIVA), remitió en el último trimestre del año 2004 cartas dirigidas a los colegiados del Ilustre Colegio de Abogados de Valencia, ofertándoles las condiciones del “Plan Exclusivo de Salud” (Folio 4). SEGUNDO: La Compañía de Seguros de Asistencia Sanitaria, Asociación Médico-Quirúrgica Valenciana de Seguros (ASMEQUIVA) ha reconocido que los envíos se realizaron a partir de la guía de colegiados del Ilustre Colegio de Abogados de Valencia (Folio 47). TERCERO: En dichos envíos no se informaba del origen de sus datos, de la identidad del responsable del tratamiento ni de los derechos que les asisten de acceso, rectificación, cancelación y oposición al tratamiento de sus datos de carácter personal, de conformidad con lo dispuesto en la normativa de protección de datos (Folio 4). CUARTO: La Compañía de Seguros de Asistencia Sanitaria, Asociación Médico-Quirúrgica Valenciana de Seguros (ASMEQUIVA), ha reconocido expresamente que no se hizo constar en el envío de propuesta de contratación especial la cita relativa a los derechos de acceso, rectificación y cancelación previstos en la LOPD, pero que estos sí constaban en los trípticos que se adjuntaban a los citados envíos, que constan en el expediente (Folios 58-59). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD. II Se imputa a ASMEQUIVA la posible comisión de una infracción del artículo 5.5 de la LOPD que dispone que: “No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten” . Página 95 de 353

De acuerdo con lo trascrito, ASMEQUIVA, al haber obtenido los datos de los colegiados de una fuente de acceso público, debe informar a los interesados en cada comunicación que les dirija de los extremos establecidos en el aludido artículo 5.5. En este sentido, la Sentencia del Tribunal Constitucional 292/2000 de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos al declarar que: “el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele”(el subrayado es de la Agencia Española de Protección de Datos). En el presente caso, se ha comprobado que en las propuestas remitidas a los colegiados no se incluían los extremos dispuestos en el citado artículo 5.5 de la LOPD. Extremo por otro lado que ha sido reconocido por la propia entidad denunciada, dejando así a los destinatarios sin la información precisa para, en su caso, tener la posibilidad de ejercer los derechos que les asisten en materia de protección de datos. III El artículo 44.3.l) de la LOPD considera infracción grave: “Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta al afectado”.

Página 96 de 353

De acuerdo con el contenido de dicho precepto, ASMEQUIVA ha incurrido en la vulneración del artículo 5.5 de la LOPD, ya que no ha informado a los interesados del origen de los datos, de la identidad del responsable del tratamiento, ni de los derechos que les asisten, lo que conlleva la infracción del citado artículo 44.3.l) de la citada Ley Orgánica. IV A tenor de lo establecido en el artículo el artículo 45.2, 4 y 5 de la LOPD establece: “2. Las infracciones graves serán sancionadas con multas de 60.101,21 € a 300.506,05 €”. “4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.” “5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. En relación con la aplicación del artículo 45.5 de la LOPD, la Audiencia Nacional ha señalado, entre otras, en Sentencia de 27/10/2004, que “el citado precepto concreta el principio de proporcionalidad (reconocido para el Derecho administrativo sancionador, con carácter general, en el art. 131.3 de la Ley 30/1992), permitiéndose la disminución en un grado de la sanción aplicable en casos de cualificada disminución de la culpa o de la antijuridicidad. Ahora bien, la presente regla debe aplicarse con exquisita ponderación y sólo en casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor de justicia (art. 1.1 CE), por excepción, en casos muy extremos (de aquí la expresión “especialmente cualificada”) y concretos. Pues bien, en el caso de autos, la Sala entiende que dicho precepto no es de aplicación porque a la antijuridicidad no obsta la falta de intención de infringir las normas jurídicas (Sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo de 4 de junio de 1999), y ya hemos razonado la falta de diligencia de la entidad recurrente”. En el presente supuesto, ASMEQUIVA ha reconocido que omitió la información exigida en el artículo 5.5, si bien recogió parte de esta información en los trípticos adjuntos a las propuestas de contratación dirigidas a los colegiados. En este sentido, dado que la entidad intentó parcialmente cumplir con las obligaciones recogidas en el artículo 5.5 de la LOPD puede considerarse una disminución cualificada de la antijuridicidad de los hechos denunciados, por lo que procede la aplicación del artículo 45.5 de la LOPD. Por otra parte, en relación a los criterios de graduación de las sanciones previstos en el artículo 45.4 de la LOPD, y en especial en función de la

Página 97 de 353

ausencia de intencionalidad y de reincidencia acreditados a lo largo del presente procedimiento, procede la imposición de una sanción de 6000 €. El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad COMPAÑÍA DE SEGUROS DE ASISTENCIA SANITARIA, ASOCIACIÓN MÉDICO-QUIRÚRGICA VALENCIANA DE SEGUROS (ASMEQUIVA), por una infracción del artículo 5.5 de la LOPD, tipificada como grave en el artículo 44.3.l) de dicha norma, una multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el artículo 45.2,4 y 5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a COMPAÑÍA DE SEGUROS DE ASISTENCIA SANITARIA, ASOCIACIÓN MÉDICO-QUIRÚRGICA VALENCIANA DE SEGUROS (ASMEQUIVA), (C/..............................................), y a ILUSTRE COLEGIO DE ABOGADOS DE VALENCIA, (C/...........................................). TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la Página 98 de 353

notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 9 de enero de 2006 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

Página 99 de 353

Procedimiento Nº PS/00103/2005 RESOLUCIÓN: R/00576/2006 En el procedimiento sancionador PS/00103/2005, instruido por la Agencia Española de Protección de Datos a la entidad EDITORIAL LEX NOVA, S.A, vista la denuncia presentada por D. A.A.B., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 9/07/2004, tuvo entrada en la Agencia Española de Protección de Datos un escrito remitido por D. A.A.B. (en lo sucesivo el denunciante), en el que manifiesta que, en fecha 14/05/2004, recibió una carta con franqueo pagado y logotipo y dirección de la EDITORIAL LEX NOVA, S.A. (en lo sucesivo Editorial Lex Nova), que contenía un tríptico publicitario de unas bases de datos jurídicas editadas por esa editorial. El denunciante manifiesta que no ha autorizado a dicha editorial para el envío de publicidad, ni le ha facilitado dato personal alguno. El denunciante envió un correo electrónico exponiendo la queja a Editorial Lex Nova, que contestó, mediante burofax, informándole que sus datos fueron obtenidos del listado del Ilustre Colegio de Abogados de (.......) y que procedían a su cancelación. El denunciante manifiesta que no ha vuelto a recibir más publicidad de Editorial Lex Nova. SEGUNDO : Iniciadas actuaciones previas de investigación por parte de la Inspección de Datos, de la documentación aportada por el denunciante, se desprende que recibió un sobre a su nombre y dirección postal en (.......), “C/.......................”. En el encabezamiento de dicho sobre figura, junto al logotipo, “Editorial Lex Nova S.A., C/......................., Tfno .: #######1, Fax.: #######2, www............., e-mail:...........@..........”, y franqueo pagado. El envío contenía información publicitaria y un “Boletín de pedido”, en el que se informaba sobre los derechos que señala artículo 5.1 de la Ley Orgánica 15/1999, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). Sin embargo, no consta la información a que se refiere el artículo 5.5, párrafo segundo, de la LOPD, en lo que respecta al origen de los datos. TERCERO : Del análisis de la información y documentación remitida por la sociedad Editorial Lex Nova, se acredita que los datos del denunciante tienen su origen en la “Guía del Ilustre Colegio de Abogados de (.......)”, correspondiente a la versión editada en el año 2002, figurando el denunciante como abogado ejerciente. El citado colegio ha informado que la nueva edición de la citada guía se editó y empezó a distribuirse a partir de octubre de 2004. En la guía, también disponible en Internet, se ha verificado, con fecha de 27/08/2004, que los datos del denunciante figuran en la misma. El envío comercial se realizó entre el 12 y el 23/04/2004, y el número de destinatarios ascendió a 93.311, manifestando el denunciante que lo recibió el 14/05/2004.

Página 100 de 353

Consta que el denunciante se puso en contacto con la Editorial Lex Nova el 15/05/2004 por correo electrónico. Mediante burofax, en fecha 20/05/2004, Editorial Lex Nova dio respuesta al denunciante, informándole de que se ha procedido a la cancelación de sus datos. En este sentido, la Inspección de Datos ha acreditado que los datos del denunciante se encuentran cancelados desde el día 17/05/2004, día siguiente hábil a la recepción del correo electrónico por parte de Editorial Lex Nova. Asimismo, consta que Editorial Lex Nova tiene declarado en el Registro General de Protección de Datos el fichero denominado “EXPROMOC”, en el que constaban los datos del denunciante. CUARTO : En fecha 21/03/2006, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la Editorial Lex Nova, por presunta infracción del artículo 5.5 de la LOPD, tipificada como grave en el artículo 44.3.l) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica. QUINTO : En fecha 25/04/2006, se acordó iniciar el período de práctica de pruebas, transcurrido el cual, se inició la fase de audiencia notificando a Editorial Lex Nova la relación de documentos que obran en el expediente, al objeto de tomar vista y copia de los mismos. SEXTO : En fecha 26/04/2006, Editorial Lex Nova presentó alegaciones al acuerdo de inicio, argumentando, en síntesis, que los datos del denunciante utilizados para el envío postal proceden del fichero denominado “EXPROMOC”, cuyos datos se obtienen de fuentes de acceso público, como son las guías facilitadas por los Colegios Profesionales, calificadas como tal en el artículo 3.j) de la LOPD. En el caso concreto de los datos del denunciante, estos procedían de la guía de abogados ejercientes pertenecientes al Ilustre Colegio de Abogados de (.......), de la que se excluyeron para realizar el envío publicitario a aquellos que habían manifestado su voluntad de que sus datos no fueran utilizados con fines promocionales. Dicha guía era la vigente a fecha del envío, la cual fue renovada en octubre de 2004. En cuanto a la información que se proporcionó al denunciante en el envío postal, fue la siguiente : “Salvo que específicamente se establezca lo contrario, se considera necesario completar todos los datos requeridos en el formulario de forma verdadera, exacta, completa y actualizada. En caso contrario, Lex Nova podrá, dependiendo del caso, no proceder al registro del usuario o bien denegar el servicio o producto concreto solicitado. Los datos de carácter personal que nos facilite serán incorporados a un fichero, debidamente inscrito en el Registro General de Protección de Datos, cuyo titular y responsable es Lex Nova (NIF **********), con domicilio en la C/......................., llevando a cabo un tratamiento automatizado con la finalidad de mantener la relación negocial, así como remitirle información comercial de nuestros productos y servicios. No obstante, de conformidad con la normativa de protección de datos, puede ejercer sus Página 101 de 353

derechos de acceso, rectificación, cancelación u oposición, dirigiendo una comunicación escrita a la dirección anteriormente citada, en la que se acredite su identidad. Se advierte que la aceptación de la presente cláusula implica, además, su consentimiento para recibir comunicaciones comerciales realizadas a través de correo electrónico. En su caso, puede oponerse a este tratamiento y revocar el consentimiento prestado para lo cual es suficiente con dirigir una comunicación escrita al domicilio de Lex Nova o mediante correo electrónico a la dirección: ...........@........... La aceptación de la presente cláusula implica, asimismo, su consentimiento para comunicar sus datos a la Distribuidora Jurídica Novadix, S.L, la cual los tratará con la finalidad de hacerle llegar información comercial exclusivamente sobre nuestros productos y servicios de contenido jurídico. La dirección de esta entidad es C/......................., donde igualmente podrá ejercitar sus derechos”. Editorial Lex Nova añade, que en la contestación al e-mail del denunciante de fecha 17/05/2006, se le informó mediante burofax de fecha 19/05/2004, la cancelación de sus datos, así como que “el origen de sus datos es la Guía de Abogados de (.......) de 2002, apareciendo sus datos bajo el epígrafe de Abogados ejercientes. Según establece el artículo 3 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Persona se da el carácter de fuente accesible al público a las listas de personas pertenecientes a grupos profesionales, como es el caso”, por lo que el denunciante supo, en todo momento, que el origen de sus datos fue la Guía de Abogados de (.......) correspondiente al año 2002. Por último, Editorial Lex Nova, solicita, en su caso, rebajar la cuantía de la sanción a la indicada para las infracciones leves. SÉPTIMO : En fecha 14/07/2006, se emitió Propuesta de Resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancione a EDITORIAL LEX NOVA, S.A, con multa de 6000 € (seis mil euros) por la infracción del artículo 5.5 de la LOPD, tipificada como grave en el artículo 44.3.l) de dicha norma. OCTAVO : En fecha 25/07/2006, Editorial Lex Nova presenta alegaciones a la Propuesta de Resolución, reiterando las ya formuladas durante el presente procedimiento sancionador. HECHOS PROBADOS PRIMERO .- Con fecha de 9/07/2004, tuvo entrada en la Agencia Española de Protección de Datos un escrito remitido por D. A.A.B. en el que manifiestaba que, en fecha 14/05/2004, recibió una carta con franqueo pagado y logotipo y dirección de la Editorial Lex Nova, que contenía un tríptico publicitario de unas bases de datos jurídicas editadas por esa editorial (folios 1 a 8). SEGUNDO .- No consta que D. A.A.B. haya autorizado a dicha editorial para el envío de publicidad, ni haya facilitado dato personal alguno. TERCERO .- D. A.A.B. envió, en fecha 15/05/2004, un correo electrónico solicitando la cancelación de sus datos y el origen de los mismos a Editorial Lex Nova que contestó el 17/05/2004, mediante burofax, que sus datos fueron obtenidos del listado del Ilustre Colegio de Abogados de (.......) correspondiente Página 102 de 353

a 2002 y que procedían a su cancelación (folios 29 a 32). Consta que los datos de D. A.A.B. fueron cancelados del fichero de Editorial Lex Nova en fecha 17/05/2004, día siguiente hábil a la recepción del correo electrónico solicitando la cancelación. CUARTO .- D. A.A.B. manifiesta que no ha vuelto a recibir más publicidad de Editorial Lex Nova (folio 2). QUINTO .- Los datos de D. A.A.B. fueron obtenidos por Editorial Lex Nova, e incorporados al fichero denominado “EXPROMOC” del que es responsable, de la guía de profesionales del Ilustre Colegio de Abogados de (.......) en su edición de 2002, vigente a fecha del envío (folios 9 a 11). SEXTO .- En el envío publicitario recibido por D. A.A.B. en fecha 14/05/2004, remitido por Editorial Lex Nova, no figura el origen de sus datos (folios 3 a 6 y 12). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II Se imputa a Editorial Lex Nova la posible comisión de una infracción del artículo 5.5 de la LOPD, que dispone lo siguiente : “5. No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten” (el subrayado es de la Agencia Española de Protección de Datos). A tenor literal del segundo párrafo del artículo 5.5 transcrito, Editorial Lex Nova debió informar al denunciante en el propio envío publicitario sobre el origen se sus datos. Sin embargo, consta acreditado que tal información se le remitió con posterioridad al envío, y a raíz de la solicitud realizada por el denunciante en fecha 15/05/2004, toda vez que en el texto informativo que figuraba en el propio envío, recibido el 14/05/2004, no la contemplaba. En el mismo sentido, el artículo 30.2 de la citada LOPD, establece: “Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten”.

Página 103 de 353

La obligación que impone este artículo 5 es, por tanto, la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no el tratamiento, en función de aquélla. En este sentido, la Sentencia del Tribunal Constitucional 292/2000, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos al declarar que: “... el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele.” Cabe concluir que la vigente LOPD ha acentuado las garantías precisas para el tratamiento de los datos personales, vinculando el consentimiento del afectado a la información previa que reciba. En este sentido, cuando el tratamiento se realice exclusivamente con fines de publicidad y de prospección comercial, y los datos se hayan obtenido de fuentes accesibles al público, bastará con que, en cumplimiento de lo dispuesto en el artículo 5.5 de la LOPD, en cada comunicación que se dirija al interesado, se le informe del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten. En este caso, ha quedado acreditado que el envío publicitario que recibió el denunciante, remitido por Editorial Lex Nova, no contenía la indicación recogida

Página 104 de 353

en el precitado artículo 5.5 de la LOPD, correspondiendo a dicha entidad responder de su incumplimiento por ser la empresa responsable del mismo. III El artículo 44.3.l) de la LOPD considera infracción grave: “Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta al afectado”. De acuerdo con lo señalado en el Fundamento de derecho anterior, Editorial Lex Nova incurrió en una infracción del artículo 5.5.de la LOPD, que encuentra su tipificación en el artículo 44.3.l) de dicha Ley Orgánica. IV El artículo el artículo 45.2, 4 y 5 de la LOPD establece: “2. Las infracciones graves serán sancionadas con multas de 60.101,21 € a 300.506,05 €”. “4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.” “5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediantamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. La aplicación con carácter excepcional del artículo 45.5 exige la concurrencia de, al menos, uno de los siguientes requisitos: a) Disminución de la culpabilidad del imputado y b) Disminución de la antijuricidad del hecho. En el presente caso, se aprecia que concurre una disminución cualificada de la culpabilidad porque, a pesar de que el envío publicitario carecía de la información acerca del origen de los datos del denunciante, Editorial Lex Nova procedió a cancelar sus datos y aplicación del artículo 45.5 de la LOPD. Asimismo, teniendo en cuenta los criterios de graduación de las sanciones recogidos en el artículo 45.4 citado y, en especial, en relación a la falta de intencionalidad y de reincidencia acreditada en el presente procedimiento sancionador, procede imponer una sanción de 6.000 €. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad EDITORIAL LEX NOVA, S.A, por una infracción del artículo 5.5 de la LOPD, tipificada como grave en el artículo 44.3.l) de dicha norma, una multa de 6000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica. SEGUNDO : NOTIFICAR la presente resolución a EDITORIAL LEX NOVA, S.A, (C/.......................................................), y a D. A. A .B., (C/.....................…......................).

Página 105 de 353

TERCERO : Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 7 de septiembre de 2006 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

Página 106 de 353

Procedimiento Nº PS/00334/2005 RESOLUCIÓN: R/00681/2006 En el procedimiento sancionador PS/00334/2005, instruido por la Agencia Española de Protección de Datos a las entidades TECNOCRÉDIT, S.A., DOMCA INVESTIGADORES, S.L. y COLEGIO DE ABOGADOS DE HUELVA , vista la denuncia presentada por D. S.M.S., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 28/02/2005, tuvo entrada en esta Agencia un escrito de D. S.M.S. (en lo sucesivo el denunciante), por el que denuncia a las entidades Domca Investigadores, S.L. (en lo sucesivo Domca) y Tecnocredit, S.A. (en lo sucesivo Tecnocredit) por haberle remitido publicidad sin su consentimiento. Aporta copia de las dos comunicaciones postales que recibió de las citadas entidades: - La comunicación de Tecnocredit contiene un escrito, datado en noviembre de 2004, en el que se promociona el crédito “BS Crediopen”. - La comunicación de Domca contiene información sobre la apertura de un nuevo despacho profesional en (......) y sobre las actividades de la empresa, consistentes en labores de investigación y peritaje. SEGUNDO: Solicitada información a Domca sobre los hechos denunciados, dicha entidad manifestó, en escritos de fechas de entrada en esta Agencia de 29/07/2005 y 27/03/2006, que es una empresa dedicada a la investigación mercantil y a las peritaciones judiciales, que los datos utilizados para sus envíos son públicos y pueden obtenerse en los Colegios de Abogados de cada provincia, previa acreditación profesional del solicitante. En concreto, los datos del denunciante se los facilitó el Ilustre Colegio de Abogados de Huelva (en lo sucesivo el Colegio), en virtud de la solicitud realizada al Colegio con fecha 25/10/2004, para informar a los colegiados de la nuevas oficinas de Domca en (.....), y fueron utilizados para remitirle la citada información. Aporta copia del listado que le facilitó el Colegio en el que figuran los datos del denunciante. TERCERO: Asimismo, se solicitó información a Tecnocredit que señaló que los datos del denunciante se los facilitó el Colegio, en virtud del convenio de colaboración firmado con fecha 14/05/2003. CUARTO: Se solicitó información al Colegio que, en escrito de registro de entrada de fecha 25/10/2005, manifestó que con fecha 14/05/2003 suscribió un convenio con Tecnocredit para difundir una serie de servicios y productos financieros. Los colegiados han sido informados del citado convenio a través de la página web del Colegio, en la que se publica, y a través de un escrito que se remitió a los domicilios postales de los colegiados. El denunciante no ha manifestado su deseo de que sus datos no sean tratados con fines de publicidad o de prospección comercial. Asimismo, en escrito de fecha de registro de entrada de 27/03/2006, declaró que el Colegio no tiene editado ningún tipo de anuario profesional, que Página 107 de 353

únicamente posee el fichero de colegiados inscrito en el Registro General de Protección de Datos de la Agencia, que la información que facilita es fuente de acceso público y se facilita a personas o entidades directamente relacionados con las funciones de la abogacía, que deben rellenar un documento en el que deben indicar el destino y el uso que se dará a la información. QUINTO: Se consultó, con fechas 24/08/2005 y 28/10/2005, las guías “Páginas Blancas” y “Páginas Amarillas” accesibles a través de internet, constatándose que en las mismas no se publican los datos del denunciante. SEXTO: Con fecha 19/04/206, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al Colegio, Domca y Tecnocredit con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1999, que continua en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), en concreto al Colegio por la presunta infracción del artículo 11.1 de la citada Ley Orgánica, tipificada como muy grave en el artículo 44.4.b), pudiendo ser sancionada con multa de 300.506,05 € a 601.012,10 €, de acuerdo con el artículo 45.3 de la LOPD, y a Domca y Tecnocredit por la presunta infracción del artículo 6.1 de la citada Ley Orgánica, tipificada como grave en el artículo 44.3.d), pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la LOPD. SÉPTIMO: Notificado el citado acuerdo de inicio, Tecnocredit formuló alegaciones en las que adujo que el Colegio le facilitó los datos del denunciante, que el Colegio es el que debió obtener el consentimiento de los colegiados y que todos los colegiados fueron informados del convenio suscrito entre el Colegio y Tecnocredit, por lo que considera que no se ha producido ninguna vulneración del artículo 6 de la LOPD. Domca presentó alegaciones en las que manifestó que se remitió al denunciante una comunicación relacionada con el mundo del derecho, que el denunciante no se ha opuesto a recibir comunicaciones, que los datos del denunciante se los facilitó el Colegio y que tales datos son públicos, de acuerdo con el artículo 3.j) de la LOPD. Por su parte, el Colegio manifestó lo siguiente: • El Colegio elabora anualmente un listado de Colegiados al que sólo se incorporan los datos recogidos en el artículo 3.j) de la LOPD. • El denunciante se encuentra colegiado desde 1996 y sus datos personales se encuentran incluidos en el último listado del Colegio. • El denunciante no se ha opuesto al tratamiento de sus datos con fines publicitarios. • El denunciante facilitó al Colegio su consentimiento para la cesión de sus datos personales cuando se colegió y recibió, con anterioridad a su denuncia, una carta de Tecnocredit en la que se le informaba que los datos procedían del Colegio, sin que se hubiera opuesto al tratamiento. • Los datos del denunciante aparecen publicados en la página web del Consejo General de la Abogacía, que contiene el censo de todos los abogados de España, y también se encuentran incluidos en la última edición de la lista

Página 108 de 353

Oficial de Abogados de Andalucía, publicada por el Consejo Andaluz de Colegios de Abogados de Andalucía con fecha 1997. • El denunciante solicitó el archivo de las actuaciones. • El fichero del Colegio es un fichero público por lo que las infracciones deberían sancionarse de acuerdo con lo dispuesto en el artículo 46 de la LOPD. OCTAVO: En fecha 26/04/2006, se acordó por la instructora del procedimiento la apertura de un período de práctica de pruebas, en el que se accedió a la página web del Consejo General de la Abogacía, que contiene el censo de colegiados de los Colegios de Abogados de toda España, en la que se informa que “el Censo está sujeto a la Ley Orgánica de Protección de Datos en virtud de la cual estos datos no podrán usarse para fines comerciales, publicidad o prospección comercial de los datos de contacto, se requiere el consentimiento expreso de los colegiados, salvo los supuestos recogidos en la ley”. Se constató que el acceso a los datos contenidos en el referido Censo se realiza de forma individualizada, introduciendo previamente los datos de nombre y apellidos del colegiado, así mismo se constató que introduciendo los datos de nombre y apellidos del denunciante se accede al registro que contiene sus datos personales. Se solicitó información al Consejo Andaluz de Colegios de Abogados, que señaló que el Consejo ha editado un único listado de profesionales en el año 1997 y que dicho listado no está actualizado ni se encontraba vigente en los años 2003 y 2004. Asimismo aportó la citada lista en cuya página 932 figuran los datos del denunciante como colegiado no ejerciente. Durante el período probatorio del procedimiento el denunciante ratificó lo alegado por el Colegio en relación al acuerdo de inicio, declarando que facilitó al Colegio su consentimiento expreso para el tratamiento de sus datos personales en todos sus términos, lo que incluye la remisión de las cartas que recibió en su domicilio. Asimismo, declaró que le consta que se encuentra disponible al público en la sede del Colegio un listado de colegiados, que contiene sus datos personales, y que nunca solicitó al Colegio que se incluyera en el referido listado la indicación de que sus datos no fueran utilizados con fines publicitarios. NOVENO: Concluido el período probatorio se inició el trámite de audiencia, de conformidad con lo establecido en el artículo 18.4 del citado Real Decreto 1332/1994, en el que Domca formuló alegaciones en las que manifestó que los datos del denunciante figuran en fuentes accesibles al público. Por su parte, Tecnocredit manifestó, en resumen, que la cesión de datos se encontraba consentida por el denunciante. El Colegio no formuló alegaciones al respecto. DÉCIMO: Con fecha 07/09/2006, se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se exonere de responsabilidad al Ilustre Colegio de Abogados de Huelva, a Página 109 de 353

Tecnocredit, S.A. y a Domca Investigadores, S.L. de los hechos que se imputan en el presente procedimiento, dándose traslado para alegaciones, sin que se hayan formulado alegaciones al respecto. HECHOS PROBADOS PRIMERO: D. S.M.S. se encuentra colegiado en el Colegio de Abogados de Hueva desde 1996 (folio 120). SEGUNDO: D. S.M.S. recibió en su domicilio postal dos envíos publicitarios, uno de Tecnocredit, S.A., conteniendo un escrito, datado en noviembre de 2004, en el que se promociona el crédito “BS Crediopen”, y otro de Domca Investigadores, S.L. conteniendo información sobre la apertura de un nuevo despacho profesional en (.....) y sobre las actividades de la empresa, consistentes en labores de investigación y peritaje (folios 2 a 11). TERCERO: El Colegio de Abogados de Huelva facilitó a Tecnocredit, S.A. los datos de D. S.M.S., en virtud del convenio de colaboración firmado entre ambas entidades, con fecha 14/05/2003 (folios 35 a 42). CUARTO: El Colegio de Abogados de Huelva facilitó a Domca Investigadores, S.L. los datos de D. S.M.S., en virtud de la solicitud realizada por ésta con fecha 25/10/2004 (folio 56). QUINTO: Durante el período probatorio del procedimiento el denunciante ratificó lo declarado por el Colegio en relación al acuerdo de inicio, declarando que facilitó al Colegio su consentimiento expreso para el tratamiento de sus datos personales en todos sus términos, lo que incluye la remisión de las cartas que recibió en su domicilio. Asimismo, declaró que le consta que se encuentra disponible al público en la sede del Colegio un listado de colegiados, que contiene sus datos personales, y que nunca solicitó al Colegio que se incluyera en el referido listado la indicación de que sus datos no fueran utilizados con fines publicitarios (folios 170 a 172 y 190). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 11, 1 y 2, de la LOPD dispone lo siguiente: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. “2. El consentimiento exigido en el apartado anterior no será preciso: Página 110 de 353

a) Cuando la cesión está autorizada en una Ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica” (el subrayado es de la Agencia Española de Protección de Datos). El artículo 6.1 y 2 de la LOPD, dispone: ”1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. “2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado” (el subrayado es de la Agencia Española de Protección de Datos). El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, Fundamento Jurídico 7 primer párrafo, “(...) consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior Página 111 de 353

almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...). Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. El tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato. La LOPD señala en su artículo 3.c) e i) lo siguiente: “c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. “i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado” (el subrayado es de la Agencia Española de Protección de Datos). El citado Real Decreto 1332/1994 considera cesión de datos “toda obtención de datos resultante de la consulta de un fichero, su interconexión con otros ficheros y la comunicación de datos realizada por una persona distinta de la afectada”. La Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se refiere en su artículo 2.b) a la cesión dentro de la definición del tratamiento de datos, y la define como “comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso de los datos, cotejo o interconexión.” III En el caso examinado, ha quedado acreditado que el Colegio cedió los datos del denunciante a Tecnocredit y a Domca, sin embargo también ha quedado acreditado que el denunciante facilitó su consentimiento para que el Colegio tratara y pudiera facilitar sus datos personales, por lo que la cesión de datos que el Colegio realizó a Tecnocredit y a Domca para la remisión de los envíos publicitarios al denunciante contaban con su consentimiento inequívoco. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: EXONERAR de responsabilidad al COLEGIO DE ABOGADOS DE HUELVA, a TECNOCREDIT, S.A. y a DOMCA INVESTIGADORES, S.L. por los hechos que se imputan en el presente procedimiento.

Página 112 de 353

SEGUNDO: NOTIFICAR la presente resolución a TECNOCRÉDIT, S.A., (C/...........................................), DOMCA INVESTIGADORES, S.L., (C/...........................................), ILUSTRE COLEGIO DE ABOGADOS DE HUELVA, (C/...........................................), y a D. S.M.S., (C/...........................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 27 de septiembre de 2006 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

Página 113 de 353

Procedimiento Nº PS/00071/2006 RESOLUCIÓN: R/00845/2006 En el procedimiento sancionador PS/00071/2006, instruido por la Agencia Española de Protección de Datos a D. A.V.R., D. A.V.P., D. F.Y.H., D. M.B.S. y al bufete de abogados “J.Y.H.-C.” , vista la denuncia presentada por D. T.P.L., y en base a los siguientes, ANTECEDENTES PRIMERO: En fecha 31/05/2004, tuvo entrada en esta Agencia un escrito remitido por D. T.P.L. (en lo sucesivo el denunciante), en el que manifiesta lo siguiente: El denunciante adquirió un determinado número de acciones de la sociedad Artscapital Investment, S.A. (en lo sucesivo Artscapital), entidad de la que era a su vez también accionista, a otros cuatro accionistas de la misma. La compraventa de las citadas acciones se formalizó en contrato privado, de fecha 23/01/2004. Los vendedores, que se desprendieron en la citada operación de compraventa de la totalidad de las acciones de Artscapital, fueron D. A.V.R., D. A.V.P., D. F.Y.H. y D. M.B.S.. Suscitadas con posterioridad controversias sobre las circunstancias de la compraventa de acciones, los vendedores, a través del bufete de abogados “J.Y.H.-C.” , informaron de los detalles de la compraventa, así como de las acciones jurídicas a tomar en defensa de sus derechos al resto de accionistas de la citada sociedad, utilizando, a tal efecto, la dirección electrónica de cada uno de ellos entre la que figuraba la correspondiente al denunciante, en concreto “.....A...@.......”. Dicho correo electrónico se envió en fecha 27/05/2004. Según manifiesta el denunciante, nunca ha autorizado a los vendedores el tratamiento de su dirección de correo electrónico. SEGUNDO: Iniciadas actuaciones previas de investigación con el fin de aclarar los hechos denunciados, la Inspección de Datos requirió a “J.Y.H.-C.” para que justificara la procedencia de los datos del denunciante y su consentimiento para el tratamiento de los mismos, llevado a cabo para el envío del citado correo electrónico de fecha 27/05/2004. En fecha 21/01/2005, “J.Y.H.-C.” contesta a esta Agencia, que las acciones objeto de compraventa tienen el carácter nominativo y, por lo tanto, se hallan sujetas a lo establecido en los artículos 55 y 56 de la Ley de Sociedades Anónimas, Texto Refundido aprobado por Real Decreto Legislativo 1564/1989, de 22 de diciembre (en lo sucesivo L.S.A). Asimismo, el artículo 11.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), dispone que “el consentimiento exigido en el apartado anterior no será preciso : a) cuando la cesión esté autorizada en una Ley” . En este sentido, manifiestan que el denunciante tiene la condición de accionista de Artscapital, por lo que el contenido del correo enviado al resto de accionistas informando, entre otros aspectos, sobre la compra de las citadas acciones y el ejercicio de sus derechos en sede judicial, está amparada en los citados artículos de la L.S.A. Página 114 de 353

Por otra parte, “J.Y.H.-C.” manifiesta que el artículo 6.2 de la LOPD exime del consentimiento para el tratamiento de datos de carácter personal “cuando ... se refieran a las partes de un contrato ... y sean necesarios para su mantenimiento o cumplimiento”. En el presente caso, los datos del denunciante y los de los accionistas, vendedores de las acciones nominativas de Artscapital, se refieren o afectan a las partes de una doble relación contractual : la constituida por la compraventa de las acciones que es objeto de comunicación y la representada por el contrato de sociedad constitutivo de la propia Artscapital. De este último, se derivan un conjunto de principios, normas reguladoras, acciones y obligaciones para las partes del mismo, que se denuncian como infringidos, y que los vendedores, clientes y representados por el bufete “J.Y.H.-C.” , trataban de hacer valer. En cuanto al origen de los datos del correo electrónico del denunciante, manifiestan que el correo electrónico constituye la forma de comunicación habitual y aceptada por los accionistas de Artscapital. En este sentido, los destinatarios del correo electrónico objeto de denuncia proceden de los mensajes que Artscapital ha venido dirigiendo a éstos, entre ellos el del denunciante, y, concretamente, en el mensaje de fecha 15/04/2004, enviado por el “Cargo 1” del Consejo de Administración de Artscapital a todos los accionistas convocándolos para la celebración de la Junta General Ordinaria de fecha 30/04/2004. TERCERO : En fecha 14/02/2006, se requiere a “J.Y.H.-C.” que aporte documentación acreditativa del mandato de sus clientes para realizar el envío del citado correo electrónico, de fecha 27/05/2004, a todos los accionistas de Artscapital o, en su caso, aporten el consentimiento del denunciante para el tratamiento de sus datos relativos a la dirección de correo electrónico. Asimismo, se requiere a “J.Y.H.-C.” para que informe de la dirección postal a efectos de notificaciones de sus clientes. En fecha 3/03/2006 y 26/04/2006, “J.Y.H.-C.” contesta que los datos solicitados son objeto de especial protección por el ordenamiento jurídico imponiendo al “Abogado” el deber estricto de secreto profesional. “J.Y.H.-C.” aporta contestación del Ilustre Colegio de Abogados de Madrid, en el sentido anteriormente indicado, a la pregunta del citado bufete relativa a la idoneidad de dar respuesta al requerimiento de esta Agencia. CUARTO : No consta acreditado que D. A.V.R., D. A.V.P., D. F.Y.H. y D. M.B.S., tuvieran consentimiento del denunciante para el tratamiento de sus datos personales llevado a cabo, en principio, a través del mandatario “J.Y.H.C.” , para el envío del correo electrónico de fecha 27/05/2004, ni que dicho tratamiento se encuentre amparado en alguno de los supuestos contemplados en el artículo 6.2 de la LOPD. QUINTO : En fecha 22/05/2006, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a D. A.V.R., D. A.V.P., D. F.Y.H., D. M.B.S. y “J.Y.H.-C.” , por la posible infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma. SEXTO : En fecha 24/05/2006, se notificó el acuerdo de inicio a “J.Y.H.-C.” y al denunciante. En relación con el resto de los imputados, desconociéndose la dirección de los mismos, se procedió a la notificación del citado acuerdo de inicio a su representante “J.Y.H.-C.” , resultando devueltos por el Servicio de Correos con la anotación “desconocido en dichas señas”. Página 115 de 353

En fecha 2/06/2006, “J.Y.H.-C.” manifiesta que, en fecha 24/06/2006, se rechazaron cuatro envíos postales remitidos por esta Agencia a nombre de “D. A.V.R.”, “D. A.V.P.”, “D. F.Y.H.” y “D. M.B.S.”, por no constituir su domicilio, al considerar que no ostenta la condición de representante de los mismos a los efectos de hacerse cargo de las notificaciones a ellos dirigidas. En fecha 23/06/2006, se procedió a la publicación del acuerdo de inicio en el tablón de edictos del Ayuntamiento de ......, permaneciendo hasta el 11/07/2006. Asimismo, dicho acuerdo de inicio se publicó en el Boletín Oficial del Estado (en lo sucesivo B.O.E.) de fecha 24/06/2006. SÉPTIMO : En fecha 9/06/2006, “J.Y.H.-C.” formuló alegaciones al acuerdo de inicio, en las que argumenta, en síntesis, lo siguiente : 1º .- La persona inicialmente imputada no corresponde al remitente del correo electrónico objeto del presente procedimiento sancionador. En dicho correo figura como remitente “.........B..@...........” y en el acuerdo de inicio consta como imputado y responsable del envío el bufete de abogados “J.Y.H.-C.” , siendo, por tanto, personas distintas toda vez que fue uno de los abogados que integran el bufete, actuando en el marco del principio de independencia, quien envió el citado correo. 2º .- Incompetencia de esta Agencia para el enjuiciamiento del presente procedimiento sancionador al no ser aplicable la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), habida cuenta de que en el artículo 2.2.a) dispone que no será de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, y, en el presente caso, consta que el tratamiento del dato personal del denunciante consistente en su dirección de correo electrónico se realizó en el ejercicio de actividades exclusivamente personales. 3º .- El tratamiento del dato personal del denunciante consistente en su dirección de correo electrónico no requiere consentimiento del mismo, en virtud de lo dispuesto en el artículo 6.2 de la LOPD, que señala que no será preciso el consentimiento cuando los datos de carácter personal se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. En este sentido, es evidente que el contrato de compraventa de valores perfeccionado y consumado con el denunciante y al que se hace especial referencia en la comunicación remitida en fecha 27/05/2004, se encuentra en el marco del mantenimiento o cumplimiento del citado contrato dadas las irregularidades habidas en la venta de las acciones. Además, el dato personal del denunciante, consistente en su dirección de correo electrónico, tiene su origen en las comunicaciones habituales y aceptadas por los accionistas para el intercambio de información referente a la citada sociedad, obrando, en consecuencia, en poder de todos y cada uno de los accionistas. En este sentido, consta en el expediente copia del correo electrónico que el administrador de la sociedad Artcapital envió a todos los accionistas, en fecha 15/04/2004, convocando la Junta General Ordinaria. 4º .- La supuesta infracción no es imputable al bufete de abogados “J.Y.H.-C.” al haber actuado, en la condición de encargado del tratamiento, conforme a las instrucciones de los clientes. En este sentido, “J.Y.H.-C.” aporta copia del contrato de prestación de servicios, en el que se especifica como objeto del Página 116 de 353

mismo : “... siguiendo vuestras instrucciones, se va a remitir una comunicación a los Accionistas de la referida Entidad advirtiéndoles de las irregularidades producidas con motivo de dichas ventas, utilizando las direcciones de correo electrónico que obran en vuestro poder, dada vuestra condición de accionistas de la Sociedad ...”, figurando, además de las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Constan también las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el encargado del tratamiento está obligado a implementar y que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 5º .- La utilización por parte de los abogados de los datos de carácter personal de la parte contraria exime a aquellos de la obligación de recabar su consentimiento, al estar amparada por el derecho fundamental a la asistencia letrada detallado en el artículo 24.2 de la Constitución Española (en lo sucesivo C.E.). 6º.- Subsidiariamente, solicita la aplicación de lo dispuesto en el artículo 45.5 de la LOPD, al concurrir una cualificada disminución de la culpabilidad. OCTAVO : En fecha 16/06/2006, se acordó iniciar el período de práctica de pruebas y, finalizado el mismo, se dio vista y copia de la documentación que obra en el expediente al objeto de formular alegaciones y presentar cuantos documentos se consideren necesarios. Entre las pruebas practicadas, se requirió a la sociedad Artcapital a que comunicara a esta Agencia el domicilio de D. A.V.P., D. A.V.R., D. F.Y.H., D. A.B.S., o en su caso, motive las causas por las que no procede su entrega. Sin embargo no consta contestación. NOVENO : En fecha 4/08/2006, “J.Y.H.-C.” presenta alegaciones en las que reitera, en síntesis, las ya formuladas. DÉCIMO : En fecha 9/10/2006, se emitió Propuesta de Resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos sancione a D. A.V.R., con multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo 4.2 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, y se acuerde el archivo de las presentes actuaciones en relación con D. A.V.P., D. F.Y.H., D. M.B.S. y el bufete de abogados “J.Y.H.-C.”. La notificación de la Propuesta de Resolución al bufete de abogados “J.Y.H.C.” se realizó en fecha 9/10/2006. Sin embargo, las notificaciones al resto de personas imputadas fueron devueltas con la anotación “no es la dirección”. En fecha 10/10/2006, ante el desconocimiento del domicilio actual del imputado, se procedió a la publicación de la Propuesta de Resolución en el tablón de edictos del Ayuntamiento de ....... Asimismo, dicha Propuesta se publicó en el B.O.E. de fecha 11/10/2006, página 11.072. UNDÉCIMO : Transcurrido el plazo para presentar alegaciones, el bufete de abogados “J.Y.H.-C.” presenta ante esta Agencia un escrito en el que manifiesta que las Propuestas de Resolución, enviadas a su dirección postal, destinadas al resto de los imputados han sido devueltas al considerar que no ostentan la condición de representante de los mismos a los efectos de hacerse cargo de las notificaciones a ellos dirigidas. Página 117 de 353

Por su parte, D. A.V.P., D. F.Y.H. y D. M.B.S. no formulan alegaciones. DUODÉCIMO : En fecha 13/11/2006, D. A.V.R. presenta escrito de alegaciones en el que manifiesta tener el domicilio en (.................................), y argumenta, en síntesis, que por el B.O.E., a través de Internet, ha tenido conocimiento de la Propuesta de Resolución en la que se propone que se le imponga una sanción de multa de 60.101,21 €, por una supuesta infracción del artículo 4.2 de la LOPD. Añade, que el hecho que ha dado origen al presente procedimiento sancionador está constituido por la comunicación por correo electrónico que, en fecha 27/05/2004, el bufete de abogados de ........ “J.Y.H.-C.” dirigió a una serie de personas, accionistas de la sociedad española Artscapital, en relación con la venta de acciones de dicha sociedad. Manifiesta que no ha recibido notificación personal alguna del acuerdo de inicio del citado procedimiento sancionador, sino que tuvo conocimiento de ello a través del B.O.E. de fecha 24/06/2006, en el que se indicaba que se acudía a ese medio de notificación al desconocer el domicilio actual de las personas imputadas. En dicho acuerdo de inicio se imputaba una sanción tipificada como grave. En consecuencia, alega que notificado el citado acuerdo de inicio en dicho B.O.E., y fechándose el hecho imputado el 27/05/2004, la infracción ha prescrito toda vez que ha transcurrido el plazo de dos años, conforme a lo dispuesto en el artículo 47 de la citada LOPD. HECHOS PROBADOS PRIMERO : En fecha 31/05/2004, tuvo entrada en esta Agencia un escrito remitido por D. T.P.L. en el que manifiesta que adquirió un paquete de acciones (folio 10) de la sociedad Artscapital, entidad de la que era a su vez también accionista, a otros cuatro accionistas de la misma. La compraventa de las citadas acciones se formalizó en contrato privado de fecha 23/01/2004 (folios 3 a 8). Los vendedores, que se desprendieron de la totalidad de las acciones de la sociedad Artscapital, fueron D. A.V.R., D. A.V.P., D. F.Y.H. y D. M.B.S. (folios 3 a 8 y 11). Los citados vendedores, a través de su representante (folios 11 y 13), el bufete de abogados “J.Y.H.-C.” , informaron de las supuestas irregularidades en la compraventa de las citadas acciones al resto de accionistas, utilizando, a tal efecto, la dirección electrónica de cada uno de ellos, entre la que figuraba la correspondiente al denunciante, en concreto “.....A...@.......”. Dicho correo electrónico se envió en fecha 27/05/2004 constando como remitente “.........B..@...........” (folio 9). SEGUNDO : El envío del correo electrónico se realizó en virtud del contrato de prestación de servicios suscrito entre el bufete de abogados “J.Y.H.-C.” y uno de los vendedores, “D. A.V.R.”. El objeto de dicho contrato consiste en “... siguiendo vuestras instrucciones, se va a remitir una comunicación a los Accionistas de la referida Entidad advirtiéndoles de las irregularidades producidas con motivo de dichas ventas, utilizando las direcciones de correo electrónico que obran en vuestro poder, dada vuestra condición de accionistas Página 118 de 353

de la Sociedad ...”, figurando, además de las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Constan también las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el encargado del tratamiento está obligado a implementar y que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. TERCERO : No consta que D. T.P.L. haya autorizado el tratamiento de su dirección de correo electrónico para el envío de la citada comunicación. CUARTO : Consta que el correo electrónico enviado por “.........B..@...........” a los accionistas de Artscapital en fecha 27/05/2004, se llevó a cabo en la condición de encargado del tratamiento, conforme a las instrucciones de “D. A.V.R.” (folios 159 y 160). QUINTO : Consta acreditado que la notificación del acuerdo de inicio del presente procedimiento sancionador, se realizó a D. A.V.R. mediante publicación en el B.O.E. de fecha 24/06/2006 (folio 171). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 4.2 de la LOPD dispone lo siguiente : “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.”. Por su parte, el artículo 6 de la LOPD dispone lo siguiente : “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal Página 119 de 353

supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”. III El artículo 44.3.d) de la LOPD, dispone lo siguiente : “3. Son infracciones graves:” “d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave” (el subrayado es de la Agencia Española de Protección de Datos). La infracción del artículo 6 de la LOPD imputada en el acuerdo de inicio, y la del artículo 4.2 de la propuesta de resolución, tipificadas como graves, suponen una clara vulneración de los principios del consentimiento y de calidad de datos recogidos en la citada Ley. IV El artículo 47.1 y 2 de la LOPD, dispone lo siguiente : “1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año. 2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido”. De conformidad con el citado artículo, la infracción del artículo 6 de la LOPD imputada en el acuerdo de inicio, y la del artículo 4.2 de la propuesta de resolución, tipificadas como graves, han prescrito, toda vez que entre la notificación del acuerdo de inicio, que se realizó a través del B.O.E. de fecha 24/06/2006, y la comisión del hecho imputado, que data del 27/05/2004, ha transcurrido más de dos años V En la presente resolución, procede, antes de entrar a analizar, en su caso, la posible infracción del artículo 4.2 de la LOPD, determinar si, tal y como alega el imputado la infracción, tipificada como grave, estaría prescrita al haber transcurrido más de dos años entre la fecha de la infracción, 27/05/2004, y la notificación del acuerdo de inicio del presente procedimiento sancionador a través de su publicación en el B.O.E. del 24/06/2006. En este sentido, se debe señalar que, durante las actuaciones previas de investigación, se requirió al bufete de abogados “J.Y.H.-C.” para que informara a esta Agencia sobre el domicilio del resto de imputados. Sin embargo, el citado bufete contestó, en fechas 3/03/2006 y 26/04/2006, que los datos solicitados son objeto de especial protección por el ordenamiento jurídico imponiendo al “Abogado” el deber estricto de secreto profesional, tal y como ratificó el Ilustre Colegio de Abogados de Madrid, en contestación a la consulta formulada por el citado bufete. Iniciado el presente procedimiento sancionador, se procedió a notificar el mismo a los imputados en la dirección postal correspondiente al bufete de abogados “J.Y.H.-C.”, toda vez que los hechos denunciados hacían suponer la representación suficiente de éste, para hacerse cargo de las notificaciones al Página 120 de 353

resto de los imputados. Sin embargo, las citadas notificaciones resultaron devueltas por el Servicio de Correos con la anotación “desconocido en dichas señas. 24/05/2006” . Ante tal situación, en fecha 23/06/2006, se publicó el acuerdo de inicio en el tablón de edictos del Ayuntamiento de ......, permaneciendo hasta el 11/07/2006, y se publicó en el B.O.E. de fecha 24/06/2006. En fecha 9/10/2006, se emitió Propuesta de Resolución notificándose a la dirección postal del bufete de abogados “J.Y.H.-C.”. Sin embargo, las notificaciones al resto de personas imputadas fueron devueltas por el Servicio de Correos con la anotación “no es la dirección”. En fecha 10/10/2006, ante el desconocimiento del domicilio actual del imputado, se procedió a la publicación de la Propuesta de Resolución en el tablón de edictos del Ayuntamiento de ...... y en el B.O.E. de fecha 11/10/2006, página 11.072. Finalmente, con fecha 13/11/2006, el imputado se dirige a esta Agencia desde ......, haciendo constar la prescripción de la infracción imputada. Sobre este particular, consta acreditado que entre la notificación del acuerdo de inicio, que se realizó a través del B.O.E. de fecha 24/06/2006, y la comisión del hecho imputado, que data del 27/05/2004, ha transcurrido más de dos años, por lo que procede declarar la prescripción de la infracción imputada y acordar el archivo de las presentes actuaciones. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ARCHIVAR las presentes actuaciones. SEGUNDO : NOTIFICAR la presente resolución al bufete de abogados “J.Y H.C.", (C/................................................), y a D. A.V.P., D. F.Y.H. y a D. M.B.S., mediante publicación de extracto de la presente resolución en el tablón de anuncios del Ayuntamiento de ....... y en el B.O.E., y a D. A.V.R., (C/.................................), De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar Página 121 de 353

desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 17 de noviembre de 2006 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

Página 122 de 353

Procedimiento Nº PS/00213/2006 RESOLUCIÓN: R/00972/2006 En el procedimiento sancionador PS/00213/2006, instruido por la Agencia Española de Protección de Datos a la entidad M.-C.-ABOGADOS, vista la denuncia presentada por D. J.O.F., y en base a los siguientes,

ANTECEDENTES PRIMERO: Con fecha 4/01/2005, tuvo entrada en esta Agencia un escrito de D. J.O.F. (en lo sucesivo el denunciante), en el que denuncia a la entidad M.-C. ABOGADOS por haberle remitido una carta, el 24/11/2004, en la que le reclamaba el pago de una deuda de 13,92 €, correspondiente al teléfono ##########, en representación de Telefónica de España, S.A.U. (en lo sucesivo Telefónica), cuando la había abonado el 4/09/2003. SEGUNDO: El Director de la Agencia Española de Protección de Datos acordó, tras la realización de las correspondientes actuaciones previas de investigación, mediante Resolución de 14/11/2006 el inicio de procedimiento sancionador, por la posible comisión por parte de M.-C. ABOGADOS de una infracción del artículo 4.3 de Ley Orgánica 15/1999, de 13/12, de Protección de los Datos de Carácter Personal (en lo sucesivo LOPD), , que señala que “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”, tipificada como grave en el artículo 44.3.f) de dicha norma, que considera como tal “Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara“, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica. TERCERO: El citado acuerdo de inicio fue notificado a M.-C. ABOGADOS, el 20/11/2006. CUARTO: Durante la tramitación del citado procedimiento y, a tenor del artículo 43.1 de la LOPD, se ha apreciado falta de legitimación pasiva de la entidad M.C. ABOGADOS, en la posible comisión de la infracción que se le imputa, lo que implica que dicha entidad no pueda ser responsable de la infracción imputada, y, por ello la imposibilidad de seguir el procedimiento contra la citada entidad por lo que procede acordar el archivo del presente procedimiento sancionador al objeto de dictar nuevo acuerdo de inicio contra las entidades presuntamente responsables de la posible infracción. FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 130. 1 de la Ley 30/1992, de 26/11, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), señala;

Página 123 de 353

“Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia.” III El artículo 42. 1 de la LRJPAC determina que; “1. La Administración está obligada a dictar resolución expresa en todos los procedimientos y a notificarla cualquiera que sea su forma de iniciación. En los casos de prescripción, renuncia del derecho, caducidad del procedimiento o desistimiento de la solicitud, así como la desaparición sobrevenida del objeto del procedimiento, la resolución consistirá en la declaración de la circunstancia que concurra en cada caso, con indicación de los hechos producidos y las normas aplicables. Se exceptúan de la obligación, a que se refiere el párrafo primero, los supuestos de terminación del procedimiento por pacto o convenio, así como los procedimientos relativos al ejercicio de derechos sometidos únicamente al deber de comunicación previa a la Administración”. IV El artículo 43. 1 de la LOPD establece lo siguiente: “1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley.” Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: PRIMERO: ARCHIVAR el procedimiento sancionador iniciado contra M.-C. ABOGADOS. SEGUNDO: NOTIFICAR el presente Acuerdo a M.-C. ABOGADOS, (C/.......................................................), y a D. J.O.F, (C/……......……………………………..). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la LRJPAC, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Página 124 de 353

Madrid, 20 de diciembre de 2006 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

Página 125 de 353

Procedimiento Nº PS/00053/2007 RESOLUCIÓN: R/00698/2007 En el procedimiento sancionador PS/00053/2007, instruido por la Agencia Española de Protección de Datos a la entidad CENTRO DE ESTUDIOS FINANCIEROS S.L., vista la denuncia presentada por Dª. M.M.V., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 16/05/2005, tuvo entrada en esta Agencia un escrito remitido por Dª. M.M.V. (en lo sucesivo la denunciante), en el que manifestó que, el día 16/03/2005, recibió en su buzón de correo electrónico “...A..@......” un mensaje publicitario sobre el inicio de los cursos y seminarios que se impartirían durante el mes de abril de 2005 por el CENTRO DE ESTUDIOS FINANCIEROS, S.L. (en lo sucesivo C.E.F.). La dirección de correo del remitente era “...B..@......”, que corresponde a C.E.F. La denunciante manifestó que no había facilitado a la citada entidad ninguno de sus datos personales ni profesionales, incluida su dirección de correo electrónico. Además, la dirección electrónica es la que utiliza como abogada colegiada en el Ilustre Colegio de Abogados de (.........). Esa dirección, “...A..@......”, es la que aparece publicada, junto a sus datos personales y profesionales, en la guía virtual de la página web del citado colegio profesional, “www....C....”. En dicha guía, figuran publicados los datos personales de la denunciante con la siguiente anotación “este colegiado ha indicado que sus datos no pueden ser utilizados para finalidades publicitarias o de prospección comercial”. SEGUNDO : Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos : 1º.- C.E.F. manifestó que la denunciante, en fecha 1/03/2004, facilitó sus datos personales mediante llamada telefónica realizada al teléfono de información de la entidad al objeto de que se le facilitara información por cualquier medio. C.E.F. aportó, como medio de acreditar la citada llamada telefónica, un listado impreso en el que consta un único registro de llamadas, que correspondiente a una entrante realizada desde el número de teléfono “########”, correspondiente al despacho donde trabaja la denunciante. C.E.F. manifestó haber identificado dicho número de teléfono entrante, porque así consta en la página web, que corresponde al citado despacho donde trabaja la denunciante. 2º.- Realizando una búsqueda en Internet de datos asociados a la denunciante, utilizando como buscador “Google”, se encuentra una entrada titulada “Despacho” donde consta el número de teléfono “########2”, que no coincide con el aportado por C.E.F. Accediendo a la página web del “Bufete M.”, figura como teléfono asociado el indicado por C.E.F. en sus alegaciones, en concreto el número “ ########”.

Página 126 de 353

El número de teléfono de la denunciante que aparece en la “Guía del Colegio de Abogados de (.........)” es el “########3”, que no coincide con el indicado por C.E.F.. Además, en la citada guía electrónica, figura una leyenda indicando que “este colegiado ha indicado que sus datos personales no pueden utilizarse para finalidades publicitarias o de prospección comercial”. 3º.- En fecha 9/11/2005, se requirió a la denunciante a que portara copia de las facturas telefónicas con el detalle de las llamadas realizadas relativas al número de teléfono “########”, que contestó que el titular de dicho número es su hermano, sin aportar más información. TERCERO : En fecha 5/03/2007, el Director de la Agencia Española de Protección de Datos, acordó iniciar procedimiento sancionador al CENTRO DE ESTUDIOS FINANCIEROS, S.L., por la presunta infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica. CUARTO : En fecha 21/03/2007, la denunciante se personó como parte interesada en el presente procedimiento, y solicitó copia de la documentación que obra en el mismo. Con fecha 21/03/2007, se procedió al envío de la documentación solicitada a la dirección postal indicada. QUINTO : En fecha 3/04/2007, C.E.F. formuló alegaciones al acuerdo de inicio, argumentando, en síntesis, lo siguiente : 1º.- Fue la propia denunciante la que aportó su dirección de correo electrónico, mediante una llamada a C.E.F. en fecha 1/03/2004, a las 12h 22m 36 s, y desde el número ########, según consta en el registro de llamadas entrante de la entidad. 2º.- El citado número de teléfono, se corresponde con el despacho en el que presta sus servicios profesionales la denunciante, tal y como consta acreditado en las actuaciones previas de investigación llevadas a cabo por la Inspección de Datos de esta Agencia. 3º.- El hecho de que C.E.F. enviara a la denunciante un correo electrónico publicitando sus servicios tras la recepción de la citada llamada telefónica, permite considerar la existencia de una duda más que razonable de que tal envío lo realizó siguiendo las indicaciones recibidas por la denunciante. 4º.- Subsidiariamente, C.E.F. solicita la aplicación de lo dispuesto en el artículo 45.5 de la LOPD, toda vez que se cumplen los requisitos exigidos. En fecha 14/06/2007, C.E.F. presentó escrito de alegaciones en el que reiteró las ya formuladas. SEXTO : En fecha 14/06/2007, la denunciante presentó escrito de alegaciones al acuerdo de inicio, argumentando, en síntesis, lo siguiente : 1º.- Reitera las alegaciones formuladas durante las actuaciones previas de investigación llevadas a cabo por la Inspección de Datos de esta Agencia. 2º.- Tras ejercitar la denunciante del derecho de acceso ante C.E.F., éste contestó que disponía de los siguientes datos sobre la denunciante : “nombre y apellidos y condición de abogado de (.........)”. Informó, asimismo, que el origen de los datos era de “fuentes de acceso público”, sin concretar cuales. Página 127 de 353

3º.- Consta acreditado que, en fecha 16/03/2005, recibió un correo electrónico en la dirección ...A..@......, de contenido publicitario sobre los productos ofertados para abril de 2005. Tal correo electrónico se envió desde la siguiente dirección electrónica ...B..@......, cuya titularidad corresponde al C.E.F. 4º.- La denunciante manifiesta que no ha facilitado sus datos personales ni ha prestado su consentimiento a CEF para el tratamiento de los mismos, ya que , frente a la alegación de C.E.F., no consta acreditado que la llamada telefónica a la que alude, la haya realizado la denunciante y consta acreditado su contenido. SÉPTIMO : En fecha 13/04/2007, se acordó iniciar un período de práctica de pruebas, llevándose a cabo las siguientes : “1. Incorporar al procedimiento arriba indicado la documentación recabada en actuaciones previas de investigación. 2.- Requerir a Telefónica de España S.A.U, a que compruebe e informe a esta Agencia, si desde el nº de línea ######## se realizó una llamada al nº ########4, el día 1/03/2004, sobre las 12h 22 m. y, en caso afirmativo, indique la dirección postal y titular en la que se encuentra instalada la línea llamante. En su caso, informe sobre la operadora de telefonía que en esa fecha era responsable del citado numero llamante”. En fecha 27/04/2007, Telefónica de España, S.A.U., contestó que sólo dispone de información relativa al titular de la línea del número “########”, que corresponde a “D. J.M.V.”, con domicilio en “(C/...........................)”. OCTAVO: En fecha 17/04/2007, se inició el trámite de audiencia, poniendo disposición de las partes interesadas vista de la documentación obrante en el procedimiento y envío de copia del mismo a sus respectivos domicilios aportados. NOVENO : En fecha 15/06/2007, se emitió Propuesta de Resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se archiven las presentes actuaciones. Transcurrido el plazo para formular alegaciones, las partes interesadas no contestaron. HECHOS PROBADOS 1º.- Dª. M.M.V., en fecha 16/03/2005, recibió en su buzón de correo electrónico “...A..@......” un mensaje publicitario sobre el inicio de los cursos y seminarios que se impartirían durante el mes de abril de 2005 por el C.E.F.. La dirección de correo del remitente era “...B..@......”, cuyo titular corresponde a C.E.F (folio 8 y ss.). 2º.- No consta acreditado que Dª. M.M.V. haya facilitado a C.E.F. la dirección de correo electrónica “...A..@......”. 3º.- Los datos personales relativos a “nombre, apellidos y condición de abogado de (.........)”, figuran en fuente accesible al público como es la “Guía del Colegio de Abogados de (.........)” (folios 10, 11 y 56). Dichos datos fueron objeto de tratamiento por C.E.F., según consta en la contestación al ejercicio del derecho de acceso de fecha 15/04/2005 (folio 15).

Página 128 de 353

4º.-l C.E.F. recibió una llamada telefónica, en fecha 1/03/2004, a las 12h 22m 36 s, y desde el número “########” (folio 52). El titular del citado número telefónico es “D. J.M.V.”, con domicilio en “(C/...........................)” (folio 56). 5º.- Según consta en la “Guía del Colegio de Abogados de (.........)” la dirección postal donde presta servicios profesionales Dª. M.M.V. es “(C/...........................)”. Asimismo, consta acreditado que el número de teléfono “########”, corresponde al despacho en donde presta sus servicios profesionales (folio 54). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II En primer lugar, se debe señalar que las alegaciones formuladas por las partes interesadas se limitan a confirmar los hechos considerados probados en la presente Propuesta de Resolución que coinciden con los expuestos en el acuerdo de inicio, a excepción del contenido de la conversación telefónica recibida en C.E.F. desde el número “########”, que no consta acreditado. En tal sentido, dicha alegación formulada por C.E.F. debe ser rechazada. Sin embargo, en el presente caso, se debe analizar el fondo del asunto, toda vez que procede la recalificación de los hechos imputados por los motivos que a continuación se exponen. En primer lugar, consta acreditado que los datos de la denunciante que dispone C.E.F., que son el “nombre, apellidos y su condición de abogado de (.........)”, figuran en fuentes de acceso público, como es la “Guía del Colegio de Abogados de (.........)”, de conformidad con lo dispuesto en el artículo 3.j) de la LOPD, que define lo siguiente : “Artículo 3. Definiciones j) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación” (el subrayado es de la Agencia Española de Protección de Datos). El artículo 6.2 de la LOPD, señala lo siguiente : “2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y Página 129 de 353

sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado” (el subrayado es de la Agencia Española de Protección de Datos). En consecuencia, el tratamiento de los citados datos de la denunciante por C.E.F., encuentra su habilitación legal en el artículo 6.2 de la LOPD. En segundo lugar, no consta acreditado que el dato personal de la denunciante relativo a su dirección de correo electrónica “...A..@......” haya sido tratado por el C.E.F. para una finalidad diferente a la de enviar, en fecha 16/03/2005, el citado correo electrónico, de contenido publicitario, ya que ofertaba productos comercializados para el mes de abril de 2005 por el citado centro. En consecuencia, dicho tratamiento es el único llevado a cabo por el C.E.F. sin consentimiento de la denunciante. En tercer lugar, tal tratamiento de datos, se encuentra regulado en dos normas legales diferentes. En el artículo 6 de la LOPD, al consistir en el tratamiento un dato de carácter personal de una persona física identificable como es la dirección del correo electrónico, y en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en lo sucesivo LSSI), toda vez que el contenido del citado correo electrónico es publicitario y no consta consentimiento del destinatario para tratarlo en ese contexto. Dada la doble regulación normativa de los hechos imputados objeto del presente procedimiento sancionador, los mismos deben ser analizados desde la perspectiva más favorable para la parte imputada, que en este caso es la LSSI que, además, de conformidad con el principio de especialidad, es donde encuentra su regulación específica, motivo por el que debe ser tipificada la infracción desde esta última norma. No así desde la LOPD, que regula, en general, los tratamientos de datos de carácter personal, quedando, en consecuencia, desplazada su aplicación como consecuencia de la específica tipificación de la infracción imputada dispuesta en la LSSI. En consecuencia, procede recalificar los hechos imputados en el acuerdo de inicio del presente procedimiento sancionador, e imputar a C.E.F. una infracción artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma. III La LSSI prohíbe las comunicaciones comerciales no solicitadas, partiendo de un concepto de comunicación comercial que califica como servicio de la sociedad de la información y que se define en su Anexo como: “f) Comunicación comercial: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. Página 130 de 353

A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica”. El artículo 21 de la citada LSSI, establece lo siguiente : “Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes. 1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija”. Por tanto, el envío de mensajes publicitarios o promocionales por correo electrónico debe haberse solicitado o autorizado expresamente por los destinatarios de los mismos, salvo que se trate de comunicaciones comerciales referentes a productos o servicios de la propia empresa que sean similares a los que inicialmente hubiesen sido objeto de contratación. Atendiendo al enunciado de esta disposición, resulta esencial delimitar el sentido aplicado por la citada normativa a la exigencia de consentimiento previo y expresamente manifestado por el destinatario del mensaje para que pueda admitirse su envío. La LSSI, que tiene por objeto, entre otras materias, la regulación de las comunicaciones comerciales por vía electrónica, establece expresamente en su artículo 1.2 que las disposiciones contenidas en la misma se entenderán sin perjuicio de lo dispuesto en las normas que tengan como finalidad la protección de datos personales. Al referirse a las comunicaciones comerciales por vía electrónica, el artículo 19, “Régimen jurídico”, de la LSSI declara igualmente aplicable la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD) y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales. Esta rotunda previsión legal permite afirmar que, al margen de lo establecido en la LSSI, serán exigibles en el tratamiento de datos personales para la realización de

Página 131 de 353

comunicaciones comerciales por medios electrónicos el conjunto de principios, garantías y derechos contemplados en la LOPD. En el presente caso, C.E.F. llevó a cabo un único tratamiento de datos sin consentimiento, que consistió en tratar el dato personal de la denunciante relativo a su dirección de correo electrónico para el envío de publicidad por medios electrónicos, infracción que se encuentra específicamente tipificada en al LSSI. En relación con los otros tratamientos llevados a cabo por C.E.F. de los datos personales de la denunciante, como son el nombre y apellidos, los mismos encuentran habilitación legal en el artículo 6.2 de la citada LOPD. IV El párrafo primero del artículo 37 de la citada LSSI, establece lo siguiente: “Los prestadores de servicios de la sociedad de la información están sujetos al régimen sancionador establecido en este Título cuando la presente Ley les sea de aplicación”. La LSSI define, en el apartado a) y c) de su Anexo, como : “a) Servicios de la sociedad de la información o servicios todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:” “ 4.- El envío de comunicaciones comerciales”. “c) Prestador de servicios o prestador : persona física o jurídica que proporciona un servicio de la sociedad de la información” (el subrayado es de la Agencia Española de Protección de Datos). Por lo tanto, el ámbito subjetivo de aplicación de la LSSI se circunscribe exclusivamente al prestador del servicio de la sociedad de la información que, en el presente caso, consta acreditado que fue C.E.F. V De conformidad con lo establecido en el artículo 38.4.d) de la LSSI, se considera infracción leve : “d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave”. En consecuencia, el envío de comunicaciones comerciales no solicitadas, en los términos indicados por el citado artículo 38.4.d) de la LSSI se califica como infracción leve, con el agravante de que, si se produce un envío masivo de comunicaciones comerciales no solicitadas a diferentes destinatarios o más de Página 132 de 353

tres a un mismo destinatario en el plazo de un año, en los términos que se indican el también citado artículo 38.3.c), se producirá una infracción grave a los efectos de dicha Ley. El presente supuesto se ajusta al tipo de infracción establecido en el artículo 38.4.d), calificado como infracción leve, al tratarse del envío por correo electrónico de una sola comunicación publicitaria o promocional. VI El artículo 45 de la citada LSSI, señala lo siguiente : “Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses, las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año”. En el presente caso, según consta en la documentación que obra en el expediente, el envío publicitario realizado por C.E.F. a la dirección del correo electrónico de la denunciante se realizó el 16/03/2005. Asimismo, consta que la notificación a C.E.F. del acuerdo de inicio del presente procedimiento es de fecha 7/03/2007. En consecuencia, se ha producido la prescripción de la infracción leve imputada, toda vez que las infracciones leves prescriben a los seis meses desde que queda acreditada su comisión. VII En el supuesto examinado, ha quedado acreditado que, C.E.F., en la condición de prestador de un servicio de la sociedad de la información, remitió, en fecha 16/03/2004, una comunicación publicitaria o promocional desde la dirección electrónica “...B..@......” a la dirección electrónica “...A..@......” que corresponde con la de la denunciante. Sin embargo, no consta acreditada solicitud o autorización expresa y previa de la denunciante ni que existiera relación contractual anterior que habilite a C.E.F. a enviar el citado correo electrónico, de conformidad con lo dispuesto en el artículo 21.2 de la LSSI. Por lo tanto, procede declarar la comisión de la infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, sin que la misma pueda ser sancionada, toda vez que se encuentra prescrita al tiempo del inicio del presente procedimiento sancionador. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ARCHIVAR las presentes actuaciones. SEGUNDO: NOTIFICAR la presente resolución a CENTRO DE ESTUDIOS FINANCIEROS S.L., con domicilio en (C/............................................), y a Dª. M.M.V., con domicilio en (C/.....................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, Página 133 de 353

de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 23 de julio de 2007 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 134 de 353

Procedimiento Nº PS/00311/2007 RESOLUCIÓN: R/00209/2008 En el procedimiento sancionador PS/00311/2007, instruido por la Agencia Española de Protección de Datos a D. I.I.I., vista la denuncia presentada por D. G.G.G. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 03/08/2004, tuvo entrada en esta Agencia un escrito de D.G.G.G. en el que denuncia que el abogado D. I.I.I. (en lo sucesivo el denunciado) posee en su despacho profesional un fichero automatizado que no ha sido inscrito en el Registro General de Protección de Datos ni cumple las medidas de seguridad. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1.- Con fecha 05/10/2005, se realizó por el Servicio de Inspección de esta Agencia una inspección en el despacho profesional del denunciado en la que se comprobó que dispone para el desempeño de su actividad profesional de un fichero automatizado que contiene datos relativos a nombre, apellidos y número de teléfono de sus clientes, y ,en algunos casos, dirección postal y/o electrónica y número de fax. Asimismo se encuentra registrada información acerca de las actuaciones realizadas. También posee un fichero de expedientes en soporte papel. 2.- Según manifestó el denunciado, su fichero no dispone de documento de seguridad y, según constataron los inspectores actuantes, el acceso al fichero no se encuentra protegido mediante la introducción de un código o contraseña. 3.- El fichero denominado “Ficheros Jurídicos Iurisvox” fue inscrito en el Registro General de Protección de Datos, con fecha dd/mm/aaaa, a solicitud del denunciado. TERCERO: Con fecha 13/01/2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al denunciado, con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continua en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), por las presuntas infracciones del artículo 9 de la citada Ley Orgánica, en relación con los artículos 8.1 y 11.1 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal, tipificada como grave en el artículo 44.3.h), pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05, de acuerdo con el artículo 45. 2 de la LOPD. CUARTO: Notificado el citado acuerdo de inicio del procedimiento sancionador, el denunciado formuló alegaciones en las que adujo que la infracción imputada Página 135 de 353

se encuentra prescrita; que no se ha ocasionado ningún perjuicio ya que el denunciante no es cliente suyo, que el titular del fichero es Iurisvox, S.L., que los empleados firman un compromiso de confidencialidad, que el bufete cuenta con sistemas de alarma, puerta blindada, cerradura de seguridad, cerradura en el cuarto de archivo y seguridad en su despacho y que el sistema de información posee un antivirus,; y que procede aplicar el principio de proporcionalidad en la graduación de la sanción que en su caso se imponga. QUINTO: En fecha 16/08/2007, se acordó por la instructora del procedimiento la apertura de un período de práctica de pruebas, durante el cual el denunciado aportó el documento de seguridad de su fichero que contiene normas sobre el ámbito de aplicación del documento; normas y procedimientos para garantizar el nivel de seguridad exigido; funciones y obligaciones del personal; estructura del fichero; procedimiento de notificación, gestión y respuesta ante las incidencias; procedimientos de realización de copias de respaldo y de recuperación de datos; procedimientos de revisión y actualización; relación de usuarios con acceso a datos, que incluye un procedimiento de identificación y autenticación de usuarios; registro de incidencias, normas sobre copia de respaldo y recuperación de datos y gestión de soportes. SEXTO: Concluido el período probatorio se inició el trámite de audiencia, de conformidad con lo establecido en el artículo 18.4 del citado Real Decreto 1332/1994, en el que el denunciado obtuvo copia de documentos obrantes en el procedimiento y manifestó que reitera sus anteriores alegaciones. SÉPTIMO: Con fecha 15/01/2008, se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancione al denunciado con multa de 601,01 € (seiscientos un euros con un céntimo) por la infracción del artículo 9 de la LOPD, en relación con los artículos 8.1 y 11.1 del Real Decreto 994/1999, tipificada como grave en el artículo 44.3.h) de dicha norma, dándose traslado para alegaciones. OCTAVO: Con fecha 29/01/2008, tuvo entrada en esta Agencia escrito de alegaciones del denunciado en el que muestra su conformidad con la propuesta de resolución. HECHOS PROBADOS PRIMERO: Con fecha 05/10/2005, en el despacho profesional de D. I.I.I. se encontraba ubicado un fichero automatizado para el desempeño de su trabajo profesional conteniendo datos relativos a nombre, apellidos y número de teléfono de sus clientes, y ,en algunos casos, dirección postal y/o electrónica y número de fax. Asimismo se encuentra registrada información acerca de las actuaciones realizadas. Así como un fichero de expedientes en soporte papel (folios 12 a 14). SEGUNDO: Según las declaraciones D. I.I.I., incorporadas al Acta de inspección E/623/2004-I/1/05, el citado fichero no dispone de documento de seguridad (folios 12 a 14). Página 136 de 353

TERCERO: El acceso al fichero no se encuentra protegido mediante la introducción de un código o contraseña (folios 12 a 14). CUARTO: El fichero denominado “Ficheros Jurídicos Iurisvox” fue inscrito en el Registro General de Protección de Datos, con fecha dd/mm/aaaa. Consta en el asiento de inscripción del referido fichero que su responsable es D. I.I.I. (folios 5 a 10). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II Se imputa en el presente procedimiento al denunciado una infracción del artículo 9 de la LOPD, que dispone: “1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”. El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros. La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias. El Real Decreto 994/1998, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, que continúa en vigor de acuerdo con lo estipulado en la disposición transitoria tercera de la LOPD, prevé en su artículo 4.1 que “todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico” y añade en el artículo 4.3 que “los ficheros que contengan datos de ideología, religión creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales, sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto”. Página 137 de 353

El artículo 8.1 y 2 del citado Reglamento dispone lo siguiente: “1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información”. “2. El documento deberá contener, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimientos de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de datos”. El artículo 11.1 del citado Real Decreto señala que “el responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.”. III En este caso, en la inspección realizada con fecha 05/10/2005, por el Servicio de Inspección de esta Agencia, se comprobó que en el despacho profesional del denunciado se encontraba ubicado un fichero automatizado conteniendo datos relativos a nombre, apellidos y número de teléfono de sus clientes, y, en algunos casos, dirección postal y/o electrónica y número de fax. Asimismo se constató que el acceso al fichero no se encontraba protegido mediante la introducción de un código o contraseña. Según manifestó el denunciado en el curso de la citada inspección, su fichero no disponía de documento de seguridad. La conclusión que se extrae de tales hechos es que, en este caso, deben entenderse incumplidas las garantías que exigen los artículos 8 y 11 del citado Real Decreto 994/1998 y, en consecuencia, vulnerado el artículo 9 de la LOPD. IV Alega el denunciado en su defensa la prescripción de la infracción imputada. No mantener los ficheros con datos de carácter personal con las medidas de seguridad exigidas vulnera el artículo 9 de la LOPD constituyendo tal incumplimiento una infracción de carácter grave recogida en el articulo 44.3.h) de la LOPD. El artículo 47.2 de la LOPD preceptúa en cuanto al plazo de prescripción de las infracciones graves que prescribirán a los dos años. Y añade en su punto 3 que “Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el

Página 138 de 353

expediente sancionador estuviese paralizado durante más de seis meses por causas no imputables al presunto infractor”. Respecto a la prescripción del citado artículo 9, debe señalarse que se trata de una infracción permanente pues los efectos de la falta de documento de seguridad permanecen mientras no se elabore el mismo. De lo que se desprende que el “dies a quo”, en cuanto al cómputo del plazo de la prescripción, es el día en que cesa la lesión al citado artículo 9, es decir el día en que se dota al fichero del documento de seguridad y se implementan las medidas que exige el Real Decreto 994/1998. Con lo cual la prescripción alegada no se ha producido, toda vez que con fecha 05/10/2005 el fichero del denunciado no disponía de documento de seguridad ni el acceso al mismo se encontraba protegido con contraseñas, por lo que 13/09/2007, notificado el 18/09/2007, no ha transcurrido el plazo de dos años y la prescripción alegada no se ha producido. V El artículo 44.3.h) de la LOPD, considera infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Dado que ha existido vulneración del “principio de seguridad de los datos”, recogido en el artículo 9 de la LOPD, se considera que el denunciado ha incurrido en la infracción grave descrita. El artículo 45. 2, 4 y 5 de la LOPD establece: “2. las infracciones graves serán sancionadas con multa de 60.101,21 € a 300.506,05 €”. “4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.” “5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.” La Audiencia Nacional, en sus Sentencias de 24/05/2002 y 16/02/2005, ha señalado en cuanto a la aplicación del apartado 5 del citado precepto que “... la presente regla debe aplicarse con exquisita ponderación y solo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos y concretos. Circunstancias que no apreciamos concurran en el caso de autos en el que la entidad bancaria debió Página 139 de 353

adoptar una diligencia mayor y optar por una interpretación en defensa de los intereses del titular del dato, pues no se olvida que este es titular de un derecho fundamental a la libertad informática –STS 202/1999- y las entidades que operan en el mercado de datos y obtienen con ello determinadas ventajas deben siempre obrar con exquisita diligencia y procurar siempre la perfecta comunicación entre el dato y la realidad”. En el supuesto examinado, una vez analizadas las circunstancias concurrentes, procede la aplicación del citado precepto tomando en consideración que el denunciado ha aportado el documento de seguridad de su fichero, que incluye una relación de usuarios con acceso a datos y un procedimiento de identificación y autenticación de usuarios, y que en el lugar en que se encuentra ubicado el fichero existen medidas de seguridad tendentes a evitar el acceso no autorizado de los datos, se aprecia una disminución cualificada de la culpabilidad, aunque no una ausencia total de la misma pues el denunciado no implementó las medidas de seguridad exigibles al crear un fichero y no dotarlo de documento de seguridad. De acuerdo con lo anteriormente expuesto y teniendo en cuenta los criterios de graduación de las sanciones recogidos en el citado artículo 45.4 de la LOPD y, en especial, a la ausencia de intencionalidad observada en el presente procedimiento, de reincidencia y de perjuicios causados, se impone la sanción correspondiente a las infracciones leves en su cuantía mínima. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a D. I.I.I., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a D. I.I.I. con domicilio en (C/………………………………..) y a D. G.G.G. con domicilio en (C/………………………………..) TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 000000000abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la

Página 140 de 353

notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 28 de febrero de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 141 de 353

Procedimiento Nº PS/00525/2007 RESOLUCIÓN: R/00383/2008 En el procedimiento sancionador PS/00525/2007, instruido por la Agencia Española de Protección de Datos a la entidad GENERAL OPTICA, S.A., vista la denuncia presentada por DOÑA R.R.R., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 22 de abril de 2005, ha tenido entrada el escrito presentado por Doña R.R.R., en representación de Doña O.O.O., en el que denuncia que, en el transcurso de un juicio oral que tuvo lugar con motivo de una agresión sufrida por su madre, Doña O.O.O., el abogado de la parte contraria presentó como prueba una copia de la factura de dos audífonos comprados por la afectada en un establecimiento de General Óptica en (......). Asimismo denuncia que el citado abogado presentó documentación con relación al historial auditivo de la Sra. O.O.O.. Aporta un vídeo del juicio sobre agresiones sufridas por su madre. SEGUNDO: Dentro de las actuaciones previas de investigación realizadas por la Inspección de Datos con objeto de aclarar los hechos demandados, se verificaron los siguientes extremos: - Según consta en la Diligencia que se incorpora a estas Actuación previas de inspección, del visionado del vídeo remitido por la denunciante se desprende que el abogado de la parte contraria presenta un documento que le es entregado al juez, aportando datos relativos a fechas en que la afectada realizó distintas compras de audífonos. - Según consta en el escrito remitido por General Óptica, S.A., tras ser investigados los hechos la entidad ha podido constatar las siguientes circunstancias con relación a la documentación presentada en el juicio: 1.1 “Según parece, en virtud de una sentencia dictada en un juicio de faltas, la parte condenada a indemnizar a Dña. O.O.O. presentó al Juzgado, como prueba documental acreditativa de la valoración de la responsabilidad civil a que había sido condenado, el citado documento”. 1.2 “La citada factura aparece impresa en papel con membrete de General Óptica y presenta identificativos de que dicho documento fue enviado en febrero de 2005 por medio de Fax desde la Tienda de General Óptica de (......................), al número de teléfono de (......) ########”. 1.3 “En esas mismas fechas, el personal que trabaja en (......) que atiende a la Sra. O.O.O., nos ha confirmado que recibieron la visita de una persona que solicitaba obtener una copia de la documentación correspondiente a la compra de audífonos que la Sra. O.O.O. había realizado en la misma. El personal de (......) se negó a acceder a la solicitud........sin embargo a la vista de la negativa, el abogado de dicha persona, D. G.G.G., ejerciente en (......), manifestó a su cliente posibilidad de obtener el citado documento por otra vía”. 1.4 Consultado los archivos electrónicos que controlan el acceso al fichero de Clientes, hemos podido comprobar que el 28 de febrero de 2005, Don A.A.A. realizó 7 accesos a la ficha correspondiente a la Sra. O.O.O., desde la tienda de (......................)”. 1.5 “Ante estar circunstancias, concluye General Óptica que cabe deducir que el Sr. G.G.G.,....,conoce al “Cargo 1” de la Oficina de (......) y, abusando de su Página 142 de 353

amistad, logró que este violara la política de protección de la información de la empresa, extrajera una copia del citado documento y se la remitiera por fax, según puede comprobarse en el documento”. 1.6 Asimismo, General Óptica aportó junto al citado escrito, una carta firmada por el Director de la Tienda de (......), Don A.A.A., en el que declara haber facilitado el citado documento que contenía los datos existentes en los ficheros de la entidad relativos a Doña O.O.O. Ochoa. TERCERO: Con fecha 24 de enero de 2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a General Óptica, S.A., con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (en lo sucesivo LOPD), por la presunta infracción del artículo 10 de la citada norma, tipificada como muy grave en el artículo 44.4.g), pudiendo ser sancionadas con multa de a 300.506,05 € a 601.012,10 €, de acuerdo con el artículo 45.3 de la citada Ley Orgánica. CUARTO: Notificado el citado acuerdo de inicio de procedimiento sancionador, a General Óptica, S.A., adujo lo siguiente: la entidad es una de las principales empresas de prestación de servicios de óptica y audiometría de España, con centros especializados en toda España, teniendo acceso desde los establecimientos a los datos de los clientes. Los hechos acaecidos fueron consecuencia de la aportación de un documento de General Óptica sobre el precio de unos audífonos de la denunciante. Realizadas las investigaciones oportunas, por parte de General Óptica se comprobó que el Director del establecimiento de (......................), accedió a los datos de la denunciante el día 28 de febrero de 2005, remitiendo un fax con esos datos a un amigo suyo de (......), que lo utilizó en juicio, vulnerando la política de protección de datos de la empresa. General Óptica exigió la dimisión del “Cargo 1” del establecimiento de (......) y ofreció una colaboración total con la Agencia Española de Protección de Datos. General Óptica mantiene una política estricta de protección de datos, ha impartido formación entre el personal, implantó las medidas de seguridad conforme a los datos que se tratan. El hecho denunciado no es un hecho aislado sino único. General Óptica ha denunciado al abogado que uso su relación de amistad para que el Director del centro de (......) incumpliera las normas de protección de datos. Los hechos sucedidos son irrefutables, debiendo destacarse que General Óptica ha investigado en profundidad lo sucedido, pidió responsabilidad al trabajador que incumplió la normativa de protección de datos, tal y como impone la empresa, y reconoce la responsabilidad. Sin perjuicio de ello, considera que es de aplicación lo dispuesto en el artículo 45.5 de la LOPD, ya que no hubo intención para que ocurriera lo que sucedió, a lo que se debe añadir que General Óptica ha invertido grandes esfuerzos para impedir estos hechos. Mantiene unas medidas de seguridad que consiguieron aclarar lo sucedido en un plazo brevísimo. General Óptica mantiene a su personal responsabilizado de la trascendencia de la protección de datos, no pudiendo evitar que un trabajador facilitara un documento que contenía información confidencial a un amigo, Página 143 de 353

trabajador que dimitió de forma inmediata tras prestar servicios en la empresa durante más de 20 años, lo que evitó que se tomaran medidas disciplinarias. Se pidió disculpas inmediatamente a la denunciante. QUINTO: Al haberse reconocido la responsabilidad por la imputada, procede la aplicación de lo dispuesto en el artículo 8.1 de Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, que dispone que “Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda”, por lo que se eleva al Director de la Agencia Española de Protección de Datos a los efectos de que dicte resolución al respecto. HECHOS PROBADOS PRIMERO: Doña O.O.O. es cliente de General Óptica de (......), donde adquirió, en fecha 30 de octubre de 2003, dos audífonos, con un coste de 1537,80 euros (folio 2). SEGUNDO: Con motivo de una agresión sufrida por la Sra. O.O.O. en la que sufrió la rotura de uno de los audífonos, denuncio los hechos dando lugar a un Juicio de Faltas, durante el cual el abogado del denunciado aportó copia de la factura de los audífonos de su madre que tenía General Óptica (folio 3 y 5). TERCERO: General Óptica comprobó que la factura se había enviado en el mes de febrero de 2005, a través de fax, desde la tienda situada en (......) en la calle de la (......), desde la cual el Director había accedido siete veces a la ficha de la Sra. O.O.O. (folio 31). CUARTO: El abogado de la persona denunciada por la Sra. O.O.O. obtuvo copia de la factura de los audífonos a través del Director del establecimiento General Óptica de (......), sita en la calle de la (......) (folio 31). QUINTO: El “Cargo 1” del establecimiento General Óptica de (......), sita en la calle de la (......), empezó a trabajar en dicha empresa en el año (aaaa), ocupando el cargo de “Cargo 1” desde el dd/mm/aaaa. El “Cargo 1” mencionado presentó su dimisión de forma inmediata al esclarecimiento de los hechos, evitando el despido por parte de General Óptica (folios 31 y 32). SEXTO: General Óptica ha denunciado al abogado del denunciado por mala praxis profesional y violación de la normativa de protección de datos al Colegio de Abogados de (......) (folio 69, 76-84). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 10 de la LOPD dispone: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto Página 144 de 353

profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” El deber de secreto profesional que incumbe a los responsables de los ficheros, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y por lo que ahora interesa, comporta que los datos tratados automatizadamente no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. Este deber de secreto resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia del Tribunal Constitucional 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida. III La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos sancionadores, por infracción del artículo 10 de la LOPD, por incumplir el deber de secreto sobre los datos de carácter personal incorporados a ficheros. En el presente procedimiento, se imputa a General Óptica, S.A. la vulneración del deber de guardar secreto sobre datos de salud de una clienta. El artículo 7 de la LOPD establece un régimen específicamente protector diseñado por el Legislador para aquellos datos personales que proporcionan una información de esferas más íntimas del individuo, a los que se califica en el citado artículo como “Datos especialmente protegidos”. Para las diversas categorías de éstos, el precepto citado establece específicas medidas para su protección. En el supuesto de los datos de salud, el Legislador español, siguiendo al Consejo de Europa (artículo 6 del Convenio 108/81, de 28 de enero, del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal) y al Derecho Comunitario (artículo 8 Directiva 95/46/CEE, del Parlamento y del Consejo, de 24 de octubre relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos), los Página 145 de 353

considera como especialmente protegidos y prevé que sólo puedan ser recabados, tratados y cedidos, cuando por razones de interés general así lo disponga una Ley o el afectado consienta expresamente. Ello quiere decir que, solamente en estos supuestos específicos, dichos datos podrán ser tratados. El artículo 7.2 de la LOPD, para el tratamiento de datos especialmente protegidos que revelen la ideología, afiliación sindical, religión y creencias, exige el consentimiento expreso y por escrito del afectado. Por su parte, el artículo 7.3 señala, para el tratamiento de los datos de salud, la exigencia de consentimiento expreso del afectado, pero no la relativa a que deba constar por escrito. Cabe, en consecuencia, admitir la posibilidad de que la manifestación del consentimiento expreso no conste por escrito. Sin embargo, esta posibilidad debe ponerse en relación con los elementos que integran la definición de consentimiento recogida en el artículo 3. h) de la LOPD, que dispone que lo será “Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. De la citada definición resulta particularmente relevante el extremo de que la manifestación de voluntad haya de ser informada, pues sin él difícilmente concurrirán los otros, en especial que sea inequívoca y específica. La letra a) del artículo 5.1 de la LOPD menciona específicamente que debe informarse de las finalidades de la recogida de los datos, las cuales, según el artículo 4.1 de la misma norma deben ser “determinadas, explícitas y legítimas”. En consecuencia, la posibilidad de admitir un consentimiento expreso que no conste por escrito para el tratamiento de los datos de salud, se encuentra condicionada a que pueda acreditarse que es una manifestación de voluntad libre, inequívoca y específica, que se presta una vez que se ha tenido conocimiento de una concreta información entre la que, necesariamente, ha de constar la finalidad determinada, explícita y legítima del tratamiento que se va a realizar sobre los datos personales del afectado. Lógicamente, la concurrencia de los extremos expuestos deberá constatarse en cada caso concreto. En el presente caso, ha quedado acreditado que el “Cargo 1” del establecimiento de General Óptica en la calle (......) de (......) accedió a una factura de unos audífonos, a nombre de la denunciante, facilitándola a un abogado de (......) que la aportó como prueba en un juicio de faltas, sin el consentimiento de la afectada y sin que tuviese ninguna habilitación legal para facilitar la información de sus pacientes sin disociar. Dado que ha quedado acreditado que un trabajador de General Óptica ha facilitado un documento con datos de salud de la denunciante, y se ha constatado que un abogado tuvo acceso al mismo, es evidente la vulneración del deber de secreto por parte de dicha entidad, que es responsable de la custodia de los ficheros de clientes, en los que constan datos de salud de las personas que acuden al mismo. IV La LOPD califica la vulneración del deber de secreto como infracción leve, grave o muy grave, dependiendo del contenido de la información facilitada al tercero. Así, el artículo 44.4.g), califica como muy grave: “La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen Página 146 de 353

referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.” Ha quedado acreditado en el presente procedimiento sancionador que se accedió a los datos incluidos en una factura y se facilitó dicha información a una persona distinta de la interesada sin su consentimiento, por lo que se realizó un tratamiento de datos de salud incluidos en el artículo 7.3 de la LOPD. De acuerdo con lo señalado, se considera que General Óptica, S.A. ha incurrido en la infracción muy grave tipificada en el artículo 44.4.g) de la LOPD. V El artículo 45.3, 4 y 5 de la LOPD señala lo siguiente: “3. las infracciones muy graves serán sancionadas con multas de 300.506,05 € a 601.012,10 €”. “4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.” “5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.” La Audiencia Nacional, en la Sentencia de fecha 9 de octubre de 2006, en el Recurso 271/2005, con relación a los criterios de aplicación de lo establecido en el artículo 45.5 indicaba, en el Fundamento de Derecho Cuarto, lo siguiente: “En el presente caso, a juicio de la Sala, concurren circunstancias que mitigan el juicio de reproche dirigido a la entidad actora por la trasgresión de la normas antes invocada. Esta menor culpabilidad se sustenta en los siguientes hechos: 1. XXXX había aprobado un Documento de Seguridad siguiendo las prescripciones legales. 2. En la organización se habían implantado con arreglo a dicho Documento de Seguridad diversas medidas de seguridad. 3. La vulnerabilidad de las medidas de seguridad implantadas, según se acreditó en el proceso judicial seguido por estos hechos en el Juzgado de Instrucción núm. 3 de León, vino determinada fundamentalmente por la actuación de un empleado de la entidad que se prevalió de su condición de directivo. 4. XXXX actuó de forma inmediata una vez conocidos los hechos abriendo una investigación que permitió conocer la forma en que había sido vulnerada la obligada confidencialidad de los datos personales. 5. XXXX procedió al despido del directivo que accedió indebidamente a los datos personales de los compromisarios. Cuando se aprecia una cualificada disminución de la culpabilidad el art. 45.5 de la LOPD (RCL 1999\3058) ordena que se aplique la sanción que preceda en gravedad en la escala correspondiente a la clase de infracciones...”

Página 147 de 353

En el procedimiento presente se producen las mismas circunstancias, ya que General Óptica tiene un Documento de Seguridad conforme al tipo de datos que contienen sus ficheros; mantiene una política de confidencialidad en cuanto al tratamiento y cesión de los datos personales que tratan, dando cursos de formación en la materia a sus empleados; la vulneración del deber de secreto se produjo por la actuación de un Directivo de la sociedad, que inmediatamente dimitió para evitar el despido; en el momento en que se constataron los hechos, pidió disculpas a la denunciante. En consecuencia, conforme a dicha doctrina, procede aplicar el artículo 45.5 por estos motivos señalados. General Óptica, S.A. no ha obtenido beneficio alguno, no ha existido reincidencia, lo que ha de ser tenido en cuenta a tenor de los criterios de graduación de las sanciones recogidos en el artículo 45.4 de la LOPD, por lo que procede la imposición de la sanción en su cuantía mínima. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad GENERAL OPTICA, S.A., por una infracción del artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45. 3, 4 y 5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a GENERAL OPTICA, S.A., con domicilio en (c/……………………………), y a DOÑA R.R.R. con domicilio en (c/………………………...). TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Página 148 de 353

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 14 de abril de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 149 de 353

Procedimiento Nº PS/00039/2008 RESOLUCIÓN: R/00957/2008 En el procedimiento sancionador PS/00039/2008, instruido por la Agencia Española de Protección de Datos a D. S.S.S., vista la denuncia presentada por D. M.M.M. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 10/11/06 tuvo entrada en esta Agencia un escrito remitido por D. M.M.M. (en lo sucesivo el denunciante) en el que manifiesta que el abogado D. S.S.S. le llevó diversos asuntos para lo cual le facilitó sus datos y papeles, sin que le informase sobre el tratamiento informatizado, ni de la posibilidad de ejercer los derechos de acceso, rectificación y cancelación. Esta es la práctica habitual con todos los clientes del despacho profesional. Manifiesta también que los datos personales de los clientes son incluidos en un fichero automatizado ubicado en un ordenador que carece de contraseña de entrada, y que dicho fichero no se encuentra inscrito en la Agencia. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, girándose visita de inspección al despacho profesional de D. S.S.S. y teniendo conocimiento de los siguientes extremos: 1. D. S.S.S. manifestó que el denunciante fue colaborador independiente y esporádico del citado despacho durante unos cinco años, cesando a voluntad propia en su actividad el 31/08/06. 2. El despacho guarda los datos relativos a sus clientes en el fichero denominado “CLIENTES“, al cual tienen acceso una de las administrativas y siempre a solicitud de D. S.S.S.. Este fichero únicamente guarda la referencia al asunto tratado y sirve como referencia para localizar el expediente en soporte papel. Los datos de este fichero se eliminan cuando han transcurrido entre tres y seis meses desde que el asunto ha finalizado, no conservándose ningún tipo de registro. Por otra parte, en relación con los expedientes en papel de los asuntos acabados, se procede de la siguiente manera: o Se llama a los clientes para que recojan los documentos originales incluidos en el expediente y se les informa que se va a destruir el mismo. o Las copias de los documentos en papel se depositan en una caja que suministra el Ayuntamiento de (...........). Una vez que se ha llenado la caja, se llama al Ayuntamiento que es el encargado de recoger la bolsa con el papel para proceder a su destrucción. No existe ningún tipo de documentación contractual que regule el servicio que presta ya que actúa a petición de los interesados. o Los expedientes en papel se encuentran ubicados en una habitación que permanece cerrada con llave.

Página 150 de 353

3. Los clientes no son informados conforme a las especificaciones del artículo 5 de la LOPD ya que se trata de asuntos de estricta confidencialidad de los clientes. 4. En cuanto a la inscripción del fichero en el Registro General de Protección de Datos, se encuentra en trámites de consulta al respecto al Colegio de Abogados de Madrid. 5. La aplicación informática que gestiona el fichero es mantenida por el personal del propio despacho. 6. Aunque el despacho dispone de algunas medidas de seguridad tales como el acceso a los sistemas informáticos mediante contraseña o la instalación de cámaras de vídeo vigilancia, éstas no se encuentran recogidas en un documento específico. 7. Los empleados del despacho han firmado un compromiso de confidencialidad entre los que se encuentra el que en su día firmó el denunciante como empleado del citado despacho. 8. El acceso al ordenador que contiene el fichero denominado “CLIENTES“ ,se realiza sin necesidad de introducir ningún tipo de contraseña. En el escritorio (pantalla acceso) existe un acceso directo al fichero de clientes sin necesidad de introducir una contraseña. 9. El fichero contiene 3.381 registros correspondientes a los asuntos que se siguen en el despacho y contiene los siguientes campos: apellidos, nombre, dirección, teléfonos, asunto y expediente. 10. En el citado fichero consta un asunto con número *+*+ correspondiente a información relativa al denunciante. Según manifestaciones de D. S.S.S., esta información no se ha destruido porque se trata de un asunto que éste llevaba directamente referido a un tema familiar que el mismo dio de alta en el fichero, al igual que todos sus propios asuntos, no habiendo comunicado al despacho la finalización del mismo para proceder a su destrucción. TERCERO: Con fecha 11/02/08, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al denunciado, con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continua en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), por las presuntas infracciones de los artículos 9 y 26.1 de la citada Ley Orgánica, tipificadas como grave y leve respectivamente en los artículos 44.3.h) y 44.2.c) de dicha norma, pudiendo ser sancionado con multa de 60.101,21 € a 300.506,05 por la comisión de la infracción grave, y de 601,01 € a 60.101,21 € por la comisión de la infracción leve, de acuerdo con el artículo 45.1 y 2 de la LOPD. CUARTO: Notificado el citado acuerdo de inicio del procedimiento sancionador, el denunciado formuló alegaciones en las que solicita el archivo del procedimiento por caducidad, al tiempo que manifiesta que se ha procedido a la inscripción del fichero. Adjunta resolución de fecha 06/07/07 del Director de la Agencia de inscripción del fichero “CLIENTES Y/O PROVEEDORES”. QUINTO: En fecha 24/03/08, se acordó por el instructor del procedimiento la apertura de un período de práctica de pruebas, en el que se dieron por Página 151 de 353

reproducidos a efectos probatorios la denuncia interpuesta por D. M.M.M. y su documentación, los documentos obtenidos y generados por los Servicios de Inspección ante D. S.S.S., el informe de actuaciones previas de inspección y las alegaciones y prueba presentadas por D. S.S.S. al acuerdo de inicio del presente procedimiento. SEXTO: Con fecha 10/04/08 tuvo entrada en esta Agencia escrito de D. M.M.M. solicitando la personación en el procedimiento. SÉPTIMO: Concluido el período probatorio se inició el trámite de audiencia, de conformidad con lo establecido en el artículo 18.4 del citado Real Decreto 1332/1994, en el que el denunciante obtuvo copia de documentos obrantes en el procedimiento, así como D. S.S.S. que solicitó y obtuvo una ampliación del plazo de alegaciones. OCTAVO: Con fecha 05/06/08 se emitió Propuesta de Resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancionase a D. S.S.S. con multas de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) y 601,01 € (seiscientos un euro con un céntimo) por las infracciones de los artículos 9 y 26.1 de la LOPD, tipificadas como grave y leve, respectivamente, en los artículos 44.3.h) y 44.2.c) de dicha norma. NOVENO: Notificada dicha propuesta D. S.S.S. reiteró sus anteriores alegaciones, aportó copia de documento de seguridad implementado en su despacho profesional, y solicitó la aplicación del artículo 45.5 de la LOPD. HECHOS PROBADOS PRIMERO: Con fecha 20/02/07, en el despacho profesional de D. S.S.S. se encontraba ubicado, en un ordenador, un fichero automatizado para el desempeño de su profesión de abogado, conteniendo datos relativos a nombre, apellidos, dirección, y número de teléfono de sus clientes. Asimismo se encuentra registrada información acerca del tipo de asunto y expediente. Dicho fichero contiene en tal fecha 3.381 registros correspondientes a los asuntos que se siguen en el despacho (folios 43-45). SEGUNDO: En el citado fichero consta un asunto con número *+*+ con el nombre y apellidos, dirección del denunciante y asunto tramitado por el despacho (folio 48) TERCERO: El acceso al ordenador que contiene el fichero denominado “CLIENTES“ se realiza sin necesidad de introducir ningún tipo de contraseña. En el escritorio (pantalla acceso) existe un acceso directo al fichero de clientes sin necesidad de introducir una contraseña o código (folios 43-45) CUARTO: Según las declaraciones de D. S.S.S., incorporadas al Acta de inspección E/60/2007-I/1/2005, el despacho guarda los datos relativos a sus clientes en el fichero denominado “CLIENTES” que únicamente guarda referencia al asunto tratado y sirve de referencia para localizar el expediente en soporte papel, y el despacho no dispone de documento de seguridad (folios 4345). QUINTO: El fichero denominado “CLIENTES Y/O PROVEEDORES” fue inscrito en el Registro General de Protección de Datos con código ######## según resolución de fecha 06/07/07 del Director de la Agencia Española de Protección de Datos (folio 167).

Página 152 de 353

SEXTO: Consta en el expediente “Documento de Seguridad” de ficheros con datos de carácter personal implementado en el despacho profesional de D. S.S.S. (folios 214-248, 251-253, 260-338). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II Con carácter previo debe resolverse la caducidad de las actuaciones previas de investigación alegada por D. S.S.S.. En este sentido el artículo 112 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD, vigente desde el 19/04/08, dispone: “1. Con anterioridad a la iniciación del procedimiento sancionador, se podrán realizar actuaciones previas con objeto de determinar si concurren circunstancias que justifiquen tal iniciación. En especial, estas actuaciones se orientarán a determinar, con la mayor precisión posible, los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso. 2. Las actuaciones previas se llevarán a cabo de oficio por la Agencia Española de Protección de Datos, bien por iniciativa propia o como consecuencia de la existencia de una denuncia o una petición razonada de otro órgano. 3. Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de una denuncia o de una petición razonada de otro órgano, la Agencia Española de Protección de Datos acusará recibo de la denuncia o petición, pudiendo solicitar cuanta documentación se estime oportuna para poder comprobar los hechos susceptibles de motivar la incoación del procedimiento sancionador. 4. Estas actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia o petición razonada a las que se refiere el apartado 2 hubieran tenido entrada en la Agencia Española de Protección de Datos o, en caso de no existir aquéllas, desde que el Director de la Agencia acordase la realización de dichas actuaciones. El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador producirá la caducidad de las actuaciones previas.” Por su parte su Disposición Transitoria Quinta “Régimen transitorio de las actuaciones previas” establece: “A las actuaciones previas iniciadas con anterioridad a la entrada en vigor del presente real decreto, no les será de aplicación el mismo, rigiéndose por la normativa anterior. El presente real decreto se aplicará a las actuaciones previas que se inicien después de su entrada en vigor.” Atendiendo a la citada normativa debe rechazarse la caducidad de actuaciones alegadas por el denunciado habida cuenta de que las actuaciones previas de inspección del presente procedimiento sancionador se verificaron con anterioridad a la entrada en vigor del citado Real Decreto 1720/2007. Página 153 de 353

III Se imputa en el presente procedimiento a D. S.S.S. una infracción del artículo 9 de la LOPD, que dispone: “1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refire el artículo 7 de esta Ley”. El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros. La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias. El Real Decreto 994/1998, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, que continúa en vigor de acuerdo con lo estipulado en la disposición transitoria tercera de la LOPD, prevé en su artículo 4.1 que “todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico” y añade en el artículo 4.3 que “los ficheros que contengan datos de ideología, religión creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales, sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto”. El artículo 8.1 y 2 del citado Reglamento dispone lo siguiente: “1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información”. “2. El documento deberá contener, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimientos de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de datos”. Página 154 de 353

El artículo 11.1 del citado Real Decreto señala que “el responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.”. IV En este caso, en la inspección realizada con fecha 20/02/07, por el Servicio de Inspección de esta Agencia, se comprobó que en el despacho profesional de D. S.S.S. se encontraba ubicado un fichero automatizado conteniendo datos relativos a nombre, apellidos, número de teléfono de sus clientes, el asunto despachado. Asimismo se constató que el acceso al fichero no se encontraba protegido mediante la introducción de un código o contraseña. Según manifestó el denunciado en el curso de la citada inspección, su fichero no disponía de documento de seguridad. La conclusión que se extrae de tales hechos es que, en este caso, deben entenderse incumplidas las garantías que exigen los artículos 8 y 11 del citado Real Decreto 994/1998 y, en consecuencia, vulnerado el artículo 9 de la LOPD. V El artículo 44.3.h) de la LOPD, considera infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Dado que ha existido vulneración del “principio de seguridad de los datos”, recogido en el artículo 9 de la LOPD, se considera que el denunciado ha incurrido en la infracción grave descrita. VI El artículo 26.1 de la LOPD establece: “1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.” En el presente caso, ha quedado acreditado que D. S.S.S. procedió a la creación de un fichero de datos de carácter personal “CLIENTES” sin haberlo notificado previamente a esta Agencia, habiéndose constatado que con posterioridad, el 06/07/07, procedió a la notificación e inscripción del mismo en el Registro General de Protección de Datos de esta Agencia. VII El artículo 44.2.c) de la LOPD considera infracción leve: “No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave” D. S.S.S. ha incurrido en la infracción del artículo 26.1 de la LOPD al no acreditar la notificación e inscripción del referido fichero, con anterioridad a su creación, en el Registro General de Protección de Datos, que encuentra su tipificación en el artículo 44.2.c) de la citada Ley Orgánica. VIII

Página 155 de 353

El artículo 45.1, 2, 4 y 5 de la LOPD, establece: “1. Las infracciones leves serán sancionadas con multa de 601,01 € a 60.101,21 €. 2. Las infracciones graves serán sancionadas con multa de 60.101,21 a 300.506,05 €. 4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidiencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuricidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.” La aplicación con carácter excepcional del citado artículo 45.5 de la LOPD, exige la concurrencia de, al menos, uno de los siguientes requisitos: a) Disminución de la culpabilidad del imputado y b) Disminución de la antijuricidad del hecho. Dicho artículo, que no es sino la manifestación del llamado principio de proporcionalidad (art. 131 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común), incluido en el más general de prohibición de exceso reconocido por la Jurisprudencia como Principio General del Derecho (Sentencia del Tribunal Constitucional 62/1982), y es consecuencia del valor justicia que informa nuestro Ordenamiento Jurídico (Art. 1 de la Constitución Española), sin embargo debe aplicarse con exquisita ponderación, y sólo en los casos en los que la culpabilidad resulte sustancialmente atenuada atendidas las circunstancias del caso concreto. En el presente caso, no consta acreditada intencionalidad ni reincidencia en la conducta imputada a D. S.S.S. consistente en vulnerar las medidas de seguridad en relación con los datos de carácter personal de sus clientes, apreciándose una cualificada disminución de la culpabilidad. En consecuencia, teniendo en cuenta la rapidez para corregir la infracción cometida una vez tuvo conocimiento de la misma, y las medidas adoptadas tales como la implantación de un documento de seguridad, procede imponer a D. S.S.S. una sanción de 3.000 € por la infracción del artículo 44.3.h) de la LOPD en aplicación de lo dispuesto en el trascrito artículo 45.5 de la LOPD. Por otra parte y atendiendo a los criterios de graduación de las sanciones recogidos en el artículo 45.4, y en concreto la ausencia de beneficios y daños a perjuicios, que no se acredita, causados a terceras personas, procede imponer una sanción de 601,01 € por la infracción del artículo 44.2.c) de la LOPD. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a D. S.S.S., por una infracción del artículo 9 de la LOPD,

Página 156 de 353

tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica. SEGUNDO: IMPONER a D. S.S.S., por una infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica. TERCERO: NOTIFICAR la presente resolución a D. S.S.S. con domicilio en (C/……………………………..........) y a D. M.M.M. con domicilio en (C/…………………………………..). CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 22 de julio de 2008 Página 157 de 353

EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 158 de 353

Procedimiento Nº PS/00371/2009 RESOLUCIÓN: R/02085/2009 En el procedimiento sancionador PS/00371/2009, instruido por la Agencia Española de Protección de Datos a la entidad ADVANCED PROMOTIONS S.L. vista la denuncia presentada por C.C.C. ABOGADOS, S.A.P.U. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 11 de marzo de 2009 tuvo entrada en esta Agencia escrito del Administrador Único del despacho de abogados C.C.C. ABOGADOS, S.A.P.U. (en lo sucesivo el denunciante) comunicando la recepción, vía fax, de publicidad no consentida. Anexado al escrito de denuncia enviado por correo electrónico se remitía archivo adjunto con, según se indicaba, “el último fax recibido”. SEGUNDO: En el marco de las actuaciones previas de investigación llevadas a cabo por la Inspección de Datos de la Agencia Española de Protección de Datos (en lo sucesivo AEPD) para el esclarecimiento de los hechos denunciados, se ha tenido conocimiento de los siguientes hechos: 1. Con fecha 21 de diciembre de 2008 se recibió en el fax del despacho de abogados C.C.C. ABOGADOS, S.A.P.U. una transmisión publicitando los libros “El abogado eficaz” y “Turno de Oficio y Justicia Gratuita”, incluyendo en su texto una pequeña reseña de los mismos así como su precio de venta en promoción, teléfono de contacto para la realización de pedidos y una dirección de correo electrónico y sitio web de difusión de los libros. 2. En la cabecera del reseñado Fax aparece como origen del mismo la entidad ADVANCED PROMOTIONS S.L. y el número de línea Fax #######. 3. En el pie de página del Fax consta la siguiente indicación: “P.D. Si desea que cancelemos nuestros envíos publicitarios. Por favor indíquenos su número de fax.” 4. El Administrador único de la entidad receptora del fax ha denunciado que dicha transmisión publicitaria no contaba con su consentimiento al tratarse de publicidad no deseada. 5. El día 28 de mayo de 2009 tuvo entrada en esta agencia un escrito de FRANCE TELECOM ESPAÑA S.A.U. en el que, en respuesta al requerimiento de información efectuado, comunicaba que a fecha 21 de diciembre de 2008 el titular de la línea identificada con el número ####### era la sociedad PREMIUM NUMBERS, S.L., con C.I.F. *********A, con domicilio en (.......). Igualmente señalaba que “No obstante, y según nos consta, el servicio se presta por ADVANCED PROMOTIONS S.L., con CIF *********B, y domicilio en (C/..................................)”. 6. Se ha verificado, a través de consulta realizada en la página web del el Registro Mercantil Central, que la entidad ADVANCED PROMOTIONS S.L. tiene como objeto social la “Distribución y comercialización de libros, revistas, colecciones o compendios, recopilaciones, normativas, jurisprudenciales, bases de datos y cualquier publicación, comercialización de material y aparatos electrónicos.”. Asimismo se ha constatado por la misma vía que el objeto social de la entidad PREMIUM NUMBERS S.L. es “Servicios, explotación y mantenimiento de líneas telefónicas 900 para servicios a profesionales”.

Página 159 de 353

TERCERO: Con fecha 16 de junio de 2009 el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la entidad ADVANCED PROMOTIONS S.L., por la presunta infracción del artículo 38.3.h) de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (en lo sucesivo LGT), tipificada como leve en el artículo 38.4.d) de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en adelante LSSI), pudiendo ser sancionada con multa de hasta 30.000 euros, de acuerdo con el artículo 39.1.c) de la misma LSSI. CUARTO: Habiendo resultado infructuoso el intento realizado por el Servicio de Mensajería MRW para notificar el acuerdo de inicio del presente procedimiento sancionador a la entidad imputada en la dirección (C/..................................), se acudió al medio de notificación previsto en el artículo 59.5 de la Ley 30/1992, de 26 de noviembre, modificado por la Ley 4/1999, de 13 de enero, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en adelante LRJPAC) en el modo que prevé el artículo 61 de la citada Ley, constando que con fecha 20 de junio de 2009 en el Boletín Oficial del Estado nº *** apareció publicado el anuncio relativo al extracto del acuerdo de inicio del citado procedimiento. Igualmente, con fecha 3 de julio de 2009, se remitió al Ayuntamiento de (.......) escrito de fecha 2 de julio de 2009 enviando extracto del acuerdo de apertura del PS/00371/2009 al objeto de que se procediera a su publicación en el Tablón de Edictos de dicho Ayuntamiento. Complementariamente, se intentó la práctica de la notificación del mencionado acuerdo de iniciación a través de los Servicios de Correos, constando su recepción por la entidad imputada con fecha 23 de junio de 2009. QUINTO: Notificado el Acuerdo de inicio de procedimiento sancionador, la representación legal de ADVANCED presentó con fecha 8 de julio de 2009 escrito de alegaciones al mismo, que fue registrado de entrada el día 9 de julio de 2009, en el que solicitaba copia de todas las actuaciones obrantes hasta el momento en el procedimiento y de las pruebas documentales incorporadas al mismo, así como que se pusiera fin al expediente de conformidad con los siguientes argumentos: - Que la falta de indicación en el acuerdo de inicio del número de fax en el que supuestamente se recibió el mensaje denunciado impide, por tratarse de un dato imprescindible para establecer los hechos relativos al envío y recepción del mismo, la verificación de los hechos imputados a ADVANCED, limitando con ello su defensa en caso de haber cometido la infracción, motivo por el que se considera que no pueden darse como notificados los hechos ni la infracción, imputadas toda vez que se ha incumplido lo previsto en el artículo 127.d) del Real Decreto 1720/2007. - Que en base a lo anterior se hace constar un defecto de forma en cuanto a la notificación del procedimiento sancionador y su posible incidencia en el cálculo de los plazos de prescripción, señalándose también a este respecto que entre el 21 de diciembre de 2008, fecha que consta como de comisión de la posible infracción, y la notificación del acuerdo de inicio de fecha 23 de junio de 2009 ha transcurrido un plazo superior a los 6 meses, motivo por el que en el supuesto de que se hubiera incurrido en la infracción imputado la misma

Página 160 de 353

estaría prescrita en base a lo dispuesto en el artículo 45 de la LSSI y el artículo 132.2 de la LRJPAC. - La entidad tiene como una actividad la venta de libros jurídicos y técnicos bajo la marca “Difusión del Libro”, ofertando sus productos “a nuestros clientes que o bien tienen una relación comercial con nosotros, (alguna factura emitida), o bien se han puesto en contacto con nosotros para que les enviáramos información bibliográfica” - Que los datos del denunciante no aparecen en sus archivos de clientes, circunstancia que no conlleva que no se mantenga con el mismo una relación comercial, puesto que a menudo los profesionales indican a efectos de facturación datos de sociedades mercantiles o personas físicas diferentes a los propios, utilizándose también por los despachos profesionales recursos comunes, tales como dirección de correo ordinario, teléfono o Fax. Además, al desconocer el número de Fax en el que presuntamente fue recibida la información comercial no puede verificarse la existencia de autorización informada ni la autenticidad de la propia comunicación vía Fax. SEXTO: Con fecha 10 de julio de 2009 se acordó por la Instructora del procedimiento la apertura de un período de práctica de pruebas, en el que se incorporaron al expediente, a efectos probatorios, la denuncia interpuesta por C.C.C. ABOGADOS, S.A.P.U. y su documentación ajunta, los documentos obtenidos y generados por los Servicios de Inspección durante las actuaciones previas de inspección, y el Informe de actuaciones previas de Inspección que forman parte del expediente E/01513/2009, las alegaciones presentadas por la entidad imputada, el resultado de la consulta realizada en el Registro Mercantil Central en el que D. C.C.C. aparece como Administrador Único de ADVANCED PROMOTIONS, S.L., acordándose también la solicitud de información y aportación de documentos relacionados con los hechos objeto del procedimiento a la entidad denunciada, al denunciante, a France Telecom España, S.A. y a Premium Numbers, S.L. Junto al escrito de notificación de pruebas acordadas y solicitud de práctica de las acordadas enviado a la entidad imputada se adjuntaba copia de los documentos obrantes en el procedimiento a esa fecha. SÉPTIMO: Con fecha 28 de julio de 2009 la representación de ADVANCED contesta a las pruebas cuya práctica ha sido requerida indicando lo siguiente:Que la línea telefónica número ####### sólo dispone capacidad para recibir faxes, no teniendo capacidad técnica para realizar ninguna llama telefónica con dicha línea.- Que dado el tiempo transcurrido no disponen de copia de los mensajes publicitarios enviados por Fax en diciembre de 2008 a los clientes o a las personas físicas o jurídicas con las que la entidad mantiene una relación comercial. No obstante, respecto del mensaje denunciado se significa que la información que aparece en el folio 4 referente al artículo “El abogado eficaz” coincide con la información bibliográfica que disponen , la cual es compartida por numerosas librerías al ser la proporcionada por la propia editorial del libro, y que la información de la parte inferior de dicho folio coincide con la enviada a los clientes y aparece en la página web de la entidad, puntualizando también que la información que aparece en el folio 5 referente al artículo “Turno de oficio y justicia gratuita” no se ha localizado entre la información bibliográfica Página 161 de 353

manejada, por lo que no se ha realizado ninguna promoción comercial de dicho artículo. En lo que se refiere al formato al emplearse el programa Microsoft Word cualquiera podría imitar los mensajes comerciales enviados por ADVANCED. - Que la línea telefónica habitualmente utilizada para enviar faxes es la #######2, no disponiendo de los reportes de actividad de la máquina de fax, si bien consultada la facturación de dicha línea se observa que el día 21/12/2008, que fue domingo y se trata de un día en que no se mantiene actividad comercial), hay una única llamada saliente desde dicha línea al número #######3, de 25 segundos de duración, que se corresponde con una consulta al contestador automático. - Que la sociedad PREMIUM NUMBERS, S.L. proporciona a ADVANCED las líneas telefónicas #######4 y #######5, las cuales sólo permiten la recepción de llamadas manuales y de fax, sin posibilitar realizar llamadas salientes. Con fecha 28 de julio de 2009 PREMIUM NUMBERS, S.L. ha informado que con fecha 08/06/2007 suscribió contrato de cesión de uso de línea 902, en virtud del cual fueron activadas para la mercantil ADVANCED las líneas #######4 y #######5, las cuales están asignadas por la Comisión del Mercado de las Telecomunicaciones a la mercantil France Telecom SAU, de la que PREMIUM NUMBERS SL es gestora de líneas, señalando, además, que el encaminamiento de las líneas 902 gratuitas es directo. Con fecha 4 de agosto de 2009 France Telecom SAU reiteró que la titular de la línea #######5 es PREMIUM NUMBERS, S.L., entidad que presta servicios de telecomunicaciones a terceros, entre los que se encuentran, como en el caso de ADVANCED, poner a su disposición los números 902 contratados con la operadora para que dichas entidades presten, a su vez, servicios a sus clientes. Asimismo, adjunta impresión de los servicios de PREMIUM NUMBERS, S.L. que aparecen publicitados en la página web httip://www.....X....... con las líneas 902 . OCTAVO: No consta que ANDRÉS CERVERA ABOGADOS, S.A.P.U haya contestado el escrito de solicitud de pruebas a practicar que le fue notificado con fecha 15 de julio de 2009, según obra en el correspondiente acuse de recibo del Servicio de Correos. Las pruebas solicitadas fueron las siguientes: “- Especificación del número de la línea de Fax en que se recibió el mensaje de Fax de fecha 21/12/2008 denunciado ante esta Agencia por el administrador único de dicha sociedad, con remisión de documentación que pruebe la titularidad de dicha empresa o del administrador único de la misma respecto de la línea de Fax receptora del mensaje. -Indicación de si ha prestado consentimiento previo y expreso a la sociedad ADVANCED PROMOTIONS S.L., o en su caso, a persona vinculada a dicha mercantil o a la marca “Difusión del Libro” para la remisión de mensajes de fax con fines promocionales, expresando, igualmente si le consta haber facilitado con motivo de tales contactos, o por otra causa, el número de fax en el que se recibió el mensaje denunciado al objeto de recibir información comercial procedente de dicha sociedad vía Fax. - Aportación del reporte de actividad de la línea de Fax en la que se recibió el mensaje de Fax de fecha 21 de diciembre de 2008.” NOVENO: Con fecha 24 de agosto de 2009, se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Página 162 de 353

Protección de Datos se archivaran las actuaciones seguidas a la entidad ADVANCED PROMOTIONS S.L., respecto de la infracción del artículo 38.3.h) de la LGT, tipificada como leve en el artículo 38.4.d) de la LSSI, de conformidad con lo establecido en el artículo 39.1.c) y 40 de la citada LSSI. Dicha propuesta de resolución fue notificada a la entidad imputada con fecha 31 de agosto de 2009, sin que conste se hayan formulado alegaciones a la misma en el plazo concedido al efecto. HECHOS PROBADOS PRIMERO: D. C.C.C. denunció que con fecha 21 de diciembre de 2008 se recibió en el fax del despacho de abogados C.C.C. ABOGADOS, S.A.P.U., del que es Administrador único, una transmisión no consentida publicitando los libros “El abogado eficaz” y “Turno de Oficio y Justicia Gratuita” que no. (Folios 1 al 5) SEGUNDO: En la cabecera del reseñado Fax aparece como origen del mismo la entidad ADVANCED PROMOTIONS S.L. y el número de línea Fax #######. El mensaje de Fax incluía en su texto una pequeña reseña de los libros “El abogado eficaz” y “Turno de Oficio y Justicia Gratuita, así como su precio de venta en promoción, el teléfono de contacto #######4 para la realización de pedidos y la dirección de correo electrónico y sitio web ...Z.@..... y www...Z...., respectivamente, de “Difusión del Libro” . (Folios 4 y 5) TERCERO: En el pie de página del Fax consta la siguiente indicación: “P.D. Si desea que cancelemos nuestros envíos publicitarios. Por favor indíquenos su número de fax.” (Folios 4 y 5) CUARTO: En el mensaje aportado por el denunciante no figura el número de línea del Fax receptor del envío denunciado, ni tampoco ha sido facilitado el mismo. en el plazo concedido al efecto, por el Administrador del despacho de abogados C.C.C. ABOGADOS, S.A.P.U. al ser requerido para ello. (Folios 4 y 5, 50 al 53) QUINTO: FRANCE TELECOM ESPAÑA S.A.U. ha comunicado que el titular de la línea identificada con el número ####### era la sociedad PREMIUM NUMBERS, S.L., con C.I.F. *********A, con domicilio en (.......), si bien dicho número era utilizado por la entidad “ADVANCED PROMOTIONS S.L., con CIF *********B, y domicilio en (C/..................................)”. (Folios 10 y 11 y 66 y 67) SEXTO: PREMIUM NUMBERS, S.L., entidad que opera como gestora de líneas de la mercantil FRANCE TELECOM, S.A.U., ha indicado que con fecha 8 de junio de 2007 suscribió contrato de cesión de uso de las líneas #######4 y #######5 con la entidad ADVANCED PROMOTIONS, S.L., ambas asignadas por la Comisión del Mercado de las Telecomunicaciones a la reseñada operadora. SÉPTIMO: Se ha verificado, a través de consulta realizada en la página web del el Registro Mercantil Central, que la entidad ADVANCED PROMOTIONS S.L. tiene como objeto social la “Distribución y comercialización de libros, revistas, colecciones o compendios, recopilaciones, normativas, jurisprudenciales, bases de datos y cualquier publicación, comercialización de material y aparatos electrónicos.”. Asimismo se ha constatado por la misma vía que el objeto social de la entidad PREMIUM NUMBERS S.L. es “Servicios, explotación y mantenimiento de líneas telefónicas 900 para servicios a profesionales”. (Folios 7 y 8 y 12 al 14)

Página 163 de 353

FUNDAMENTOS DE DERECHO I De conformidad con lo dispuesto en el artículo 58.b de la LGT, se atribuye a la Agencia Española de Protección de Datos la facultad para imponer las sanciones establecidas por la vulneración de los derechos reconocidos a los abonados a los servicios de comunicaciones electrónicas por el artículo 38.3.h) de la citada LGT. II En el ámbito comunitario, el sistema de garantías en el tratamiento de datos personales en el sector de las telecomunicaciones se articula en torno a una disposición de naturaleza horizontal, como es la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y a una norma sectorial que, en este momento, es la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). La relación entre ellas aparece claramente delimitada en el artículo 1.2 de la Directiva 2002/58/CE, en el que se explicita su carácter sectorial y complementario al señalar que sus disposiciones “especifican y completan la Directiva 95/46/CE”. Para el envío de mensajes de fax, en concreto, el considerando (40) de la Directiva 2002/58/CE indica lo siguiente. “Deben ofrecerse garantías a los abonados contra la intrusión en su intimidad mediante comunicaciones no solicitadas con fines de venta directa, especialmente a través de llamadores automáticos, faxes y mensajes de correo electrónico, incluidos los SMS. Por una parte, el envío de estas formas de comunicaciones comerciales no solicitadas puede resultar relativamente sencillo y económico, y por otra puede conllevar una molestia e incluso un coste para el receptor. Además, en algunos casos su volumen puede dar lugar a dificultades en las redes de comunicaciones electrónicas y en los equipos terminales. Se justifica, para este tipo de comunicaciones no solicitadas con fines de venta directa, la exigencia de obtener el consentimiento expreso previo de los receptores antes de que puedan dirigírseles comunicaciones de esta índole. El mercado único requiere un planteamiento armonizado que garantice la existencia de normas sencillas aplicadas a escala comunitaria, tanto para las empresas como para los usuarios...”. De acuerdo con lo expuesto, el artículo 13.1 de la Directiva citada establece: “Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo”. El contenido de las citadas Directivas se transpone a nuestro ordenamiento jurídico mediante la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT), la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información (LSSI) , y la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). III Página 164 de 353

El artículo 38.3.h) se recoge en el Título III, Capítulo III, de la LGT, dedicado al “Secreto de las comunicaciones y protección de los datos personales y derechos y obligaciones de carácter público vinculados con las redes y servicios de comunicaciones electrónicas”. Dicho artículo dispone: “En particular, los abonados a los servicios de comunicaciones electrónicas tendrán los siguientes derechos:...” “h) A no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello.” Por su parte, el Real Decreto 424/2005, de 15 de abril, por el que se aprueba el reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, al servicio universal y la protección de los usuarios, dispone en su artículo 69.1 sobre las “Llamadas no solicitadas para fines de venta directa”: “Las llamadas no solicitadas por los abonados con fines de venta directa que se efectúen mediante sistemas de llamada automática, a través de servicios de comunicaciones electrónicas, sin intervención humana (aparatos de llamada automática) o facsímil (fax), sólo podrán realizarse a aquellos que hayan dado su consentimiento previo, expreso e informado. El incumplimiento de lo establecido en el párrafo anterior será sancionado de acuerdo con lo establecido en el artículo 38.3.c), o en el artículo 38.4.d) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.” La responsabilidad por el incumplimiento de lo dispuesto en el artículo 38.3.h) de la LGT puede atribuirse a cualquier persona física o jurídica, conforme a lo dispuesto en el artículo 51.c) de la LGT, según el cual “la responsabilidad administrativa por las infracciones de las normas reguladoras de las telecomunicaciones será exigible:...” “c) En las cometidas por los usuarios o por otras personas que, sin estar comprendidas en los párrafos anteriores, realicen actividades reguladas en la normativa sobre telecomunicaciones, a la persona física o jurídica cuya actuación se halle tipificada por el precepto infringido o a la que las normas correspondientes atribuyen específicamente la responsabilidad” IV La vulneración del derecho reconocido en el artículo 38.3.h) de la LGT se halla tipificada en los artículos 53.z) y 54.r), respectivamente, de la citada LGT. No obstante, los citados artículos establecen que la infracción que resulta de la vulneración del artículo 38.3.h) de la LGT se rige por el régimen sancionador previsto por la LSSI. En el mismo sentido, el trascrito artículo 69.1 del citado Real Decreto 424/2005, establece que el régimen sancionador aplicable será el previsto en los artículos 38.3.c) o en el artículo 38.4.d) de la LSSI. De acuerdo con la remisión que hace el legislador en la LGT al régimen sancionador de la LSSI, la conducta que vulnere el derecho de los abonados a los servicios de comunicaciones electrónicas recogido en el artículo 38.3.h) de la LGT debe tipificarse conforme a lo previsto en el artículo 38 de la LSSI. A tenor del citado artículo, los únicos supuestos en los que cabe tipificar la citada conducta, son los previstos en los artículo 38.3.c) y 38.4.d) de la LSSI.

Página 165 de 353

El artículo 38.3.c) de la LSSI dispone que es infracción grave: “El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.” El artículo 38.4.d) de la LSSI califica como infracción leve: “El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.” Por su parte los requisitos establecidos en el artículo 21 de la LSSI, que regula la “Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes”, son: “1. Queda prohibido el envío de comunicaciones publicitarias o promociónales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario, la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija”. A la vista de su contenido, el citado artículo 21 prohíbe el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de publicación equivalente que no hubieran sido previamente solicitadas o expresamente autorizadas por los destinatarios de las mismas, salvo que se trate de comunicaciones comerciales referentes a productos o servicios de la propia empresa que sean similares a los que inicialmente hubiesen sido objeto de contratación. Es decir, el reseñado precepto exige respecto de las comunicaciones publicitarias o promocionales por correo electrónico, el consentimiento previo del destinatario de los envíos al igual que hace el artículo 38.3.h) de la LGT respecto de los mensajes de venta directa por fax. En este caso, el envío de una comunicación comercial no solicitada vía fax, en los términos indicados por el citado artículo 38.4.d) de la LSSI, se ha de calificar como infracción leve, al tratarse de un envío en el plazo de un año sin que la entidad destinataria hubiera prestado su consentimiento expreso, previo e informado para ello. V Con carácter previo al análisis de otras cuestiones de fondo relacionadas con la instrucción del presente procedimiento sancionador debe analizarse la cuestión planteada por la entidad imputada relativa a la afirmación de que la infracción que pudiera derivarse de los hechos objeto de denuncia se encuentra prescrita Página 166 de 353

al haber transcurrido más de seis meses desde su presunta comisión, el día 21/12/2008, y su notificación a ADVANCED, el día 23/06/2009. A este respecto debe indicarse que al resultar devuelto el intento de notificación del acuerdo de iniciación realizado a través del servicio de mensajería MRW, se acudió al medio de notificación previsto en el artículo 59.5 de la Ley 30/1992, de 26 de noviembre, modificado por la Ley 4/1999, de 13 de enero, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en adelante LRJPAC), en el modo que prevé el artículo 61 de la citada Ley, siendo el tenor literal de ambos preceptos el siguiente: Artículo 59. 5, sobre práctica de la notificación “59. 5. Cuando los interesados en un procedimiento sean desconocidos, se ignore el lugar de la notificación o el medio a que se refiere el punto 1 de este artículo, o bien, intentada la notificación, no se hubiese podido practicar, la notificación se hará por medio de anuncios en el tablón de edictos del Ayuntamiento en su último domicilio, en el «Boletín Oficial del Estado», de la Comunidad Autónoma o de la Provincia, según cual sea la Administración de la que se proceda el acto a notificar, y el ámbito territorial del órgano que lo dictó. En el caso de que el último domicilio conocido radicara en un país extranjero, la notificación se efectuará mediante su publicación en el tablón de anuncios del Consulado o Sección Consular de la Embajada correspondiente. Las Administraciones públicas podrán establecer otras formas de notificación complementarias a través de los restantes medios de difusión, que no excluirán la obligación de notificar conforme a los dos párrafos anteriores.” Art. 61, sobre indicación de notificaciones y publicaciones. “Si el órgano competente apreciase que la notificación por medio de anuncios o la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el diario oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para conocimiento del contenido íntegro del mencionado acto y constancia de tal conocimiento.” En el expediente obra que la notificación del acuerdo de inicio del PS/00371/2009 se llevó a cabo con fecha 20 de junio de 2009 en el Boletín Oficial del Estado nº ***, al aparecer publicado en el mismo el anuncio relativo al extracto del mencionado acuerdo de inicio, instándose al Ayuntamiento de (........) mediante escrito de fecha 02/07/2009, la exposición de extracto de dicho acuerdo de inicio en el Tablón de Edictos de dicho Ayuntamiento, todo ello conforme a los artículos 59.5 y 61 de la LRJPAC antes citados, Por consiguiente, dicho acuerdo de inicio se considera como notificado el día 20 de junio de 2009, siendo dicha fecha la que debe tenerse en cuenta a los efectos del cómputo de la prescripción, y no la posterior del 23/06/2009 invocada por esa entidad como la fecha en que se notificó dicho acto a través del Servicio de Correos. En este supuesto, teniendo en cuenta que el artículo 58.b) de la LGT otorga la competencia sancionadora a la AEPD cuando se trate de infracciones muy graves comprendidas en el párrafo z) del artículo 53 y de infracciones graves previstas por el párrafo r) del artículo 54, y atendido que ambos artículos remiten al régimen sancionador previsto en la LSSI en los casos de vulneración del derecho recogido en el artículo 38.3.h) de la LGT, debe aplicarse la prescripción establecida en el régimen sancionador de la LSSI. Así , el artículo 45 de la LSSI, señala: Página 167 de 353

“Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses, las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.” Por otra parte, como señala el artículo 132.2 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), “El plazo de prescripción de las infracciones comenzará a contarse desde el día que la infracción se hubiera cometido. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador”. El presente supuesto tiene por objeto el examen de unos hechos constitutivos de infracción al artículo 38.3.h) de la LGT, tipificada como leve en el artículo 38.4.d) de la LSSI. Por tanto, de acuerdo con las normas indicadas, la infracción que se analiza prescribía en el plazo de seis meses contados desde el día en que la infracción se hubiera cometido. Contando que el Fax objeto de estudio consta como remitido con fecha 21 de diciembre de 2008 y que la notificación de apertura del procedimiento sancionador a la entidad imputada tiene lugar en fecha 20 de junio de 2009, resulta que no habían transcurrido los seis meses establecidos para que opere el instituto de la prescripción, de modo que la infracción que se imputa no había prescrito el día en que fue publicado el anuncio del inicio del presente procedimiento sancionador en el Boletín Oficial del Estado nº *** de dicha fecha, debiendo, en consecuencia, ser desestimada la alegación relativa a la prescripción de la infracción. VI En el caso que nos ocupa la entidad imputada considera que para poder fijar los hechos imputados resulta imprescindible conocer el número de línea correspondiente al Fax transmisor del envío denunciado, dato que no figura en el acuerdo de iniciación del procedimiento sancionador que le fue notificado y cuya ausencia no sólo le impide verificar si, efectivamente, dicha transmisión fue efectuada desde el número de Fax #######2 habitualmente utilizado para ello, sino que también le limita sustancialmente el ejercicio del derecho a su defensa. A la vista de tales alegaciones, en el trámite de práctica de pruebas se solicitó a C.C.C. ABOGADOS, S.A.P.U. que especificara el número de línea de Fax en que se recibió el mensaje de fecha 21/12/2008 denunciado y que aportara el reporte de actividad correspondiente a dicha línea, sin que a fecha de hoy dicha información conste como contestada por parte del denunciante en el plazo concedido al efecto por la Instructora del procedimiento en el escrito de fecha 10 de julio de 2009, el cual fue notificado al denunciante con fecha 15/07/2009. Es decir, en la documentación obrante en el procedimiento sancionador no figuran ni los datos relativos a las líneas de Fax de origen ni de destino del mensaje denunciado, puesto que los números 902 que aparecen en el mensaje se utilizan únicamente para la recepción de llamadas por parte de la entidad imputada, la cual, según ha alegado, usa otro número de Fax para el envío de publicidad, ni tampoco consta el número de Fax en el que se recibió el mensaje objeto de análisis, dato, por otra parte, tampoco ha sido facilitado por el denunciante al ser requerido para ello. Por lo tanto, como consecuencia de las Página 168 de 353

actuaciones practicadas no sólo no ha podido constatarse fehacientemente que el citado mensaje de fax, de carácter comercial y publicitario, hubiera sido remitido al denunciante por la entidad imputada desde una línea titularidad o utilizada por ADVANCED el día 21/12/2008, sino que tampoco se ha probado el denunciante lo recibiera al no aparecer en el mensaje de Fax ninguna indicación relativa al número de Fax receptor del mencionado envío. Asimismo, ADVANCED alega que la información que aparece en el mensaje denunciado respecto del artículo “El Abogado Eficaz”, si bien coincide con la información bibliográfica con la que dispone, puede haber sido enviado por cualquiera que pueda imitar el formato utilizado por ADVANCED para la remisión de mensajes de Fax, dado que se trata de una información común para numerosas librerías nacionales al ser la proporcionada por la propia editorial del libro, cuestionando también que la información promocional relativa al artículo “Turno de Oficio y Justicia Gratuita” haya podido ser realizada por su parte al no haber localizado entre la información bibliográfica manejada datos referentes a dicho libro. A mayor abundamiento, debe también valorarse que en el procedimiento tampoco obran los reportes de actividad referentes al día 21/12/2008 de las líneas de origen y de destino del señalado envío de Fax, a través de las cuales podrían conocerse las transmisiones enviadas por la entidad denunciada y las recibidas por el denunciante en esa fecha. En consecuencia, debe indicarse que no existen elementos de cargo suficientes que permitan acreditar que dicho mensaje se remitiera por ADVANCED al número de fax del despacho de abogados denunciante al ignorarse la línea destinataria del mensaje, sin que el hecho relativo a que el contenido de la publicidad del mensaje aportado por el denunciante coincida con la actividad de distribución y comercialización de libros desarrollada por ADVANCED y sin que la circunstancia derivada del uso de los números 902 de contacto que figuran en el mismo, contratados por ADVANCED con Premium Numbers, S.L., puedan ser considerados más que meros indicios de prueba que no cuentan con entidad suficiente como para demostrar la realización del mencionado envío por parte de la entidad imputada. En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990 considera que el derecho a la presunción de inocencia comporta “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio”. De acuerdo con este planteamiento, el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común en lo sucesivo LRJPAC), establece que “Sólo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aún a título de simple inobservancia.” Conforme señala el Tribunal Supremo, en Sentencia de 26 de octubre de 1998, el derecho a la presunción de inocencia “no se opone a que la convicción judicial en un proceso pueda formarse sobre la base de una prueba indiciaria, Página 169 de 353

pero para que esta prueba pueda desvirtuar dicha presunción debe satisfacer las siguientes exigencias constitucionales: los indicios han de estar plenamente probados – no puede tratarse de meras sospechas – y tiene que explicitar el razonamiento en virtud del cual, partiendo de los indicios probados, ha llegado a la conclusión de que el imputado realizó la conducta infractora, pues, de otro modo, ni la subsunción estaría fundada en Derecho ni habría manera de determinar si el proceso deductivo es arbitrario, irracional o absurdo, es decir, si se ha vulnerado el derecho a la presunción de inocencia al estimar que la actividad probatoria pueda entenderse de cargo.” La Sentencia del Tribunal Constitucional de 20/02/1989 indica que “Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor rei, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate.” En este orden de ideas, debe tenerse en cuenta que en el ámbito administrativo sancionador son de aplicación, con alguna matización pero sin excepciones, los principios inspiradores del orden penal, resultando clara la plena virtualidad de los principios de presunción de inocencia. La presunción de inocencia debe regir sin excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición de cualesquiera sanciones, pues el ejercicio del ius puniendi en sus diversas manifestaciones está condicionado al juego de la prueba y a un procedimiento contradictorio en el que puedan defenderse las propias posiciones. En definitiva, aquellos principios impiden imputar una infracción administrativa cuando no se haya obtenido y constatado una prueba de cargo acreditativa de los hechos que motivan esta imputación o de la intervención en los mismos del presunto infractor, aplicando el principio “in dubio pro reo” en caso de duda respecto de un hecho concreto y determinante, que obliga en todo caso a resolver dicha duda del modo más favorable al interesado. Es por ello que en el presente caso resulta de aplicación el principio de presunción de inocencia ante la ausencia de elementos de cargo que prueben la autoría del envío del mensaje de Fax de fecha 21/12/2008 por parte de ADVANCED y al no haberse podido probar, en consecuencia, si ésta disponía, o no, del consentimiento previo expreso del titular del número de Fax del denunciante o de terceros vinculados al mencionado despacho de abogados que pudieran haber facilitado dicho número de Fax al consentir la remisión de envíos de venta directa por dicha línea, sin que, por otra parte, el resto de evidencias analizadas permitan atribuirle tal responsabilidad. A tenor de la doctrina invocada y de la ausencia en el presente procedimiento sancionador de suficientes pruebas de cargo que permitan imputar, con la certeza que exigen los principios de la potestad sancionadora y del procedimiento sancionador, a ADVANCED la responsabilidad en la infracción imputada, se considera conforme a derecho acordar el archivo de la infracción del artículo 38.3.h) de la LGT. Página 170 de 353

Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ARCHIVAR las actuaciones practicadas en el presente procedimiento sancionador instruido a la entidad ADVANCED PROMOTIONS S.L. por la infracción del artículo 38.3.h) de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, tipificada como leve en el artículo 38.4.d) de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico. SEGUNDO: NOTIFICAR la presente resolución a la entidad ADVANCED PROMOTIONS S.L. y a C.C.C. ABOGADOS, S.A.P.U. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 7 de octubre de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Fdo.: Artemi Rallo Lombarte

Página 171 de 353

Procedimiento Nº PS/00375/2010 RESOLUCIÓN: R/02495/2010 En el procedimiento sancionador PS/00375/2010, instruido por la Agencia Española de Protección de Datos a la entidad A.A.A., vista la denuncia presentada por B.B.B. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 5/08 y 29/10/2009, tuvieron entrada en esta Agencia dos denuncias suscritas por DENUNCIANTE 1, y DENUNCIANTE 2 (según anexo general) en las que ponen de manifiesto que el letrado A.A.A.), que representó a ambas como codemandadas en el juicio de faltas 475/06, y a las que se recabaron sus datos personales, no tiene los ficheros inscritos. Aportan copia de la sentencia de 6/02/2007, y recibos de 15/02/2007 de pago de honorarios. SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de esta Agencia se solicitó a la Subdirección General del Registro General de Protección de Datos que informara si existía algún fichero inscrito a nombre del denunciado, emitiéndose nota de 30/11/2009, en la que se declaraba que no figuraba fichero alguno inscrito cuyo titular sea C.C.C.. TERCERO: Con fecha 7/07/2010, el Director de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador a C.C.C. , por presunta infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de la citada Ley Orgánicala Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal ( en lo sucesivo LOPD), pudiendo ser sancionado con multa de 601,01 € a 60.101,21 €, de acuerdo con el artículo 45.1 de dicha Ley Orgánica. CUARTO: Con fecha 17/08/2010 tuvieron entrada las alegaciones del denunciado que señala: 1) De conformidad con lo establecido en el art. 47 de la LOPD, dicha infracción está prescrita al haber transcurrido más de un año entre los hechos que se imputan, acaecidos ambos en el año 2007, y las denuncias que tuvieron entrada en esa Agencia en el año 2009. 2) “Como se desprende de forma clara y terminante en la Sentencia de fecha 6/02/2007, y en el procedimiento de Juicio de Faltas 475/2006, el denunciado no representó a ninguna de las denunciantes, entre otras razones, porque ni son clientas de este despacho profesional, ni este Abogado ha asistido a dicho juicio para efectuar la defensa a que se refiere el hecho primero del acuerdo de iniciación de este procedimiento”.Aporta copia de la sentencia de 6/02/2007 en la que no figura su nombre como defensor ni asistente de las denunciantes. 3) “Como es natural al no haber llevado la representación de las denunciantes, este Letrado no ha cobrado cantidad alguna, sí lo ha hecho sin embargo el Letrado que actuó en el acto del juicio, D. F.F.F.. Acompaña copia de minuta de 29/01/2007 de denunciante 1 en la que consta el nombre de F.F.F. en el margen izquierdo, concepto “asistencia juicio de faltas”, y otra de 15/02/2007 de denunciante 2 “honorarios profesionales recurso apelación”, en la que en el margen izquierdo consta el nombre del denunciado y otra persona, ambos con Página 172 de 353

la condición de Abogados. Teniendo en común la primera con la segunda que figura el mismo domicilio, misma localidad y mismos números de teléfono y fax. El denunciado manifiesta que las minutas de las denunciantes se las “prestó este compañero”, refiriéndose a F.F.F.. Se debe reseñar que la copia de la minuta de denunciante 2, se aprecia que figura firmada P.O., y debajo aparece el sello con los datos de colegiado de F.F.F.. QUINTO: Con fecha 7/09/2010, se inició el período de práctica de pruebas, dando por reproducidos a efectos probatorios las actuaciones previas de Inspección que forman parte del expediente E/03178/2009, y las alegaciones y documentación presentadas al acuerdo de inicio PS/00375/2010 por el denunciado. Además se practicó: 1. Se dió traslado a las denunciantes para que alegaran y aportaran la prueba que considerasen oportuna respecto a las alegaciones del denunciado, y además, en concreto se les preguntará, 1) porque saben que el responsable del fichero es la persona denunciada. 2) Motivo por el que si en el juicio fueron atendidas y defendidas por el letrado Sr. F.F.F., presentan la denuncia contra el ahora denunciado 3) Que acrediten que datos proporcionaron, por que letrado fue atendida, a quien/es dieron sus datos, por que sistema, y si fueron registrados como y donde. 4) A denunciante 2, motivo por el que presenta recibí de pago de 15/02/2007 de denunciante 1, se envía folio 27. Con fecha 5/10/2010, responde denunciante 2 que “en el momento en que solicitamos sus servicios profesionales, nos atendió D. A.A.A. como responsable del despacho de Abogados, quien en apariencia era el responsable del despacho de Abogados, exponiéndole nuestros problemas jurídicos. “Una vez entendido el problema nos desvió al Sr. F.F.F., quien en todo momento se comportó como un subordinado suyo, nos dio la apariencia en aquel momento de ser empleado suyo, aunque este extremo no nos quedó acreditado”. En la factura por la provisión de fondos por los servicios profesionales del recurso de apelación, que fue aportada en mi denuncia, figuran en el margen superior izquierdo los nombres de “ D.D.D.” y “ E.E.E.”, “ignorando quién es esta segunda persona, pero no figura en ella nombre del Sr. F.F.F., por lo que tiene la apariencia de que en aquel momento era un empleado del H.H.H..” “Durante la visita al despacho de abogados se nos recabaron datos de carácter personal para poder confeccionar la demanda que se realizaría en nuestro nombre. Incluso realizaron una fotocopia de mi documento nacional de identidad que ellos no me entregaron” (la fotocopia). “Una tercera persona que trabajaba en dicho despacho, de nombre B.B.B., me pidió mi número de teléfono para poder contactar conmigo. Dada mi relación de servicios con el despacho de D. A.A.A., dicha información es obvio que pasará a formar parte más que de un fichero de clientes que, obviamente, contiene datos de carácter personal. El primer letrado que nos atendió fue D. A.A.A., quien ordenó al Sr. F.F.F. que llevase nuestro caso y le puso en antecedentes. Desconozco si la otra persona de nombre B.B.B. y que en apariencia es empleada del bufete y hace funciones de secretaria, reúne la condición de letrado.” “El sistema de facilitar los datos de carácter personal requeridos fue de viva voz en el caso del teléfono y los otros datos personales (Dirección, Dni, etc.) mediante entrega del DNI que fue fotocopiado por la Sra. B.B.B., en una fotocopiadora ubicada justo en el interior de su puesto de trabajo que está delimitado por un mostrador.” “Nunca nos informaron que iban a formar parte de un fichero, ni quien era la persona Página 173 de 353

responsable de dicho fichero, ni ante quien podíamos ejercer los derechos de acceso, rectificación y cancelación. Al no poder hallar la inscripción de los ficheros en la Web de la Agencia Española de Protección de Datos procedimos a efectuar la denuncia.” “Desconocemos si los datos facilitados fueron registrados y en que forma, no pudiendo afirmar ni demostrar categóricamente si pudieron ser registrados en un sistema informático del que la Sra. B.B.B. tenía una terminal, pero lo cierto es que esos datos fueron utilizados para ponerse en contacto con posterioridad conmigo y para realizar la facturación por los servicios prestados.” Denunciante 1 contesta en términos similares, incluso el orden y los párrafos así como el contenido coinciden con los de la declaración de la denunciante 2. Denunciante 1 además, aporta copia del directorio del edificio en que se ubica el despacho profesional, coincidiendo con los nombres que constan en el recibí de la minuta de la denunciante 2. 2. Se le solicitó a denunciado que manifieste la relación que tenía con el letrado Sr. F.F.F., y la forma en que en su caso se integraba en su despacho o en su organización. En un primer envío, el denunciante no retiró el correo remitido y fue devuelto, reiterándose en una segunda ocasión y contestó el 16/11/2010 que: “Hace ya varios años, y en determinados y esporádicos momentos, el Sr. F.F.F. utilizaba un despacho en esta oficina pero sin vinculación alguna con este Letrado e igualmente sin conexión con los datos de sus posibles clientes.” 3. Se le solicitó a denunciado que informara del motivo por el que consta su nombre junto con el de otra Abogada en el recibí de la copia de la minuta del recurso apelación (15/02/2007), (se adjuntó folio 12), así como forma jurídica de la prestación de sus servicios junto con los que constan de esa otra Abogada. Contestó que “Tampoco ha existido vinculación alguna con la otra Abogada, ni con sus posibles clientes. El hecho de que figurase el nombre de este Letrado junto con el de la Abogada es, sencillamente, porque no había otro modelo y se justificó con dicho recibo el pago por no estar presente el Letrado en ese momento. Consecuentemente, no hay ninguna forma jurídica de prestación de servicios con la expresada Abogada.” 4. Al denunciado, forma de recogida de datos de sus clientes, sistema de almacenamiento e información que usted les da a sus clientes, datos que se recogen (obsérvese que se hace referencia a clientes en abstracto, no a las denunciantes). Si en su despacho, cada Abogado tiene acceso al ordenador que contiene información de datos de asuntos de otro letrado, etc. Contestó que hasta hace muy poco tiempo daba clases de Derecho Penal en la Universidad de La Laguna, ha superado ya con creces la edad de jubilación, por lo que, y al margen de que pueda cerrar definitivamente su despacho en breve, su actividad como Abogado es muy limitada y relacionada, casi siempre, con personas jurídicas, Los distintos expedientes, una vez conclusos, se devuelven al cliente, no se mantienen datos personales en los ordenadores, utilizándose única y exclusivamente los mismo para redacción de escritos y, una vez se imprimen, se destruyen, solo existen expedientes físicos, de cuya circunstancia se tiene debidamente informado al cliente, tanto de la existencia del mismo como de los datos que contienen. Los expedientes físicos están bajo llave, y el único acceso es el de este Letrado. Página 174 de 353

SEXTO: Mediante diligencia de 25/11/2010, el Instructor consultó en el Registro General de Protección de Datos los ficheros inscritos a nombre de F.F.F., resultando que consta inscrito el fichero “CLIENTES ABOGADO”, desde 15/11/2010, descrito como “Gestión de asuntos encomendados por el cliente”. SÉPTIMO: Con fecha 30/11/2010, se formuló propuesta de resolución, proponiendo el archivo del procedimiento iniciado a D. A.A.A. por la infracción del artículo 26.1 de la LOPD, tipificada como leve en el 44.2.c) de dicha Ley, propuesta que le fue notificada en fecha 03/12/2010. HECHOS PROBADOS 1) Las dos denunciantes denuncian al Abogado G.G.G., porque proporcionaron sus datos para su defensa jurídica en su despacho. Sin embargo, en la sentencia que aportan, de 6/02/2007 y en la interposición del recurso de apelación de 16/02/2007, así como en su fallo, su letrado y con el que se entendieron las actuaciones, fue el Sr. F.F.F., también Abogado Colegiado (folios 8, 13 y 12, 17- 18). 2) La sede física en que prestan servicios el denunciado y F.F.F. es la misma, según se deduce del domicilio que este último hace constar y también ha manifestado el denunciado (folios 12, 13, 80). 3) Las denunciantes proporcionaron sus datos personales, número de teléfono, copia del DNI que se les efectuó en el despacho del denunciado, necesarios como datos básicos para formular las peticiones judiciales, siendo esta precisamente su finalidad (folios 67, 71). 4) F.F.F. inscribió el fichero “CLIENTES ABOGADO”, el 15/11/2010, descrito como “Gestión de asuntos encomendados por el cliente”, con posterioridad a la fecha en que las denunciantes proporcionaron sus datos, 2007 (folios 84 a 89). 4) G.G.G. no dispone de fichero inscrito en el Registro de la Agencia (folios 36 y 37). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 26 de la LOPD señala: “1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. 2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros. 3. Deberán comunicarse a la Agencia de Protección de Datos Página 175 de 353

los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. 4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación. 5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.” El artículo 55.2 del Real Decreto 1720/2007, de 21/12, por el que se aprueba el reglamento de desarrollo de la ley Orgánica 15/1999, de 13/12, de protección de datos de carácter personal añade: “Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.” Evidentemente los datos básicos precisos para la dirección jurídica de las denunciantes, así como los pagos efectuados por las mismas, y los productos derivados en forma de sentencias y recursos, son susceptibles de constituir un fichero, como mínimo en papel, que también tiene la cualidad de fichero según se deduce del artículo 3.b) de la LOPD, que señala:. “Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Especificando aun más el artículo 5.k) del Reglamento de la LOPD: “Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” Datos que en este caso se recabaron, y se dieron en el año 2007, y para los cuales se carece, en este caso por el denunciado de inscripción del fichero. Si bien, prima facie, la imputación fue hecha al denunciado, en este caso debe decaer por varios motivos. 1) Básicamente, la dirección letrada es responsabilidad y corre a cuenta de F.F.F., aunque varios elementos apuntan a que el denunciado pudiera coincidir con este en la sede física del despacho y/o emitiera una minuta en la que figuraba su nombre, si bien se indicaba el sello y los datos de colegiado, Sr. F.F.F.. 2) La persona que debe inscribir el fichero es la persona responsable del fichero y en este caso la que efectúa el tratamiento, que es el Sr. F.F.F..

Página 176 de 353

3) No existe prueba alguna de la que se deduzca ni se tenga que considerar que la persona que atendió a las denunciantes sea la responsable del fichero, ni que aunque pudiera parecer jefe del Sr. F.F.F., deba ser responsable del fichero. Lo habitual es que cada Abogado ejerza por su cuenta la profesión para la que es precisa su colegiación, siendo responsable pues de los asuntos que lleva. La excepción que no se acredita en el presente supuesto, sería la prestación de servicios jurídicos en unidades que agrupen a Abogados bajo diversas modalidades en su constitución, sociedad civil, o sociedades profesionales, que derivarían la responsabilidad no a la persona sino a la Sociedad. En el presente supuesto, no habiéndose acreditado que los datos proporcionados se recabaran por el denunciado, y dada la finalidad para la que fueron empleados, que lo fueron por otra persona, se produce una falla en la legitimación pasiva para continuar el presente procedimiento, debiéndose archivar la presente infracción, y proceder a abrir procedimiento frente a F.F.F., presunto responsable de la dirección letrada de las denunciantes, y que debió haber inscrito el fichero antes de recabar los datos, sin olvidar que los datos se proporcionaron en 2007, y el fichero se inscribió en 2011. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: EXONERAR de responsabilidad a D. A.A.A., de la infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c), y acordar el archivo del procedimiento sancionador PS/00375/2010. SEGUNDO: NOTIFICAR la presente resolución a D. A.A.A., adjuntando el Anexo General, a DENUNCIANTE 1 indicado en el Anexo 1, con el Anexo 1, y a DENUNCIANTE 2 indicado en el Anexo 2 junto al Anexo 2, TERCERO: De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo ContenciosoPágina 177 de 353

administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 30 de diciembre de 2010 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte ANEXO GENERAL DENUNCIANTE 1: DENUNCIANTE 1 DENUNCIANTE 2: DENUNCIANTE 2 ANEXO 1 DENUNCIANTE 1: DENUNCIANTE 1 ANEXO 2 DENUNCIANTE 2: DENUNCIANTE 2 II. 2. TUTELA DE DERECHOS

Página 178 de 353

Procedimiento Nº PS/00375/2010 RESOLUCIÓN: R/02495/2010 En el procedimiento sancionador PS/00375/2010, instruido por la Agencia Española de Protección de Datos a la entidad A.A.A., vista la denuncia presentada por B.B.B. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 5/08 y 29/10/2009, tuvieron entrada en esta Agencia dos denuncias suscritas por DENUNCIANTE 1, y DENUNCIANTE 2 (según anexo general) en las que ponen de manifiesto que el letrado A.A.A.), que representó a ambas como codemandadas en el juicio de faltas 475/06, y a las que se recabaron sus datos personales, no tiene los ficheros inscritos. Aportan copia de la sentencia de 6/02/2007, y recibos de 15/02/2007 de pago de honorarios. SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de esta Agencia se solicitó a la Subdirección General del Registro General de Protección de Datos que informara si existía algún fichero inscrito a nombre del denunciado, emitiéndose nota de 30/11/2009, en la que se declaraba que no figuraba fichero alguno inscrito cuyo titular sea C.C.C.. TERCERO: Con fecha 7/07/2010, el Director de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador a C.C.C. , por presunta infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de la citada Ley Orgánicala Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), pudiendo ser sancionado con multa de 601,01 € a 60.101,21 €, de acuerdo con el artículo 45.1 de dicha Ley Orgánica. CUARTO: Con fecha 17/08/2010 tuvieron entrada las alegaciones del denunciado que señala: 1) De conformidad con lo establecido en el art. 47 de la LOPD, dicha infracción está prescrita al haber transcurrido más de un año entre los hechos que se imputan, acaecidos ambos en el año 2007, y las denuncias que tuvieron entrada en esa Agencia en el año 2009. 2) “Como se desprende de forma clara y terminante en la Sentencia de fecha 6/02/2007, y en el procedimiento de Juicio de Faltas 475/2006, el denunciado no representó a ninguna de las denunciantes, entre otras razones, porque ni son clientas de este despacho profesional, ni este Abogado ha asistido a dicho juicio para efectuar la defensa a que se refiere el hecho primero del acuerdo de iniciación de este procedimiento”.Aporta copia de la sentencia de 6/02/2007 en la que no figura su nombre como defensor ni asistente de las denunciantes. 3) “Como es natural al no haber llevado la representación de las denunciantes, este Letrado no ha cobrado cantidad alguna, sí lo ha hecho sin embargo el Letrado que actuó en el acto del juicio, D. F.F.F.. Acompaña copia de minuta de 29/01/2007 de denunciante 1 en la que consta el nombre de F.F.F. en el margen izquierdo, concepto “asistencia juicio de faltas”, y otra de 15/02/2007 de denunciante 2 “honorarios profesionales recurso apelación”, en la que en el Página 179 de 353

margen izquierdo consta el nombre del denunciado y otra persona, ambos con la condición de Abogados. Teniendo en común la primera con la segunda que figura el mismo domicilio, misma localidad y mismos números de teléfono y fax. El denunciado manifiesta que las minutas de las denunciantes se las “prestó este compañero”, refiriéndose a F.F.F.. Se debe reseñar que la copia de la minuta de denunciante 2, se aprecia que figura firmada P.O., y debajo aparece el sello con los datos de colegiado de F.F.F., QUINTO: Con fecha 7/09/2010, se inició el período de práctica de pruebas, dando por reproducidos a efectos probatorios las actuaciones previas de Inspección que forman parte del expediente E/03178/2009, y las alegaciones y documentación presentadas al acuerdo de inicio PS/00375/2010 por el denunciado. Además se practicó: 1. Se dió traslado a las denunciantes para que alegaran y aportaran la prueba que considerasen oportuna respecto a las alegaciones del denunciado, y además, en concreto se les preguntará, 1) porque saben que el responsable del fichero es la persona denunciada. 2) Motivo por el que si en el juicio fueron atendidas y defendidas por el letrado Sr. F.F.F., presentan la denuncia contra el ahora denunciado 3) Que acrediten que datos proporcionaron, por que letrado fue atendida, a quien/es dieron sus datos, por que sistema, y si fueron registrados como y donde. 4) A denunciante 2, motivo por el que presenta recibí de pago de 15/02/2007 de denunciante 1, se envía folio 27. Con fecha 5/10/2010, responde denunciante 2 que “n el momento en que solicitamos sus servicios profesionales, nos atendió D. A.A.A. como responsable del despacho de Abogados, quien en apariencia era el responsable del despacho de Abogados, exponiéndole nuestros problemas jurídicos. “Una vez entendido el problema nos desvió al Sr. F.F.F., quien en todo momento se comportó como un subordinado suyo, nos dio la apariencia en aquel momento de ser empleado suyo, aunque este extremo no nos quedó acreditado”. En la factura por la provisión de fondos por los servicios profesionales del recurso de apelación, que fue aportada en mi denuncia, figuran en el margen superior izquierdo los nombres de “ D.D.D.” y “ E.E.E.”, “ignorando quién es esta segunda persona, pero no figura en ella nombre del Sr. F.F.F., por lo que tiene la apariencia de que en aquel momento era un empleado del H.H.H..” “Durante la visita al despacho de abogados se nos recabaron datos de carácter personal para poder confeccionar la demanda que se realizaría en nuestro nombre. Incluso realizaron una fotocopia de mi documento nacional de identidad que ellos no me entregaron” (la fotocopia). “Una tercera persona que trabajaba en dicho despacho, de nombre B.B.B., me pidió mi número de teléfono para poder contactar conmigo. Dada mi relación de servicios con el despacho de D. A.A.A., dicha información es obvio que pasará a formar parte más que de un fichero de clientes que, obviamente, contiene datos de carácter personal. El primer letrado que nos atendió fue D. A.A.A., quien ordenó al Sr. F.F.F. que llevase nuestro caso y le puso en antecedentes. Desconozco si la otra persona de nombre B.B.B. y ue en apariencia es empleada del bufete y hace funciones de secretaria, reúne la condición e letrado.”

Página 180 de 353

“El sistema de facilitar los datos de carácter personal requeridos fue de viva voz en el caso del teléfono y los otros datos personales (Dirección, Dni, etc.) mediante entrega del DNI que fue totocopiado por la Sra. B.B.B., en una fotocopiadora ubicada justo en el interior de su puesto e trabajo que está delimitado por un mostrador.” “Nunca nos informaron que iban a formar arte de un fichero, ni quien era la persona responsable de dicho fichero, ni ante quien podíamos ejercer los derechos de acceso, rectificación y cancelación. Al no poder hallar la inscripción de los ficheros en la Web de la Agencia Española de Protección de Datos procedimos a efectuar la denuncia.” “Desconocemos si los datos facilitados fueron registrados y en que forma, no pudiendo afirmar ni demostrar categóricamente si pudieron ser registrados en un sistema informático del que la Sra. B.B.B. tenía una terminal, pero lo cierto es que esos datos fueron utilizados para ponerse en contacto con posterioridad conmigo y para realizar la facturación por los servicios prestados.” Denunciante 1 contesta en términos similares, incluso el orden y los párrafos así como el contenido coinciden con los de la declaración de la denunciante 2. Denunciante 1 además, aporta copia del directorio del edificio en que se ubica el despacho profesional, coincidiendo con los nombres que constan en el recibí de la minuta de la denunciante 2. 2. Se le solicitó a denunciado que manifieste la relación que tenía con el letrado Sr. F.F.F., y la forma en que en su caso se integraba en su despacho o en su organización. En un primer envío, el denunciante no retiró el correo remitido y fue devuelto, reiterándose en una segunda ocasión y contestó el 16/11/2010 que: “Hace ya varios años, y en determinados y esporádicos momentos, el Sr. F.F.F. utilizaba un despacho en esta oficina pero sin vinculación alguna con este Letrado e igualmente sin conexión con los datos de sus posibles clientes.” 3. Se le solicitó a denunciado que informara del motivo por el que consta su nombre junto con el de otra Abogada en el recibí de la copia de la minuta del recurso apelación (15/02/2007), (se adjuntó folio 12), así como forma jurídica de la prestación de sus servicios junto con los que constan de esa otra Abogada. Contestó que “Tampoco ha existido vinculación alguna con la otra Abogada, ni con sus posibles clientes. El hecho de que figurase el nombre de este Letrado junto con el de la Abogada es, sencillamente, porque no había otro modelo y se justificó con dicho recibo el pago por no estar presente el Letrado en ese momento. Consecuentemente, no hay ninguna forma jurídica de prestación de servicios con la expresada Abogada.” 4. Al denunciado, forma de recogida de datos de sus clientes, sistema de almacenamiento e información que usted les da a sus clientes, datos que se recogen (obsérvese que se hace referencia a clientes en abstracto, no a las denunciantes). Si en su despacho, cada Abogado tiene acceso al ordenador que contiene información de datos de asuntos de otro letrado, etc. Contestó que hasta hace muy poco tiempo daba clases de Derecho Penal en la Universidad de La Laguna, ha superado ya con creces la edad de jubilación, por lo que, y al margen de que pueda cerrar definitivamente su despacho en breve, su actividad como Abogado es muy limitada y relacionada, casi siempre, con personas jurídicas, Los distintos expedientes, una vez conclusos, se Página 181 de 353

devuelven al cliente, no se mantienen datos personales en los ordenadores, utilizándose única y exclusivamente los mismo para redacción de escritos y, una vez se imprimen, se destruyen, solo existen expedientes físicos, de cuya circunstancia se tiene debidamente informado al cliente, tanto de la existencia del mismo como de los datos que contienen. Los expedientes físicos están bajo llave, y el único acceso es el de este Letrado. SEXTO: Mediante diligencia de 25/11/2010, el Instructor consultó en el Registro General de Protección de Datos los ficheros inscritos a nombre de F.F.F., resultando que consta inscrito el fichero “CLIENTES ABOGADO”, desde 15/11/2010, descrito como “Gestión de asuntos encomendados por el cliente”. SÉPTIMO: Con fecha 30/11/2010, se formuló propuesta de resolución, proponiendo el archivo del procedimiento iniciado a D. A.A.A. por la infracción del artículo 26.1 de la LOPD, tipificada como leve en el 44.2.c) de dicha Ley, propuesta que le fue notificada en fecha 03/12/2010. HECHOS PROBADOS 1) Las dos denunciantes denuncian al Abogado G.G.G., porque proporcionaron sus datos para su defensa jurídica en su despacho. Sin embargo, en la sentencia que aportan, de 6/02/2007 y en la interposición del recurso de apelación de 16/02/2007, así como en su fallo, su letrado y con el que se entendieron las actuaciones, fue el Sr. F.F.F., también Abogado Colegiado (folios 8, 13 y 12, 17- 18). 2) La sede física en que prestan servicios el denunciado y F.F.F. es la misma, según se deduce del domicilio que este último hace constar y también ha manifestado el denunciado (folios 12, 13, 80). 3) Las denunciantes proporcionaron sus datos personales, número de teléfono, copia del DNI que se les efectuó en el despacho del denunciado, necesarios como datos básicos para formular las peticiones judiciales, siendo esta precisamente su finalidad (folios 67, 71). 4) F.F.F. inscribió el fichero “CLIENTES ABOGADO”, el 15/11/2010, descrito como “Gestión de asuntos encomendados por el cliente”, con posterioridad a la fecha en que las denunciantes proporcionaron sus datos, 2007 (folios 84 a 89). 4) G.G.G. no dispone de fichero inscrito en el Registro de la Agencia (folios 36 y 37). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 26 de la LOPD señala:

Página 182 de 353

“1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. 2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros. 3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. 4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación. 5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.” El artículo 55.2 del Real Decreto 1720/2007, de 21/12, por el que se aprueba el reglamento de desarrollo de la ley Orgánica 15/1999, de 13/12, de protección de datos de carácter personal añade: “Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.” Evidentemente los datos básicos precisos para la dirección jurídica de las denunciantes, así como los pagos efectuados por las mismas, y los productos derivados en forma de sentencias y recursos, son susceptibles de constituir un fichero, como mínimo en papel, que también tiene la cualidad de fichero según se deduce del artículo 3.b) de la LOPD, que señala:. “Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Especificando aun más el artículo 5.k) del Reglamento de la LOPD: “Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” Datos que en este caso se recabaron, y se dieron en el año 2007, y para los cuales se carece, en este caso por el denunciado de inscripción del fichero. Si bien, prima facie, la imputación fue hecha al denunciado, en este caso debe decaer por varios motivos. 1) Básicamente, la dirección letrada es responsabilidad y corre a cuenta de F.F.F., aunque varios elementos apuntan a que el denunciado pudiera coincidir Página 183 de 353

con este en la sede física del despacho y/o emitiera una minuta en la que figuraba su nombre, si bien se indicaba el sello y los datos de colegiado, Sr. F.F.F.. 2) La persona que debe inscribir el fichero es la persona responsable del fichero y en este caso la que efectúa el tratamiento, que es el Sr. F.F.F.. 3) No existe prueba alguna de la que se deduzca ni se tenga que considerar que la persona que atendió a las denunciantes sea la responsable del fichero, ni que aunque pudiera parecer jefe del Sr. F.F.F., deba ser responsable del fichero. Lo habitual es que cada Abogado ejerza por su cuenta la profesión para la que es precisa su colegiación, siendo responsable pues de los asuntos que lleva. La excepción que no se acredita en el presente supuesto, sería la prestación de servicios jurídicos en unidades que agrupen a Abogados bajo diversas modalidades en su constitución, sociedad civil, o sociedades profesionales, que derivarían la responsabilidad no a la persona sino a la Sociedad. En el presente supuesto, no habiéndose acreditado que los datos proporcionados se recabaran por el denunciado, y dada la finalidad para la que fueron empleados, que lo fueron por otra persona, se produce una falla en la legitimación pasiva para continuar el presente procedimiento, debiéndose archivar la presente infracción, y proceder a abrir procedimiento frente a F.F.F., presunto responsable de la dirección letrada de las denunciantes, y que debió haber inscrito el fichero antes de recabar los datos, sin olvidar que los datos se proporcionaron en 2007, y el fichero se inscribió en 2011. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: EXONERAR de responsabilidad a D. A.A.A., de la infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c), y acordar el archivo del procedimiento sancionador PS/00375/2010. SEGUNDO: NOTIFICAR la presente resolución a D. A.A.A., adjuntando el Anexo General, a DENUNCIANTE 1 indicado en el Anexo 1, con el Anexo 1, y a DENUNCIANTE 2 indicado en el Anexo 2 junto al Anexo 2, TERCERO: De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Página 184 de 353

Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 30 de diciembre de 2010 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte ANEXO GENERAL DENUNCIANTE 1: DENUNCIANTE 1 DENUNCIANTE 2: DENUNCIANTE 2 ANEXO 1 DENUNCIANTE 1: DENUNCIANTE 1 ANEXO 2 DENUNCIANTE 2: DENUNCIANTE 2

Página 185 de 353

Procedimiento Nº: TD/00474/2005 RESOLUCIÓN Nº.: R/00099/2006 Vista la reclamación formulada por D. J.G.A., contra el COLEGIO DE ABOGADOS DE CÁDIZ, y en base a los siguientes, HECHOS PRIMERO: Con fecha 16/09/2005, tuvo entrada en esta Agencia reclamación formulada por D. J.G.A. (en lo sucesivo el reclamante), por la denegación del derecho de acceso a sus datos contenidos en los ficheros del Colegio de Abogados de Cádiz (en lo sucesivo, el Colegio). Alega el reclamante que el Colegio no le ha comunicado los concretos datos que posee sobre él, ni le ha facilitado el acceso a su expediente personal, que se le han impuesto sanciones disciplinarias y no ha sido informado de la cesión de sus datos, al menos, al Consejo General de la Abogacía Española y a diversos Órganos Judiciales y que ha solicitado el reconocimiento del derecho a la Asistencia Jurídica Gratuita, sin que tampoco haya sido informado de los datos existentes en el Colegio en este sentido. SEGUNDO: En fecha 24/10/2005, se trasladó dicha reclamación al Colegio, que presentó las alegaciones que a su derecho estimó convenientes, manifestando que se informó al reclamante que en los ficheros del Colegio existían sus datos de nombre y apellidos, NIF, fecha de alta en la Corporación, si procedía o no de otro Colegio, su cualidad de ejerciente y residente, la fecha de jura como Abogado, la fecha y el motivo de baja total en el Colegio, domicilio, teléfono y fax de su despacho, aunque no se concretaron cada uno de los datos que se poseen sobre el reclamante. Las posibles sanciones disciplinarias no constan en soporte físico susceptible de tratamiento, y que no se facilitó al reclamante el acceso a la información relativa a la asistencia jurídica gratuita al haber solicitado el acceso a sus datos en su condición de colegiado y no como solicitante del beneficio de justicia gratuita. TERCERO: Examinadas las alegaciones presentadas por el responsable del fichero, se dio traslado de las mismas al reclamante, que señaló que el Colegio no le facilitó la información que manifiesta haberle facilitado, que no se le ha facilitado el acceso a su expediente personal, que las sanciones disciplinarias que se le han impuesto constan en su expediente personal y, que, cuando solicitó el acceso al Colegio, no hizo referencia a su condición de letrado. Solicita de la Agencia que remita copia del procedimiento a los órganos jurisdiccionales a fin de que se esclarezca la posible existencia de un delito de falsedad documental y aporta copia de su expediente personal que fue remitido por el Colegio al Juzgado de Instrucción nº 0A de ....., con fecha 27/12/2000. CUARTO: Otorgada audiencia al responsable del fichero, éste adujo que los documentos que forman el expediente personal del reclamante no están incorporados a ninguna base de datos ni han sido sometidos a tratamiento y que se ha remitido un escrito al reclamante informándole de los datos contenidos en los ficheros del Colegio y de los existentes en su expediente personal. Aporta copia de un escrito, de fecha 09/02/2006, remitido al Página 186 de 353

reclamante en el que se indica que se acompaña copia de la información registrada en los ficheros informatizados del Colegio, que tales datos no han sido cedidos, que se adjuntan los datos registrados en el fichero de asignación de turnos de oficio relativos a las peticiones que ha realizado el reclamante, que tales datos han sido cedidos a la Comisión Provincial de Asistencia Jurídica Gratuita que es la que conserva materialmente los expedientes, que los expedientes disciplinarios no se encuentran informatizados y que se remite al reclamante, únicamente, de la documentación que obra en su expediente personal aquélla que no consta entre la documentación que fue aportada por el reclamante al procedimiento de tutela de derechos. Asimismo aporta copia del documento acreditativo de haber remitido por correo certificado el citado escrito al reclamante, con fecha 09/02/2006. HECHOS PROBADOS PRIMERO: Mediante escrito de 25/07/2005, D. J.G.A. solicitó al Colegio de Abogados de Cádiz el acceso a sus datos personales, el origen de los mismos y las comunicaciones realizadas o que se prevean realizar de los mismos. Dicho escrito lo recibió el Colegio, con fecha 02/08/2005, según consta en el acuse de recibo. SEGUNDO: El Colegio de Abogados de Cádiz informó a D. J.G.A., en escrito de 16/08/2005, que figura en el Colegio dado de baja total, que “los datos que constan en el archivo “histórico” de este Colegio son los facilitados por usted y que afectan a su pertenencia al Colegio, a saber: nombre y apellidos, NIF, fecha de alta en la Corporación y si procedía o no de otro Colegio, su cualidad de ejerciente y residente, la fecha en que juró como abogado, la fecha de baja total en el Colegio y el motivo y el domicilio y teléfono-fax de su bufete” y que, con anterioridad a la fecha de baja, no se cedieron sus datos y que, con posterioridad a dicha fecha, sólo se comunica tal hecho. TERCERO: Con fecha 09/02/2006, el Colegio de Abogados de Cádiz remitió a D. J.G.A. por correo certificado un escrito en el que se indica que se acompaña copia de la información registrada en los ficheros informatizados del Colegio, que tales datos no han sido cedidos, que se adjuntan los datos registrados en el fichero de asignación de turnos de oficio relativos a las peticiones que ha realizado el reclamante, que tales datos han sido cedidos a la Comisión Provincial de Asistencia Jurídica Gratuita que es la que conserva materialmente los expedientes, que los expedientes disciplinarios no se encuentran informatizados y que se remite al reclamante, únicamente, de la documentación que obra en su expediente personal aquélla que no consta entre la documentación que fue aportada por el reclamante al procedimiento de tutela de derechos. FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la Ley Orgánica

Página 187 de 353

15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”. La disposición adicional primera de la LOPD establece que “Los ficheros y tratamientos automatizados, inscritos o no en el Registro General de Protección de Datos deberán adecuarse a la presente Ley Orgánica dentro del plazo de tres años, a contar desde su entrada en vigor. En dicho plazo, los ficheros de titularidad privada deberán ser comunicados a la Agencia de Protección de Datos y las Administraciones Públicas, responsables de ficheros de titularidad pública, deberán aprobar la pertinente disposición de regulación del fichero o adaptar la existente. En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica y la obligación prevista en el párrafo anterior deberá cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados” (el subrayado es de la Agencia Española de Protección de Datos). CUARTO: El artículo 12 del Real Decreto 1332/94, de 20 de junio, por el que se desarrollan determinados preceptos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la LOPD, determina en su apartados 1, 3 y 4 que: “1.- El derecho de acceso se ejercerá mediante petición o solicitud dirigida al responsable del fichero, formulada por cualquier medio que garantice la identificación del afectado y en la que conste el fichero o ficheros a consultar.” “3.- El responsable del fichero resolverá sobre la petición de acceso en el plazo máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo sin que de forma expresa se responda a la petición de acceso, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18 LOPD). “4.- Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de los diez días siguientes a la notificación de aquélla”. Añadiendo el artículo 13.2 del citado Real Decreto 1332/1994, en cuanto al contenido del derecho de acceso, que “La información comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos”.

Página 188 de 353

QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación establece en el punto 4 de su Norma Primera, primer párrafo, que “El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción. (el subrayado es de la Agencia Española de Protección de Datos). Añadiendo el punto 6 de su Norma Segunda que “la información que se proporcione, cualquiera que se a el soporte en que fuere facilitada, se dará en forma legible e inteligible, previa transcripción en claro de los datos del fichero, en su caso, y comprenderá todos los datos de base del afectado, los resultados de cualquier valoración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.” SEXTO: En el supuesto examinado el reclamante solicitó al Colegio, con fecha 02/08/2005, el acceso a sus datos personales, informando el Colegio al solicitante de acceso, mediante escrito de fecha 16/08/2005, que figura en el Colegio dado de baja total, que “los datos que constan en el archivo “histórico” de este Colegio son los facilitados por usted y que afectan a su pertenencia al Colegio, a saber: nombre y apellidos, NIF, fecha de alta en la Corporación y si procedía o no de otro Colegio, su cualidad de ejerciente y residente, la fecha en que juró como abogado, la fecha de baja total en el Colegio y el motivo y el domicilio y teléfono-fax de su bufete” y que con anterioridad a la fecha de baja no se cedieron sus datos y que con posterioridad a dicha fecha sólo se comunica tal hecho. El Colegio, durante la tramitación del procedimiento, ha manifestado que completó la información inicialmente facilitada al reclamante, dando así adecuada respuesta a la solicitud de acceso de aquél y aporta en acreditación de lo manifestado copia del escrito, de fecha 09/02/2006, en el que se comunica al reclamante que se adjunta el contenido de la información obrante en los ficheros del Colegio y copia del justificante de haber remitido al reclamante por correo certificado el citado escrito. No obstante, respecto de estas manifestaciones es necesario señalar que de la documentación aportada por el Colegio no resultan elementos suficientes para que pueda valorarse si el reclamante ha obtenido adecuada respuesta a su solicitud de acceso, ni en lo relativo a la recepción de la citada documentación ni en lo referente a si la respuesta facilitada por el Colegio satisface el derecho ejercido por el reclamante. Así las cosas procede analizar, por tanto, si el escrito de fecha 16/08/2005 por el que el Colegio dio respuesta a la solicitud de acceso del reclamante cumple con las exigencias de la LOPD y del citado Real Decreto 1332/1994. El derecho de acceso que reconoce la LOPD se refiere al derecho que asiste al afectado para obtener información de sus datos de carácter personal sometidos a tratamiento y dicha información comprende, de acuerdo con lo especificado en el artículo 13.2 del citado Real Decreto 1332/1994 transcrito, los datos de base del afectado, el origen de los mismos, los cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaron.

Página 189 de 353

Del análisis del referido escrito se desprenden las siguiente consideraciones: 1.- En cuanto a la información sobre los datos del afectado, el acceso que el Colegio facilitó al reclamante no contiene toda la información a que hace referencia el citado artículo 13.2, pues el deber de informar no puede entenderse cumplido con una alusión genérica a los datos que obran en los ficheros de la entidad, sin indicar qué datos en concreto posee del afectado. Además en el referido acceso no se informa al reclamante de los datos que obran en los ficheros no automatizados del Colegio, entendiéndose por fichero, de acuerdo con en el artículo 3.d) de la LOPD, “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. 2. - En cuanto a las cesiones de los datos, el Colegio tampoco informa al reclamante de a qué entidad se han comunicado sus datos ni cuál es el fichero en el que se hallaban los datos cedidos. Por lo tanto, de lo señalado con anterioridad, cabe concluir que la información facilitada no es suficiente de acuerdo con lo previsto en el artículo 15.1 de la LOPD. SÉPTIMO: Por otro lado, en cuanto a la información relativa a las solicitudes de asistencia jurídica gratuita, argumenta el Colegio que ésta no se facilitó al reclamante al entender que únicamente fue solicitado el acceso a los datos en calidad de colegiado. A este respecto procede traer a colación la Sentencia de la Audiencia Nacional de fecha 21/04/2004, en la que declara que En el supuesto examinado, es cierto que la solicitud de acceso del reclamante no contiene ninguna referencia relativa a que también desea obtener el acceso a los datos que sobre él obran en el Colegio sobre asistencia jurídica gratuita. Sin embargo, de acuerdo con la doctrina legal señalada correspondía al Página 190 de 353

Colegio asumir la carga de buscar los datos en todos sus ficheros, cosa que no hizo. OCTAVO: Finalmente, en cuanto a la solicitud que realiza el reclamante en orden a que se remita copia del procedimiento de tutela de derechos a los órganos jurisdiccionales, a fin de que se esclarezca la posible existencia de un delito de falsedad documental, ha de señalarse que esta Agencia no se encuentra obligada a efectuar dicha remisión y que no le compete valorar si se ha producido o no tal falsedad documental. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ESTIMAR la reclamación formulada por D. J.G.A. e instar al COLEGIO DE ABOGADOS DE CÁDIZ para que en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita al reclamante certificación en la que se hagan constar todos sus datos personales contenidos en sus ficheros tanto automatizados como no automatizados, en los términos previstos en el artículo 15.1 de la LOPD y 13.2 del citado Real Decreto 1332/1994, pudiendo incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD. Las actuaciones realizadas como consecuencia de la presente resolución deberán ser comunicadas a esta Agencia en idéntico plazo. SEGUNDO: NOTIFICAR la presente resolución al COLEGIO DE ABOGADOS DE CÁDIZ, (C/.......................), y a D. J.G.A., (C/.........................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Página 191 de 353

Madrid, 2 de marzo de 2006 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

Página 192 de 353

Procedimiento Nº: TD/00112/2006 RESOLUCIÓN Nº.: R/00341/2006

Vista la reclamación formulada por DON J.G.A., contra el CONSEJO GENERAL DE LA ABOGACÍA ESPAÑOLA, y en base a los siguientes, HECHOS PRIMERO: Con fecha 14 de febrero de 2006, tuvo entrada en esta Agencia una reclamación formulada por Don J.G.A. (en lo sucesivo el reclamante), por la denegación del derecho de cancelación de sus datos contenidos en los ficheros del Consejo General de la Abogacía Española (en lo sucesivo CGAE). SEGUNDO: En fecha 16 de marzo de 2006, se trasladó dicha reclamación al CGAE, que presentó las alegaciones que a su derecho estimó convenientes, manifestando que la solicitud del reclamante pretendía la cancelación de la anotación de varias sanciones inscritas en el Registro de Sanciones de Letrados, basando su petición en que habían transcurrido más de tres años desde que fueron cumplidas. En contestación a su reclamación el CGAE le informó que debía dirigirse al Colegio de Abogados de (.......), que había impuesto las sanciones, para que dicho Colegio procediera a comunicar al CGAE la cancelación, en su caso, de la anotación de las mismas. El CGAE informó que había procedido a la cancelación de la anotación de dos sanciones, a la vista del informe emitido por el Colegio de Abogados de (.....), quedando inscritas el resto, impuestas pero no ejecutadas, en el Registro del CGAE en cumplimiento del artículo 89.2 del Estatuto de esa entidad. TERCERO: Examinadas las alegaciones presentadas por el responsable del fichero, se dio traslado de las mismas al reclamante, que señaló que el CGAE no había cancelado en el Registro de Sanciones de Letrados las sanciones referidas, a pesar de que el Colegio de Abogados de (.......) le ha expedido un certificado, con fecha 10 de enero de 2006, cuya fotocopia adjunta, según el cual se ha procedido a la cancelación de todas las sanciones impuestas. CUARTO: Otorgada audiencia al reclamante, se dio traslado de sus alegaciones al responsable del fichero, que señaló, con fecha 19 de mayo de 2006, que el CGAE resolvió motivadamente lo solicitado por el denunciante, de conformidad con lo dispuesto en el artículo 93 del Estatuto General de la Abogacía Española (RD 658/2001, de 22 de junio). Por otro lado manifiesta que el artículo 89.2 establece que “las sanciones tendrán efectos en el ámbito de todos los Colegios de Abogados de España, a cuyo fin el Colegio o Consejo Autonómico que las imponga, tendrá preceptivamente que comunicarlas al CGAE….”. El CGAE alega que “no procedía la cancelación solicitada de las sanciones firmes que continúan inscritas en el CGAE, pues dichos datos no son inexactos, incompletos o inadecuados, sin que haya habido un tratamiento no ajustado a lo dispuesto en la citada Ley Orgánica”. Página 193 de 353

En cuanto al certificado emitido por el Colegio de Abogados de Cádiz, en el que se procede a la cancelación de todas las sanciones, el CGAE manifiesta no haber tenido noticia de esta circunstancia hasta el momento de su aportación por el denunciante, dado que, ni el propio Colegio de Abogados ni el mismo denunciante, le han dado traslado del mismo a los efectos de ser tenidos en cuenta en el Registro de Sanciones de Letrados, por lo que esa entidad se ha dirigido al Colegio de Abogados de Cádiz solicitando confirmación de la misma para proceder conforme a su contenido. Finaliza manifestando que “una vez que se produzca la comunicación por el Colegio de Abogados en el sentido establecido en el certificado, se procederá a la cancelación de las dos únicas sanciones que quedan pendientes de ejecutar y que están anotadas en el Registro de este Consejo General”. HECHOS PROBADOS PRIMERO: Don J.G.A. presentó reclamación de Tutela de Derechos ante la Agencia Española de Protección de Datos, en fecha 14 de febrero de 2006, por la denegación del derecho de cancelación de sus datos personales en el Registro de Sanciones de Letrados del Consejo General de la Abogacía Española. SEGUNDO: Don J.G.A. había solicitado la cancelación de sus datos el 5 de septiembre de 2005, mediante correo certificado, que fue recepcionado por el Consejo General de la Abogacía Española el 12 de septiembre de 2005. TERCERO: En fecha 14 de septiembre de 2005, el Consejo General de la Abogacía Española remite una carta a Don J.G.A., informando que “debe dirigirse al Colegio de Abogados que hubiera impuesto las sanciones, el objeto de que procedan a comunicar a la CGAE la cancelación de la anotación de las mismas”. CUARTO: En fecha 28 de octubre de 2005, el reclamante interpuso un recurso de reposición contra la resolución dictada por el Consejo General de la Abogacía Española. QUINTO: Con fecha 8 de marzo de 2006, se remite Don J.G.A. la notificación de la resolución de 13 de febrero de 2006, por la que se resuelve el recurso de reposición y se estima parcialmente dicho recurso, accediendo a la solicitud de cancelación de la anotación de dos sanciones, que constan en el Registro del Consejo General de la Abogacía Española.. SEXTO: En fecha 17 de mayo de 2006, el CGAE se dirige el Colegio de Abogados de (.....) solicitando la cancelación de todas las sanciones que quedan pendientes en el Registro de Sanciones de Letrados. SÉPTIMO: En el escrito de alegaciones remitido a esta Agencia con fecha 19 de mayo de 2005, el CGAE anuncia que “Una vez que se produzca la comunicación del Colegio de Abogados en el sentido establecido por el Página 194 de 353

certificado, se procederá a la cancelación de las dos únicas sanciones que quedan pendientes de ejecutar … y que están anotadas en el Registro …”. FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 16.1 de la LOPD dispone que “El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días”. Añadiendo el apartado 2 del citado artículo que, “Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.” CUARTO: El artículo 15 del Real Decreto 1332/94, de 20 de junio, por el que se desarrollan determinados preceptos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la LOPD, determina, en su apartado 3, que, ”En el supuesto de que el responsable del fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará motivadamente dentro del plazo señalado en el apartado anterior a fin de que por éste se pueda hacer uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18.1 LOPD). QUINTO: La Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación, establece en el punto 5 de su Norma Primera: “5. El responsable del fichero deberá adoptar las medidas oportunas para garantizar que todas las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos”. SEXTO: En el presente caso, ha quedado acreditado que el CGAE contestó en plazo al reclamante y le informó del procedimiento que debía seguir para el adecuado ejercicio de su derecho. En consecuencia, no se observa vulneración alguna de la normativa de protección de datos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE:

Página 195 de 353

PRIMERO: DESESTIMAR la reclamación formulada por DON J.G.A. contra el CONSEJO GENERAL DE LA ABOGACÍA ESPAÑOLA. SEGUNDO: NOTIFICAR la presente resolución al CONSEJO GENERAL DE LA ABOGACÍA ESPAÑOLA, (C/..............................), y a DON J.G.A., (C/........................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 10 de julio de 2006 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

Página 196 de 353

Procedimiento Nº: TD/00754/2007 RESOLUCIÓN Nº.: R/00220/2008 Vista la reclamación formulada por DOÑA R.R.R., contra B.F.G. Advocats Associats, S.L. , y en base a los siguientes , HECHOS PRIMERO: Con fecha 18 de agosto de 2007, Doña R.R.R., ejercitó su derecho de cancelación de sus datos personales contenidos en los ficheros de la entidad B.F.G. Advocats Associats, S.L. En su solicitud indicaba que su nombre y su foto no habían sido retirados de la página web de la entidad denunciada , puesto que ya no era miembro de la plantilla de su firma. SEGUNDO: En fecha 24 de septiembre de 2007, tuvo entrada en esta Agencia reclamación de Doña R.R.R. contra B.F.G. Advocats Associats, S.L. por no haber sido debidamente atendido su derecho de cancelación. TERCERO: Con fecha 13 de noviembre de 2007, se da traslado de la citada reclamación a B.F.G. Advocats Associats, S.L. para que alegara cuanto estimara conveniente a su derecho, manifestando, en síntesis, que habían procedido “a la sustitución de la web en la que aparecía la imagen de la reclamante, y en consecuencia accediendo a lo solicitado por la misma, llevándose a efecto en tal sentido”. CUARTO: Examinadas las alegaciones formuladas por el responsable del fichero, se dan traslado de las mismas a la reclamante en fecha 9 de enero de 2008, sin que haya atendido dicho trámite de audiencia. Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), se han constatado los siguientes HECHOS PROBADOS PRIMERO: En fecha 24 de septiembre de 2007, tuvo entrada en esta Agencia reclamación de Doña R.R.R. contra B.F.G. Advocats Associats, S.L. por no haber sido debidamente atendido su derecho de cancelación. FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la LOPD. SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los

Página 197 de 353

afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 16 de la LOPD dispone que: “1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días . 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación . 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado” CUARTO: El artículo 15.3 del citado Real Decreto 1332/94, determina: ”En el supuesto de que el responsable del fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará motivadamente dentro del plazo señalado en el apartado anterior a fin de que por éste se pueda hacer uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18.1 LOPD). QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación establece en el punto 4 de su Norma Primera: “4. El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción. En el caso de que la solicitud no reúna los requisitos especificados en el apartado tercero, el responsable del fichero deberá solicitar la subsanación de los mismos.” SEXTO: En el presente caso, ha quedado acreditado que la reclamante ejercitó su derecho de cancelación para que eliminaran sus datos personales de la página web de la firma denunciada. Durante el procedimiento de esta Tutela de Derechos se nos ha comunicado que los datos de la reclamante fueron eliminados de la citada página web, pero no se acredita que hayan comunicado dicho extremo a la denunciante. La obligación general del responsable del fichero para el ejercicio de cualquier derecho es contestar expresamente a la solicitud recibida, estimando o desestimando la petición. Esta obligación de contestación expresa procede Página 198 de 353

incluso cuando no existen datos registrados relativos al solicitante, debiendo el responsable informar específicamente d ela inexistencia de datos referentes al interesado en sus ficheros. Por todo lo expuesto, procede estimar, por motivos formales, el presente procedimiento de Tutela de Derechos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ESTIMAR, por motivos formales, la reclamación formulada por Doña R.R.R. contra B.F.G. Advocats Associats, S.L. No obstante, procede la emisión de una certificación por parte de dicha entidad a la reclamante donde acredite que han sido cancelados sus datos personales. SEGUNDO: NOTIFICAR la presente resolución a B.F.G. Advocats Associats, S.L. con domicilio en (C/………………………………..), y a Doña R.R.R. con domicilio en (C/…………………………….). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones.

Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 3 de marzo de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte Página 199 de 353

Procedimiento Nº: TD/00785/2007 RESOLUCIÓN Nº.: R/00319/2008 Vista la reclamación formulada por Dª C.C.C., contra el Mº DEL INTERIOR. D. GRAL DE INSTITUCIONES PENITENCIARIAS. S. GRAL. DE T. Y GESTIÓN PENITENCIARIA, y en base a los siguientes, HECHOS PRIMERO: En fecha 4 de octubre de 2007, tuvo entrada en esta Agencia reclamación de Dª C.C.C. (en lo sucesivo, la reclamante) contra el Mº del Interior. D. Gral de Instituciones Penitenciarias. S. Gral. de T. y Gestión Penitenciaria (en lo sucesivo, la Sdg. de T. y G. Penitenciaria) por no haber sido debidamente atendidos sus derechos de acceso y cancelación de sus datos personales. La reclamante estuvo internada en un centro penitenciario de (.....) por espacio de un mes y salió absuelta de todo el proceso siendo archivado el procedimiento sin responsabilidad de tipo alguno, tras lo cual, solicitó el acceso y la cancelación de sus datos personales ante la Sdg. de T. y G. Penitenciaria, que contestó, una vez transcurrido el plazo legalmente establecido para ello, señalando que no procedía la cancelación de los datos conforme establece el artículo 9.2 del Reglamento Penitenciario. SEGUNDO: Con fecha 21 de noviembre de 2007 se dio traslado de la reclamación al responsable del fichero, que presentó las alegaciones que, a su derecho, estimó convenientes, manifestando que, en relación al derecho de acceso, con esa fecha se procede a dar orden de enviar los datos existentes en esa Dirección General. En cuanto a la cancelación solicitada, “la Comisión Calificadora de Documentos de Documentos Administrativos del Ministerio del Interior, en su reunión del 20 de noviembre de 2002 y tras el procedimiento habitual de valoración de documentos, ya dictaminó que la serie documental que obra en los centros penitenciarios con la denominación Expedientes personales de internos era de conservación permanente, por lo tanto no estaba sujeta a eliminación de ninguno de los expedientes que la componen, y aprobó el plazo de 52 años como plazo de permanencia, por razones de gestión, en los archivos de los centros penitenciarios, a cuya finalización se deben transferir a los Archivos Históricos Provinciales correspondientes”. “Respecto a los datos contenidos en los ficheros automatizados, existe la base de datos denominada Sistema de Información Penitenciaria (SIP), en la que constan esenciales de cada Expediente Personal de Interno que, en soporte papel, conserva el centro penitenciario desde el que ha sido excarcelado el recluso. La base de datos se creó por necesidades de gestión, para localizar los expedientes n papel dispersos por toda la geografía nacional. Por lo tanto, se entiende, que si el dictamen recaído sobre los expedientes ha sido la conservación permanente, las informaciones contenidas en la base de datos deberían serlo también teniendo en cuenta los fines para los que fue creada.” (…) “Esta Resolución se basa: 1. La Ley 16/1985, de 25 de junio, de Patrimonio Histórico Español: (…)

Página 200 de 353

2. Orden de 21 de diciembre de 2000 por la que se crea la Comisión Calificadora de Documentos Administrativos del Ministerio del Interior: (…) - El ejercicio de los derechos de acceso, rectificación y cancelación, referidos a los ficheros que contengan datos de carácter personal, inscritos en el Registro General de Protección de Datos, existentes en los archivos del Ministerio del Interior, se ajustará a lo dispuesto en la Ley Orgánica 15/1999, y en la Ley 16/1985.” TERCERO: Examinadas las alegaciones, se dio traslado de las mismas a la reclamante, que señaló que la propia administración reconoce que no atendió el derecho de acceso solicitado. En cuanto al derecho de cancelación, “…se llega a decir que los únicos que pueden eliminar documentos de la DGIP, son la comisión calificadora de documentos administrativos …”, “la ficha de una persona, el historial de un ciudadano, que además no ha cometido hecho punible alguno no representa un documento patrimonial e histórico de relevancia, al revés su conservación en los registros y su utilización sólo perjudica al interesado, y no tiene relevancia patrimonial o histórica.” CUARTO: Otorgada audiencia al responsable del fichero, éste señaló que lo que se denegó en su día fue la cancelación, en ningún caso el acceso. Asimismo, se procedería a la rectificación de los datos si fueran inexactos; sin embargo, la interesada no alega ni prueba en qué sentido son falsos e inexactos. Los datos se encuentran en una base histórica inactiva, que únicamente se activaría si la persona ingresara de nuevo en prisión, luego no se utilizan. Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), se han constatado los siguientes HECHOS PROBADOS PRIMERO: Dª C.C.C. estuvo internada en un centro penitenciario de (.....) por espacio de un mes y salió absuelta de todo el proceso siendo archivado el procedimiento sin responsabilidad de tipo alguno, tras lo cual, solicitó el acceso y la cancelación de sus datos personales ante el Mº del Interior. D. Gral de Instituciones Penitenciarias. S. Gral. de T. y Gestión Penitenciaria. SEGUNDO: El Mº del Interior. D. Gral de Instituciones Penitenciarias. S. Gral. de T. y Gestión Penitenciaria contestó a Dª C.C.C., una vez transcurrido el plazo legalmente establecido para ello, señalando que no procedía la cancelación de los datos conforme establece el artículo 9.2 del Reglamento Penitenciario. TERCERO: En fecha 4 de octubre de 2007, tuvo entrada en esta Agencia reclamación de Dª C.C.C. contra el Mº del Interior. D. Gral de Instituciones Penitenciarias. S. Gral. de T. y Gestión Penitenciaria por no haber sido

Página 201 de 353

debidamente atendidos sus derechos de acceso y cancelación de sus datos personales. FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la LOPD. SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”. CUARTO: El artículo 12.3 del citado Real Decreto 1332/1994, determina: “3. El responsable del fichero resolverá sobre la petición de acceso en el plazo máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo sin que de forma expresa se responda a la petición de acceso, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18.1 LOPD). QUINTO: El artículo 16 de la LOPD dispone que: “1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación . 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado” SEXTO: El artículo 15.3 del citado Real Decreto 1332/1994, determina:

Página 202 de 353

”En el supuesto de que el responsable del fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará motivadamente dentro del plazo señalado en el apartado anterior a fin de que por éste se pueda hacer uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18.1 LOPD). SÉPTIMO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación establece en el punto 4 de su Norma Primera: “4. El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción. En el caso de que la solicitud no reúna los requisitos especificados en el apartado tercero, el responsable del fichero deberá solicitar la subsanación de los mismos.” OCTAVO: La Ley 15/1985, de 25 de junio, del Patrimonio Histórico Nacional, establece en su artículo 49.2, que: “Forman parte del Patrimonio Documental los documentos de cualquier época generados, conservados o reunidos en el ejercicio de su función por cualquier organismo o entidad de carácter público...”. Por su parte el artículo 55.1 dispone: “La exclusión o eliminación de bienes del Patrimonio Documental y Bibliográfico contemplados en el artículo 49.2 y los demás de utilidad pública deberá ser autorizada por la Administración competente.” Finalmente el artículo 58 establece que: “El estudio y dictamen de las cuestiones relativas a la calificación y utilización de los documentos de la Administración del Estado .... corresponderá a una Comisión Superior Calificadora de Documentos Administrativos… . Asimismo podrán constituirse Comisiones Calificadoras en los Organismos públicos que se determine.” SÉPTIMO: La Orden de 21 de diciembre del 2000 del Ministerio del Interior establece: “Primero.- Se crea la Comisión Calificadora de Documentos Administrativos del Ministerio del Interior, que tiene como finalidad el estudio y dictamen de las cuestiones relativas a la calificación y utilización de los documentos generados y conservados en el Ministerio del Interior, así como la integración en los archivos, y régimen de acceso e inutilidad administrativa”. “Tercero.- Competencias. 1. La comisión ejercerá las siguientes funciones: a)Proponer los plazos de permanencia de los documentos en cada uno de los diferentes tipos de archivos del Ministerio.... Sexto.- Acceso a los documentos”. “2. El ejercicio de los derechos de acceso, rectificación y cancelación, referidos a los ficheros que contengan datos de carácter personal, inscritos en el Registro General de Protección de Datos, existentes en los archivos del Ministerio del Interior, se ajustará a lo dispuesto en la Ley Orgánica 15/1999...”

Página 203 de 353

OCTAVO: En lo referente a los requisitos formales, en el supuesto presente la solicitud de acceso y cancelación tuvo entrada en la Dirección General de Instituciones Penitenciarias el 27 de agosto de 2007 y la contestación al derecho de cancelación es de fecha del día 12 de septiembre de 2007. Por lo tanto, una vez transcurrido el plazo legalmente establecido para ello. Respecto al acceso, no se recibió contestación. En cuanto al fondo del asunto debe recordarse que el artículo 16.3 de la LOPD determina que la cancelación dará lugar al bloqueo de datos, conservándose únicamente a disposición de Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión de los mismos. El artículo 1 del Real Decreto 190/1996, de 9 de febrero, por el que se aprueba el Reglamento Penitenciario, establece el ámbito de su aplicación en el sentido siguiente: “1. El presente Reglamento de desarrollo de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, regula la ejecución de las penas y medidas de seguridad privativas de libertad, así como el régimen de los detenidos a disposición judicial y de los presos preventivos, siendo de aplicación directa en todo el territorio del Estado. 2. No obstante, en aquellas Comunidades Autónomas que ejerzan competencias de ejecución de la legislación penitenciaria estatal, en virtud de su potestad de autoorganización, será de aplicación supletoria lo dispuesto en aquellos preceptos de los Títulos XI y XII que regulen cuestiones organizativas o relativas al régimen económico-administrativo de los establecimientos penitenciarios, así como aquellas disposiciones contenidas en otros Títulos que regulen aspectos de la misma naturaleza. 3. El presente Reglamento se aplicará con carácter supletorio a los establecimientos penitenciarios militares”. Esto es, sólo se aplicará a las personas privadas de libertad recluidas en centros penitenciarios, los detenidos a disposición judicial y los presos preventivos. Ninguna de estas situaciones se da en el caso de la reclamante ya que no ha sido rebatido que permaneciera privado de libertad provisionalmente no siendo condenado, por lo que, no puede considerarse una reclusa. Por otro lado, la Dirección General de Instituciones Penitenciarias justifica el mantenimiento de los datos porque tienen un valor histórico y estadístico, así como por necesidades de gestión. Pues bien, el valor histórico debe venir avalado por lo dispuesto en la Ley 16/1985, de 25 de junio, de Regulación del Patrimonio Histórico Nacional. Asimismo, el valor estadístico ha de justificarse en lo dispuesto en la Ley 12/1989, de 9 de mayo, de Función Estadística Pública. Las remisiones al Reglamento Penitenciario al igual que las contenidas en la LOPD, referidas al tratamiento de datos con fines históricos o estadísticos (artículo 4, apartados 2 y 5 de la LOPD) deben interpretarse conforme a las leyes reguladoras de tales materias y justificarse por los responsables del tratamiento por referencia a habilitaciones concretas de las mismas, extremos éstos que no han sido puestos de manifiesto por la Dirección General de Instituciones Penitenciarias. Así se desprende de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, en la cual se recoge expresamente: “El derecho a la protección Página 204 de 353

de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales”. Añadiendo la citada Sentencia, en cuanto al apartado 2 del artículo 24 impugnado, que “en relación con el derecho fundamental a la intimidad hemos puesto de relieve no sólo la necesidad de que sus posibles limitaciones estén fundadas en una previsión legal que tenga justificación constitucional y que sean proporcionadas sino que la Ley que restrinja este derecho debe expresar con precisión todos y cada uno de los presupuestos materiales de la medida limitadora. De no ser así, mal cabe entender que la resolución judicial o el acto administrativo que la aplique estén fundados en la Ley, ya que lo que ésta ha hecho, haciendo dejación de sus funciones, es apoderar a otros Poderes Públicos para que sean ellos quienes fijen los límites al derecho fundamental. De igual modo, respecto al derecho a la protección de datos personales cabe estimar que la legitimidad constitucional de la restricción de este derecho no puede estar basada, por sí sola, en la actividad de la Administración Pública. Ni es suficiente que la Ley apodere a ésta para que precise en cada caso los límites, limitándose a indicar que deberá hacer tal precisión cuando concurra algún derecho o bien constitucionalmente protegido. Es el legislador quien debe determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse y además, es él quien debe hacerlo mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias... El empleo de en el art. 24.2 LOPD de la expresión “interés público” como fundamento de la imposición de límites a los derechos fundamentales del art. 18.1 y 4 CE, encierra un grado de incertidumbre aún mayor. Basta reparar en que toda actividad administrativa, en último término, persigue la salvaguardia de intereses generales, cuya consecución constituye la finalidad a la que debe servir con objetividad la Administración con arreglo al art. 103.1 CE ... El apartado 2 del art. 24 LOPD establece que los derechos de acceso a los datos (art. 15.1 y 2 LOPD) y los de rectificación y cancelación de los mismos (art. 16.1 LOPD) podrán denegarse también si, “ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante... intereses de terceros más dignos de protección”. Resulta evidente que tras lo ya dicho, a la vista de que este inciso permite al responsable del fichero público negar a un interesado el acceso, rectificación y cancelación de sus datos personales, y al margen de que esos intereses puedan identificarse con los derechos fundamentales de ese tercero o con cualquier otro interés que pudiere esgrimirse, semejante negativa conlleva abandonar a la decisión administrativa la fijación de un límite al Página 205 de 353

derecho fundamental a la protección de datos de carácter personal sin ni siquiera establecer cuales puedan ser esos intereses ni las circunstancias en las que quepa hacerlos valer para restringir de esa forma este derecho fundamental.” Y concluye declarando inconstitucional el apartado 2 del art.24 LOPD. En definitiva, la Dirección General de Instituciones Penitenciarias ha justificado la negativa a cancelar los datos de la reclamante en el Acuerdo de la Comisión de Clasificación de Documentos del Ministerio del Interior que, en virtud del valor histórico, estadístico, y las necesidades de gestión, calificó “de conservación permanente” tanto los expedientes personales de los internos en centros penitenciarios, como el fichero automatizado denominado “SIPINTERNOS”. No puede admitirse tal habilitación legal, por cuanto ambos ficheros recogen unos datos que, en el caso de la reclamante, son inexactos y no se encuentran actualizados, habida cuenta de que ésta no se encuentra “interna” en ningún institución del sistema penitenciario. Tampoco puede admitirse como argumento para denegar la cancelación solicitada la referencia genérica a un “supuesto valor histórico o estadístico” que dichos datos pudieran llegar a alcanzar, y mucho menos las “necesidades de gestión” propias de la Administración Penitenciaria, ya que el mantenimiento íntegro de datos con dichos fines tiene un carácter excepcional regulado por exigencia del artículo 4.5 de la LOPD. En consecuencia no cabe admitir los motivos esgrimidos por la Dirección General de Instituciones Penitenciarias para denegar la cancelación de datos solicitada por la reclamante habida cuenta que no puede motivarse la misma en una ausencia de regulación por parte del Reglamento Penitenciario, al tiempo que debe rechazarse que los datos de la afectada continúen en un fichero en el que constan los datos personales de internos (o personas recluidas) en Instituciones Penitenciarias, ya que, en el caso de la reclamante, son datos inexactos. Por último, debe apuntarse que el vigente Código Penal establece en su artículo 136 el derecho de los condenados a obtener del Ministerio de Justicia la cancelación de sus antecedentes penales, una vez cumplidos determinados requisitos y plazos. En consecuencia y reconocido tal derecho respecto de los condenados, cabe atender el derecho a la cancelación de los datos de la reclamante, de los ficheros de la Dirección General de Instituciones Penitenciarias como en el fichero denominado Sistema de Información Penitencia (SIP), habida cuenta de que, en su caso, no se trata de una condenada por los Tribunales de Justicia, sino de una ciudadana que permaneció privada de libertad provisional sin condena por parte del órgano judicial correspondiente. En consecuencia, procede la estimación de la tutela solicitada, debiéndose llevar a cabo la cancelación y el consiguiente bloqueo de los datos personales de la reclamante existentes en los ficheros a que se hace referencia en la presente resolución.

Página 206 de 353

En cuanto al derecho de acceso solicitado, durante la tramitación del procedimiento, el Mº del Interior. D. Gral de Instituciones Penitenciarias. S. Gral. de T. y Gestión Penitenciaria señaló que había dado órdenes de enviar los datos existentes en esa Dirección General. No obstante, no se acredita dicho extremo. Por lo tanto, procede estimar la presente reclamación de Tutela de Derechos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ESTIMAR la reclamación formulada por Dª C.C.C. e instar al Mº DEL INTERIOR. D. GRAL DE INSTITUCIONES PENITENCIARIAS. S. GRAL. DE T. Y GESTIÓN PENITENCIARIA para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la reclamante certificación en la que se facilite el acceso completo a sus datos ejercido por éste, pudiendo incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD. Las actuaciones realizadas como consecuencia de la presente resolución deberán ser comunicadas a esta Agencia en idéntico plazo. SEGUNDO: ESTIMAR la reclamación formulada por Dª C.C.C. e instar al Mº DEL INTERIOR. D. GRAL DE INSTITUCIONES PENITENCIARIAS. S. GRAL. DE T. Y GESTIÓN PENITENCIARIA para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la reclamante certificación en la que se acredite que ha cancelado todos los datos, pudiendo incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD. Las actuaciones realizadas como consecuencia de la presente resolución deberán ser comunicadas a esta Agencia en idéntico plazo. TERCERO: NOTIFICAR la presente resolución al Mº DEL INTERIOR. D. GRAL DE INSTITUCIONES PENITENCIARIAS. S. GRAL. DE T. Y GESTIÓN PENITENCIARIA con domicilio en C/ Alcalá. 38 - 28014 Madrid (Madrid), y a Dª C.C.C. con domicilio en (C/...................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar Página 207 de 353

desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 24 de marzo de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Página 208 de 353

Procedimiento Nº: TD/00813/2007 RESOLUCIÓN Nº.: R/00331/2008 Vista la reclamación formulada por D. H.H.H., contra el Ministerio de Defensa y en base a los siguientes, HECHOS En fecha 15 de octubre de 2007, tuvo entrada en esta Agencia reclamación de D. H.H.H. contra el Ministerio de Defensa por no haber sido debidamente atendido su derecho de acceso. Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), se han constatado los siguientes HECHOS PROBADOS PRIMERO: Con fecha 17/08/2007, D. H.H.H. se dirigió al Ministerio de Defensa, solicitando el ejercicio del derecho de acceso a sus datos personales recogidos en los Informes Personales de Calificación, IPEC, de los años 2001, 2002, 2003, 2004, 2005, y 2006. SEGUNDO: Con fecha 05/09/2007, el Ministerio de Defensa contestó al reclamante denegándole el derecho de acceso solicitado, amparándose en los artículos 97 y ss. de la Ley 17/1999, de 18 de mayo, de Régimen de Personal de las Fuerzas Armadas; así como el artículo 5 de la Orden Ministerial Num. 74/1993, de 8 de julio, por la que se establece el modelo de IPEC, ya que los citados documentos contienen información que es de uso y carácter estrictamente confidencial. TERCERO: Con fecha 15/10/2007, D. H.H.H., en lo sucesivo el reclamante, interpuso ante esta Agencia Española de Protección de Datos reclamación, al haberle sido denegado el derecho de acceso solicitado. CUARTO: Con fecha 30/11/2007, se trasladó dicha reclamación al Ministerio de Defensa. Dirección de Personal del Cuartel General del Ejército, que presento las alegaciones que, a su derecho, estimo convenientes, manifestando que: • El artículo 2, apartado 3 c de la LOPD, establece que: “Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas.” • Asimismo, el artículo 2, apartado f del Real Decreto 1332/1994, de 20 de junio, establece que: “de conformidad con lo dispuesto en el artículo 2.3 de la Página 209 de 353

Ley Orgánica 5/1992 se regirán por las disposiciones que, en materia de protección de datos, contienen las leyes y reglamentos respectivos, los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el artículo 68 de la Ley 17/1989, de 19 de julio (RCL 1989\1613), reguladora del Régimen del personal militar profesional. • Por la existencia de este específico régimen legal se resolvió que los documentos solicitados tenían carácter confidencial y por esa razón no podía accederse a lo solicitado. FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la LOPD. SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”. CUARTO: El artículo 12.3 del citado Real Decreto 1332/94, determina: “3. El responsable del fichero resolverá sobre la petición de acceso en el plazo máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo sin que de forma expresa se responda a la petición de acceso, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18.1 LOPD). QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación establece en el punto 4 de su Norma Primera: “4. El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción. En el caso de que la solicitud no reúna los requisitos especificados en el apartado tercero, el responsable del fichero deberá solicitar la subsanación de los mismos.” SEXTO: En el presente caso, ha quedado acreditado que con fecha 17/08/2007, D. H.H.H. se dirigió al Ministerio de Defensa, solicitando el ejercicio del derecho de acceso a sus datos personales recogidos en los Informes Página 210 de 353

Personales de Calificación y que, con fecha 05/09/2007, dentro del plazo legalmente establecido, el Ministerio de Defensa contestó al reclamante denegándole el derecho de acceso solicitado, amparándose en los artículos 97 y ss. de la Ley 17/1999, de 18 de mayo, de Régimen de Personal de las Fuerzas Armadas; así como el artículo 5 de la Orden Ministerial Num. 74/1993, de 8 de julio, por la que se establece el modelo de Informe Personal de Calificación para el Personal Militar Profesional, debido a que los citados documentos contienen información que es de uso y carácter estrictamente confidencial. Asimismo, el artículo 2, apartado 3 c de la LOPD, establece que: “Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas.” Por otra parte, el artículo 2, apartado f del Real Decreto 1332/1994, de 20 de junio, establece que: “de conformidad con lo dispuesto en el artículo 2.3 de la Ley Orgánica 5/1992 se regirán por las disposiciones que, en materia de protección de datos, contienen las leyes y reglamentos respectivos, los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el artículo 68 de la Ley 17/1989, de 19 de julio (RCL 1989\1613), reguladora del Régimen del personal militar profesional. En consecuencia, procede desestimar la presente reclamación de Tutela de Derechos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DESESTIMAR la reclamación formulada por D. H.H.H. contra el Ministerio de Defensa. SEGUNDO: NOTIFICAR la presente resolución al Ministerio de Defensa. Dirección de Personal del Cuartel General del Ejército. Documentación y Recompensas. Palacio de Buenavista, con domicilio en C/ Prim, 6-8 - 28004 Madrid y a D. H.H.H. con domicilio en (C/........................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Página 211 de 353

Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 31 de marzo de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 212 de 353

Procedimiento Nº: TD/00224/2008 RESOLUCIÓN Nº.: R/00844/2008 Vista la reclamación formulada por Dª. S.S.S., contra REGISTRO CENTRAL DE PENADOS Y REBELDES, y en base a los siguientes,

HECHOS PRIMERO: En fecha 24 de enero de 2008, tuvo entrada en esta Agencia reclamación de Dª S.S.S. (en lo sucesivo, la reclamante) contra el Registro Central de Penados y Rebeldes por no haber sido debidamente atendido su derecho de acceso a sus datos personales. La reclamante solicitó el acceso a sus datos personales, “por curiosidad personal”, ante el Registro Central de Penados y Rebeldes con fecha 31 de octubre de 2007. El organismo le remitió contestación, con fecha 30 de noviembre de 2007, denegando motivadamente el acceso solicitado. SEGUNDO: Con fecha 01 de abril de 2008 se dio traslado de la reclamación al responsable del fichero, que presentó las alegaciones que, a su derecho, estimó convenientes, manifestando que el Registro Central de Penados y Rebeldes es un registro judicial, no es público, no pudiéndose aplicar el derecho de acceso recogido en la Ley Orgánica de Protección de Datos. Sólo es posible expedir este tipo de certificado cuando existe alguna normativa legal que lo exija, para su presentación en un procedimiento. TERCERO: Examinadas las alegaciones, se dio traslado de las mismas a la reclamante, que no contestó. Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), se han constatado los siguientes HECHOS PROBADOS PRIMERO: Dª S.S.S. solicitó el acceso a sus datos personales, “por curiosidad personal”, ante el Registro Central de Penados y Rebeldes con fecha 31 de octubre de 2007. El organismo le remitió contestación, con fecha 30 de noviembre de 2007, denegando motivadamente el acceso solicitado. SEGUNDO: En fecha 24 de enero de 2008, tuvo entrada en esta Agencia reclamación de Dª S.S.S. contra el Registro Central de Penados y Rebeldes por no haber sido debidamente atendido su derecho de acceso a sus datos personales. FUNDAMENTOS DE DERECHO

Página 213 de 353

PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la LOPD. SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”. CUARTO: El artículo 12.3 del citado Real Decreto 1332/94, determina: “3. El responsable del fichero resolverá sobre la petición de acceso en el plazo máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo sin que de forma expresa se responda a la petición de acceso, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18.1 LOPD). QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación establece en el punto 4 de su Norma Primera: “4. El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción. En el caso de que la solicitud no reúna los requisitos especificados en el apartado tercero, el responsable del fichero deberá solicitar la subsanación de los mismos.” SEXTO: El artículo 2.3.d) de la LOPD establece: c. Jorge Juan 6 28001 Madrid www.agpd.es 3/4 “3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales:” “d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.” SÉPTIMO: En el presente caso, ha quedado acreditado que la reclamante solicitó el acceso a sus datos personales, “por curiosidad personal”, ante el Registro Central de Penados y Rebeldes, y que este organismo le contestó denegando motivadamente dicho acceso. Por todo ello, procede desestimar la presente reclamación de Tutela de Derechos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: Página 214 de 353

PRIMERO: DESESTIMAR la reclamación formulada por Dª S.S.S. contra REGISTRO CENTRAL DE PENADOS Y REBELDES . SEGUNDO: NOTIFICAR la presente resolución al REGISTRO CENTRAL DE PENADOS Y REBELDES con domicilio en AVDA. ALFONSO MOLINA, 1 15006 A CORUÑA (A Coruña), y a Dª S.S.S. con domicilio en (C/…………………………………..). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 10 de julio de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 215 de 353

Procedimiento Nº: TD/00589/2008 RESOLUCIÓN Nº.: R/01061/2008 Vista la reclamación formulada por Dª. A.A.A., contra Dª R.R.R. y Dª B.B.B., Letradas del Ilustre Colegio de Abogados de Las Palmas, y en base a los siguientes, HECHOS PRIMERO: En fecha 18 de febrero de 2008, tuvo entrada en esta Agencia reclamación de Dª A.A.A. (en lo sucesivo, la reclamante) contra Dª R.R.R. y Dª B.B.B., Letradas del Ilustre Colegio de Abogados de Las Palmas (en lo sucesivo, las Letradas) por no haber sido debidamente atendido su derecho de sus datos personales. La reclamante contrató a las Letradas para la tramitación en su nombre de un asunto litigioso. Posteriormente, tras rescindir el contrato con las Letradas, les solicitó a éstas la cancelación de sus datos personales, las cuales le remitieron un escrito manifestando que procedían a la cancelación del nombre, domicilio y número de DNI, únicos datos que sobre ella tenían. La reclamante señaló que las Letradas tienen datos sobre su salud y otras circunstancias personales. SEGUNDO: Con fecha 9 de mayo de 2008 se dio traslado de la reclamación al responsable del fichero, que presentó las alegaciones que, a su derecho, estimó convenientes, manifestando que la intervención de Dª B.B.B. sólo fue de asesoramiento en los primeros días de vínculo con la misma, siendo Dª R.R.R. la Letrada que la defendía. Señalaron que la información a que alude la reclamante fue destruida, “ya que de toda ella había copia, testimonio u original en el juzgado”. “Asimismo se ha de manifestar que una vez solicitada por ésta su minuta y factura, debidamente detalladas de los servicios prestados, se procedió a acudir al juzgado para acceder a dicha información, y así poder confeccionar la misma”. TERCERO: Examinadas las alegaciones, se dio traslado de las mismas a la reclamante, que señaló, entre otras cuestiones, que “las denunciadas continúan conservando la documentación personal mía y de mi familia en su despacho. Si bien es cierto que la mayoría de los originales se hallan en el juzgado, existen otros muchos documentos personales familiares que ahora niegan tener”. Asimismo, manifestó que no se le comunicó la destrucción de la documentación. Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), se han constatado los siguientes

Página 216 de 353

HECHOS PROBADOS PRIMERO: Dª A.A.A. contrató a Dª R.R.R. y Dª B.B.B., Letradas del Ilustre Colegio de Abogados de Las Palmas, para la tramitación en su nombre de un asunto litigioso. Posteriormente, tras rescindir el contrato con las Letradas, les solicitó a éstas la cancelación de sus datos personales, las cuales le remitieron escrito manifestando que procedían a la cancelación del nombre, domicilio y número de DNI, únicos datos que sobre ella tenían. Dª A.A.A. señaló que las Letradas tienen datos sobre su salud y otras circunstancias personales. SEGUNDO: En fecha 18 de febrero de 2008, tuvo entrada en esta Agencia reclamación de Dª A.A.A. contra Dª R.R.R. y Dª B.B.B., Letradas del Ilustre Colegio de Abogados de Las Palmas por no haber sido debidamente atendido su derecho de sus datos personales. FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la LOPD. SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 16 de la LOPD dispone que: “1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación. 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.” CUARTO: El artículo 15.3 del citado Real Decreto 1332/1994, determina:

Página 217 de 353

”En el supuesto de que el responsable del fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará motivadamente dentro del plazo señalado en el apartado anterior a fin de que por éste se pueda hacer uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18.1 LOPD). QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación establece en el punto 4 de su Norma Primera: “4. El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción. En el caso de que la solicitud no reúna los requisitos especificados en el apartado tercero, el responsable del fichero deberá solicitar la subsanación de los mismos.” SEXTO: El punto 1 de la Norma Primera de la citada Instrucción 1/1998 establece: “Los derechos de acceso a los ficheros automatizados, así como los de rectificación y cancelación de datos son personalísimos, y serán ejercidos por el afectado frente al responsable del fichero por lo que será necesario que el afectado acredite su identidad frente a dicho responsable. Estos derechos se ejercerán sin otras limitaciones que las que prevén la Ley Orgánica 5/1992 y el Real Decreto 1332/1994, de 20 de junio. Podrá, no obstante, actuar el representante legal del afectado cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos, en cuyo caso será necesario que el representante legal acredite tal condición. SÉPTIMO: En el presente caso, ha quedado acreditado que la reclamante solicitó la cancelación de sus datos personales ante las Letradas, y que éstas le remitieron un escrito señalando que procedían a la cancelación solicitada, manteniéndose bloqueados esos datos para, entre otras cuestiones, la reclamación de honorarios. Por ello, figuran en la facturación de los servicios prestados que recibió posteriormente, no habiendo evidencia de la existencia de otros datos. Por lo expuesto, procede desestimar la presente reclamación de Tutela de Derechos. El presente procedimiento tiene por objeto determinar las actuaciones contrarias a los ejercicios de los derechos ejercidos por la reclamante. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DESESTIMAR la reclamación formulada por Dª A.A.A. contra Dª R.R.R. y Dª B.B.B., Letradas del Ilustre Colegio de Abogados de Las Palmas.

Página 218 de 353

SEGUNDO: NOTIFICAR la presente resolución a Dª R.R.R. Y Dª B.B.B., Letradas del Ilustre Colegio de Abogados de Las Palmas con domicilio en (C/…………………………………), y a Dª A.A.A. con domicilio en (C/……………………………………). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Castellón de la Plana, 13 de agosto de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 219 de 353

Procedimiento Nº: TD/00816/2008 RESOLUCIÓN Nº.: R/01566/2008 Vista la reclamación formulada por Dª. P.P.P., contra el REGISTRO CENTRAL DE PENADOS Y REBELDES, y en base a los siguientes, HECHOS PRIMERO: En fecha 8 de mayo de 2008, tuvo entrada en esta Agencia reclamación de Dª P.P.P. (en lo sucesivo, la reclamante) contra el Registro Central de Penados y Rebeldes (en lo sucesivo, Registro Central) por no haber sido debidamente atendido su derecho de acceso a sus datos personales. Con fecha 08 de agosto de 2007 la reclamante presentó ante el Registro Central una solicitud de antecedentes penales. La reclamante, con fechas 08 de enero y 07 de febrero de 2008, se dirigió nuevamente al Registro Central reiterando su solicitud para la emisión del correspondiente certificado. Con fecha 27 de marzo de 2008 la reclamante presentó ante el Registro Central una solicitud de acceso a sus datos personales, que le contestó adjuntándole la normativa vigente para la expedición de certificados de antecedentes penales. SEGUNDO: Con fecha 16 de junio de 2008 se dio traslado de la reclamación al responsable del fichero, que presentó las alegaciones que, a su derecho, estimó convenientes, manifestando que, con fecha 08 de agosto de 2007 la reclamante solicitó un certificado de antecedentes penales para tramitar un expediente de nacionalidad. En el Registro Central no consta esta petición, pero en todo caso, desde el día 09 de agosto de 2007 no era necesaria la aportación del citado certificado, según se establece en la Resolución de 07 de mayo de 2007 de la Subsecretaría, por la que se aprueban los modelos normalizados de solicitud en el ámbito del Ministerio de Justicia y se dictan instrucciones sobre su utilización. “Con fecha 07 de febrero de 2008 reclama dicho certificado que de acuerdo con la información existente fue solicitado telemáticamente el 03 de marzo de 2008 por la mencionada Dirección General, con consentimiento de la interesada, que fue prestado en la fase de alegaciones, de conformidad con el procedimiento anteriormente señalado. Con fecha 04 de marzo se remitió la contestación a esta petición, comunicándose desde el Registro que no existen antecedentes en relación con la mencionada persona. La Dirección General de los Registros y Notariado cursa las mencionadas peticiones contando siempre con el consentimiento de los interesados”. Con fecha 27 de mayo de 2008 la interesada solicitó el acceso a sus datos personales, de conformidad con lo previsto en el artículo 15 de la Ley Orgánica 15/1999, de 13 de diciembre, a lo que desde la Sección de Antecedentes del Registro se le contestó “adjuntando la normativa vigente para la expedición del certificado de Antecedentes Penales entendiendo que era esto lo que se solicitaba”. Página 220 de 353

Las inscripciones de antecedentes penales en las distintas Secciones del Registro Central de Penados y Rebeldes no serán públicas. Durante su vigencia sólo se emitirán certificaciones con las limitaciones y garantías previstas en sus normas específicas y en los casos establecidos por la Ley. La expedición del certificado de antecedentes penales a instancia del interesado supone el pago de una tasa cuya cuantía fija cada año la Ley de Presupuestos Generales del Estado. TERCERO: Examinadas las alegaciones, se dio traslado de las mismas a la reclamante, que señaló que su solicitud se presentó con anterioridad a la entrada en vigor, por lo que se le debería emitir el certificado dado que, además, pagó las tasas correspondientes. CUARTO: Otorgada audiencia al responsable del fichero, éste no contestó. Realizadas las actuaciones procedimentales previstas en el artículo 17 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), se han constatado los siguientes HECHOS PROBADOS PRIMERO: Con fecha 08 de agosto de 2007 Dª P.P.P. presentó ante el Registro Central de Penados y Rebeldes una solicitud de antecedentes penales. SEGUNDO: Dª P.P.P., con fechas 08 de enero y 07 de febrero de 2008, se dirigió nuevamente al Registro Central de Penados y Rebeldes reiterando su solicitud para la emisión del correspondiente certificado. TERCERO: Con fecha 27 de marzo de 2008 Dª P.P.P. presentó ante el Registro Central de Penados y Rebeldes una solicitud de acceso a sus datos personales, que le contestó adjuntándole la normativa vigente para la expedición de certificados de antecedentes penales. CUARTO: En fecha 8 de mayo de 2008, tuvo entrada en esta Agencia reclamación de Dª P.P.P. contra el Registro Central de Penados y Rebeldes por no haber sido debidamente atendido su derecho de acceso a sus datos personales. FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la LOPD. SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los

Página 221 de 353

afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”. CUARTO: El artículo 12.3 del citado Real Decreto 1332/1994, determina: “3. El responsable del fichero resolverá sobre la petición de acceso en el plazo máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo sin que de forma expresa se responda a la petición de acceso, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992” (artículo 18.1 LOPD). QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación establece en el punto 4 de su Norma Primera: “4. El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción. En el caso de que la solicitud no reúna los requisitos especificados en el apartado tercero, el responsable del fichero deberá solicitar la subsanación de los mismos.” SEXTO: El artículo 2.3 de la LOPD establece: “3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: a) Los ficheros regulados por la legislación de régimen electoral. c. Jorge Juan 6 28001 Madrid www.agpd.es 4/5 b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública. c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas. d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes. e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.” SÉPTIMO: En el presente caso, ha quedado acreditado que la reclamante solicitó un certificado de antecedentes penales ante el Registro Central de Penados y Rebeldes, reiterando posteriormente dicha solicitud.

Página 222 de 353

En relación al ejercicio del derecho de acceso presentado por la reclamante, hay que tener en cuenta lo establecido en el art. 2.3 de la LOPD, ya citado, que establece que el Registro Central se regirá por sus disposiciones específicas. El presente procedimiento tiene por objeto determinar las actuaciones contrarias a los ejercicios de los derechos solicitados por el reclamante. Por todo ello, procede desestimar la presente reclamación de Tutela de Derechos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DESESTIMAR la reclamación formulada por Dª P.P.P. contra el REGISTRO CENTRAL DE PENADOS Y REBELDES. SEGUNDO: NOTIFICAR la presente resolución al REGISTRO CENTRAL DE PENADOS Y REBELDES con domicilio en SAN BERNARDO 45 - 28015 MADRID (Madrid), y a Dª P.P.P. con domicilio en (C/……………………………….). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado Página 223 de 353

5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 17 de noviembre de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 224 de 353

Procedimiento Nº: TD/01663/2008 RESOLUCIÓN Nº.: R/00185/2009 Vista la reclamación formulada por D. G.G.G., contra F.F.F. ABOGADOS, y en base a los siguientes, HECHOS PRIMERO: Con fecha 29 de julio de 2008 D. G.G.G. solicitó, entre otras cuestiones, el acceso a sus datos personales ante F.F.F. Abogados. En relación al acceso solicitado, D. G.G.G., trabajador de F.F.F. Abogados, en su calidad de “Cargo 1” de la Comunidad de (c/..................), remitió un escrito a D. G.G.G. señalando que no poseen datos de él en sus ficheros, “…dado que la titularidad del piso xx se la tenemos adjudicada a otro comunero.” “Para su información, le recuerdo que en todo caso la que actúa como responsable del fichero de la Agencia Española de Protección de Datos es la Presidencia de la Comunidad, en calidad de representante, mientras que el “Cargo 1” es simplemente el encargado del tratamiento.” SEGUNDO: En fecha 8 de septiembre de 2008, tuvo entrada en esta Agencia reclamación de D. G.G.G. contra F.F.F. Abogados por no haber sido debidamente atendido su derecho de acceso a sus datos personales contenidos en los ficheros de la entidad. Realizadas las actuaciones procedimentales previstas en el artículo 117 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en lo sucesivo LOPD), se han constatado los siguientes FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la LOPD. SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”. CUARTO: El artículo 29.1 del citado Real Decreto 1720/2007, determina: “El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.”

Página 225 de 353

QUINTO: Por su parte, la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación establece en el punto 4 de su Norma Primera: “4. El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción. En el caso de que la solicitud no reúna los requisitos especificados en el apartado tercero, el responsable del fichero deberá solicitar la subsanación de los mismos.” SEXTO: El artículo 5.i) del citado Real Decreto 1720/2007 establece: “i) Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.” SÉPTIMO: En el presente caso, ha quedado acreditado que D. G.G.G. solicitó, entre otras cuestiones, el acceso a sus datos personales ante F.F.F. Abogados, y que esta entidad le contestó, dentro del plazo legalmente establecido, señalando que en sus ficheros no posee ningún dato suyo. Además le indicó que actúa como encargado de tratamiento del fichero cuyo responsable es la Presidencia de la Comunidad de propietarios. El presente procedimiento tiene por objeto determinar las actuaciones contrarias a los ejercicios de los derechos solicitados por el reclamante. El resto de las cuestiones planteadas por éste quedan fuera del ámbito de materias reguladas por el procedimiento de Tutelas de Derechos. Por todo ello, procede archivar la presente reclamación de Tutela de Derechos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ARCHIVAR la reclamación formulada por D. G.G.G. contra F.F.F. ABOGADOS. SEGUNDO: NOTIFICAR la presente resolución a D. G.G.G... De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Página 226 de 353

Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 9 de febrero de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 227 de 353

Procedimiento Nº: TD/00941/2010 RESOLUCIÓN Nº.: R/01695/2010 Vista la reclamación formulada el 24 de junio de 2010 ante esta Agencia por DON A.A.A. contra la SUBDIRECCIÓN GENERAL DE INSTITUCIONES PENITENCIARIAS, por no haber sido debidamente atendido su derecho de acceso en relación con criterios de inclusión en el fichero FIES5 (Fichero Internos de Especial Seguimiento), en base a los siguientes FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo, LOPD). SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”. CUARTO: El artículo 5.1.f) del RLOPD dispone la siguiente definición: “f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.” QUINTO: En el presente caso, examinada la reclamación presentada, se comprueba que la petición del reclamante es que se le facilite los criterios o argumentadas por la Subdirección General de Instituciones Penitenciarias para incluir al interesado en el fichero FIES5. Hay que señalar que no entra dentro del ámbito competencial de la Agencia Española de Protección de Datos dirimir las diferencias que subyacen entre las partes, esto es la existencia o no de motivos para la inclusión el citado fichero, ni entrar en valoraciones respecto a dichos motivos dado que estos no son considerados datos de carácter personal. Por lo expuesto, procede inadmitir la presente reclamación de Tutela de Derechos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: INADMITIR la reclamación formulada por DON A.A.A. contra la Página 228 de 353

SUBDIRECCIÓN GENERAL DE INSTITUCIONES PENITENCIARIAS. SEGUNDO: NOTIFICAR la presente resolución a DON A.A.A.. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, de septiembre de 2010 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 229 de 353

Procedimiento Nº: TD/00961/2010 RESOLUCIÓN Nº.: R/02341/2010 Vista la reclamación formulada por DON B.B.B., contra DOÑA A.A.A., por no haber sido debidamente atendido su derecho de acceso en relación con documentos personales que obran en poder del despacho de servicios jurídicos Trabado Abogados, y en base a los siguientes, HECHOS PROBADOS PRIMERO: Con fecha 21 de mayo de 2010, DON B.B.B. ejercitó ante DOÑA A.A.A. el derecho de acceso a sus datos personales, dado que actuaba en calidad de abogado de la parte demandada en un proceso mantenido por el interesado ante el Juzgado de 1ª Instancia, nº 7 de Oviedo. Con fecha 26 de mayo de 2010, el responsable del fichero, contestó a la solicitud de acceso indicando que los datos del interesado no aparecían en sus archivos de clientes y partes contrarias. Asimismo, le indicaba que se abstuviera a remitir nuevas comunicaciones a su despacho, salvo que deseara contratar sus servicios profesionales. SEGUNDO: Con fecha 10 de junio de 2010 tuvo entrada en esta Agencia, reclamación de DON B.B.B. contra DOÑA A.A.A. por no haber sido debidamente atendido su derecho de acceso.

FUNDAMENTOS DE DERECHO PRIMERO: La competencia para resolver la presente reclamación corresponde al Director de la Agencia Española de Protección de Datos, de acuerdo con el artículo 37.d), en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo, LOPD). SEGUNDO: El artículo 18.1 de la LOPD señala que “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 15.1 de la LOPD dispone que “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”. CUARTO: El artículo 29.1 del RLOPD determina: “1. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido este plazo sin que de forma expresa se responda a a petición de acceso, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos Página 230 de 353

de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo.” QUINTO: En relación con el derecho de acceso ejercitado por el interesado, hay que analizar en primer lugar, la existencia de obligación por parte del reclamado, en calidad de abogado en ejercicio que dispone datos del afectado, de atender la solicitud. En segundo lugar tenemos que analizar la posibilidad de denegar el derecho de acceso a los datos solicitados, así como la obligación de informar sobre el tratamiento de los datos y el requisito del consentimiento previo. Cabe señalar respecto a la primera cuestión, que la reclamada en calidad de abogado en ejercicio que representa a la parte demandada en un proceso mantenido con el interesado, por lo que dispone de datos del mismo, se encuentra afectada por lo dispuesto en el artículo 15 de la LOPD, en la medida en que no entre en colisión con otros derechos prevalentes, cuestión que se analizará con posteridad. En este sentido, la reclamada, como responsable de fichero o tratamiento de los datos referidos al oponente de uno de sus clientes en el seno de un proceso judicial, debe contestar al solicitante que ejercite los derechos amparados por la LOPD. Respecto a la segunda cuestión planteada, ha de analizarse si los abogados y procuradores habrán de recabar el consentimiento de sus clientes y de la contraparte de los mismos en los procesos en que aquellos les confieran su representación o defensa. Como regla general, la inclusión de los datos de los clientes y sus oponentes en un fichero supondrá un tratamiento de datos de carácter personal, que requeriría el consentimiento del afectado. En lo referente al tratamiento de los datos de los clientes, podrá efectuarse el mismo sin consentimiento del afectado, a tenor de los establecido en el artículo 6.2. de la LOPD, que excluye del consentimiento los supuestos en que los datos “se refierana a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”. El problema se plantea en el supuesto de que los datos se refieran a los oponentes de los clientes del abogado o procurador, dado que en ese caso el tratamiento resulta absolutamente imprescindible para la asistencia letrada al cliente y su representación procesal, si bien ese tratamiento pudiera chocar con el derecho a la protección de datos de la persona cuyos datos son objeto de tratamiento. En este caso surgiría una colisión entre dos derechos fundamentales: por un lado el derecho a la protección de datos de carácter personal, derivado del artículo 18 de la Constitución y consagrado como derecho autónomo e informador del texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre; y por otro lado el derecho a la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24 de la Constitución, lo que implica para su efectividad la asistencia letrada y representación procesal. Como ha dicho el Tribunal Constitucional, este derecho “comporta de forma esencial el que el interesado pueda encomendar su representación y asesoramiento técnico a quien merezca su confianza y considere más adecuado para instrumentar su propia defensa”. En el supuesto aquí examinado, se produce una colisión con el derecho al secreto profesional Página 231 de 353

tutelado en el artículo 24.2 de la Norma Fundamental. A este respecto, opera el deber, por parte de abogados y procuradores, de “guardar secreto de todos los hechos o noticias que conozcan por razón de cualquiera de las modalidades de su actuación profesional, no pudiendo ser obligado a declarar sobre los mismos”, según dispone el artículo 437.2 en relación con el 438.2 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. El legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos, incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida. En efecto, la exigibilidad del consentimiento del oponente para el tratamiento de sus datos por el abogado o procurador supondría dejar a disposición de aquel el almacenamiento de la información necesaria para que el cliente pueda ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos datos o su comunicación a la contraparte, puede implicar, lógicamente, una merma en la posibilidad de aportación por el interesado de los medios de prueba pertinentes para su defensa, vulnerándose otra de las garantías derivadas del derecho a la tutela efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de este derecho. Por lo expuesto anteriormente, si bien ninguna disposición con rango de Ley establece expresamente la posibilidad del tratamiento por abogados y procuradores de los datos referidos al oponente de su cliente dentro de un proceso judicial, el mismo es necesario para la satisfacción de un interés legítimo perseguido por el responsable del mismo, que trae causa directa de una norma de rango constitucional, reguladora de los derechos fundamentales y libertades públicas consagradas por la Constitución, y desarrollado por las leyes reguladoras de cada uno de los Órdenes Jurisdiccionales, en los preceptos referidos a la representación y defensa de las partes prevaleciendo sobre el derecho del afectado, por lo que existe una habilitación para el tratamiento de los datos, que trae cobertura a raíz de lo indicado por el artículo 24 de la Constitución y sus normas de desarrollo, así como, en lo que respecta al deber de guardar secreto, del mismo artículo en su apartado segundo (art. 24.2) y de los artículos 437.2 y 438.2 de la citada Ley del Poder Judicial. SEXTO: Asimismo, debe analizarse si el abogado o procurador se encuentra obligado, por imperativo del artículo 5.4 de la Ley Orgánica, a informar a los oponentes de su cliente de la existencia de un fichero o tratamiento, su responsable, su finalidad, la posibilidad de que los afectados ejerciten los derechos que la Ley les atribuye y los destinatarios de los datos, dada la concurrencia entre el derecho del cliente a obtener la adecuada asistencia de letrado y a ver satisfecha la tutela judicial efectiva y el derecho del oponente a la protección de sus datos personales, lo que supondrá el cumplimiento del citado deber de información. Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por todas, STC 186/2000, de 10 de julio, con cita de otras muchas) “el derecho a la Página 232 de 353

intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquel haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho.” Si aplicamos la doctrina anteriomente mencionada al supuesto objeto de la presente resolución, procede ponderar en qué caso la limitación del ejercicio de uno de los derechos en conflicto puede producir una mayor merma de los derechos de la otra parte o, en su caso, las medidas que permitirán mitigar ese potencial perjuicio. Por lo tanto, debe darse prevalencia al derecho consagrado por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales, en los términos ya expuestos. En el presente caso, se aprecia una conexión directa con el derecho fundamental al secreto profesional que, conforma a los preceptos anteriormente transcritos de la Ley orgánica del Poder Judicial, les habilita para no facilitar información “de todos los hechos o noticias que conozcan por razón de cualquiera de las modalidades de su actuación profesional, no pudiendo ser obligado a declarar sobre los mismos”. Por ello no procede el acceso a los datos solicitados por el interesado, dada la limitación impuesta por el artículo 24 de la Constitución conforme a lo anteriormente razonado. SÉPTIMO: En el presente caso, examinada la reclamación presentada, queda acreditado que el interesado ejercitó el derecho de acceso a sus datos personales contenidos en los ficheros obrantes en el despacho de servicios jurídicos de la reclamada. Aunque DOÑA A.A.A. contestó a dicha petición, se hizo de forma incorrecta dado que le informó que no poseía datos del interesado en vez de motivarle por qué no podía facilitarle el acceso solicitado. Por lo expuesto anteriormente, procede estimar la presente reclamación de Tutela de Derechos, para que se dé respuesta expresa de conformidad con la LOPD. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ESTIMAR la reclamación formulada por DON B.B.B. e instar a DOÑA A.A.A. para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita al reclamante certificación en la que se facilite el acceso completo a sus datos, o deniegue motivada y fundamentadamente el acceso solicitado, pudiendo incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. SEGUNDO: NOTIFICAR la presente resolución a DON B.B.B. y a DOÑA A.A.A.. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, Página 233 de 353

de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 30 de noviembre de 2010. EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 234 de 353

Procedimiento Nº: TD/01183/2010 RESOLUCIÓN Nº.: R/00068/2011 Vista la reclamación formulada por D. A.A.A. (REPRESENTADO POR Dª B.B.B.) contra DIRECCIÓN GENERAL DE INSTITUCIONES PENITENCIARIAS por no haber sido debidamente atendido su derecho de cancelación. Realizadas las actuaciones procedimentales previstas en el artículo 117 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre (en lo sucesivo, RLOPD), se han constatado los siguientes, HECHOS PRIMERO: En fecha 12 de agosto de 2010, tuvo entrada en esta Agencia reclamación de D. A.A.A. (REPRESENTADO POR Dª B.B.B.) (en lo sucesivo, el reclamante) contra Dirección General de Instituciones Penitenciarias por no haber sido debidamente atendido su derecho de cancelación. El reclamante fue condenado en única instancia por Sentencia del Tribunal Supremo sin derecho a ningún recurso efectivo de la sentencia. Posteriormente, por resolución del Comité de Derechos Humanos de Naciones Unidas se consideró que los hechos que tiene ante sí ponen de manifiesto una violación del art. 14 párrafo 5 del Pacto, debiendo proporcionar el Estado Parte al reclamante un recurso efectivo. A pesar de ello, el reclamante estuvo privado de libertad y cumplido la condena en su totalidad. La Dirección General de Instituciones Penitenciarias le contestó, una vez transcurrido el plazo legalmente establecido para ello, señalando que no procedía la cancelación de los datos conforme establece el artículo 9.2 del Reglamento Penitenciario. SEGUNDO: Trasladadas sucesivamente la reclamación y los escritos de descargos que se produjeron en la tramitación del presente expediente, y por lo que a efectos de la resolución de la presente reclamación interesa, se realizaron, en síntesis, las siguientes alegaciones:  Dire cción G e ne ra l de Ins titucione s P e nite ncia ria s s e ña ló que “ la Comisión Calificadora de Documentos de Documentos Administrativos del Ministerio del Interior, en su reunión del 20 de noviembre de 2002 y tras el procedimiento habitual de valoración de documentos, ya dictaminó que la serie documental que obra en los centros penitenciarios con la denominación Expedientes personales de internos era de conservación permanente, por lo tanto no estaba sujeta a eliminación de ninguno de los expedientes que la componen, y aprobó el plazo de 52 años como plazo de permanencia, por razones de gestión, en los archivos de los centros penitenciarios, a cuya finalización se deben transferir a los Archivos Históricos Provinciales correspondientes”. “Respecto a los datos contenidos en los ficheros automatizados, existe la base de datos denominada Sistema de Información Penitenciaria (SIP), en la que Página 235 de 353

constan los datos esenciales de cada Expediente Personal de Interno que, en soporte papel, conserva el centro penitenciario desde el que ha sido excarcelado el recluso. La base de datos se creó por necesidades de gestión, para localizar los expedientes n papel dispersos por toda la geografía nacional. Por lo tanto, se entiende, que si el dictamen recaído sobre los expedientes ha sido la conservación permanente, las informaciones contenidas en la base de datos deberían serlo también teniendo en cuenta los fines para los que fue creada.” (…) “Esta Resolución se basa: 1. La Ley 16/1985, de 25 de junio, de Patrimonio Histórico Español: (…) 2. Orden de 21 de diciembre de 2000 por la que se crea la Comisión Calificadora de Documentos Administrativos del Ministerio del Interior: (…) - El ejercicio de los derechos de acceso, rectificación y cancelación, referidos a los ficheros que contengan datos de carácter personal, inscritos en el Registro General de Protección de Datos, existentes en los archivos del Ministerio del Interior, se ajustará a lo dispuesto en la Ley Orgánica 15/1999, y en la Ley 16/1985. (…)” TERCERO: Son conocidos por las partes de forma completa todos los hechos, alegaciones y demás documentación aportada por los interesados para su defensa, al haberse dado traslado por la instrucción del expediente a cada uno de los interesados en este procedimiento y constado todo ello en el expediente que obra en esta Agencia Española de Protección de Datos.

FUNDAMENTOS DE DERECHO PRIMERO: Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). SEGUNDO: El artículo 18.1 de la LOPD señala que: “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 16 de la LOPD dispone que “1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o Página 236 de 353

cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación. 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.” CUARTO: El artículo 32.2 y 3 del RLOPD determina: “2. El responsable del fichero resolverá sobre la solicitud de rectificación o cancelación en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carácter personal del afectado deberá igualmente comunicárselo en el mismo plazo. 3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o cancelar los dato . La rectificación o cancelación efectuada por el cesionario no requerirá comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre.” QUINTO: El artículo 25 del RLOPD determina: “1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá: a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente. El párrafo anterior se entenderá sin perjuicio de la normativa específica aplicable a la comprobación de datos de identidad por las Administraciones Públicas en los procedimientos administrativos. b) Petición en que se concreta la solicitud. c) Dirección a efectos de notificaciones, fecha y firma del solicitante. d) Documentos acreditativos de la petición que formula, en su caso. 2. El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. 3. En el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos. 4. La respuesta deberá ser conforme con los requisitos previstos para cada caso en el presente título. Página 237 de 353

5. Corresponderá al responsable del tratamiento la prueba del cumplimiento del deber de respuesta al que se refiere el apartado 2, debiendo conservar la acreditación del cumplimiento del mencionado deber…” SEXTO: La Ley 15/1985, de 25 de junio, del Patrimonio Histórico Nacional, establece en su artículo 49.2, que: “Forman parte del Patrimonio Documental los documentos de cualquier época generados, conservados o reunidos en el ejercicio de su función por cualquier organismo o entidad de carácter público...”. Por su parte el artículo 55.1 dispone: “La exclusión o eliminación de bienes del Patrimonio Documental y Bibliográfico contemplados en el artículo 49.2 y los demás de utilidad pública deberá ser autorizada por la Administración competente.” Finalmente el artículo 58 establece que: “El estudio y dictamen de las cuestiones relativas a la calificación y utilización de los documentos de la Administración del Estado .... corresponderá a una Comisión Superior Calificadora de Documentos Administrativos… . Asimismo podrán constituirse Comisiones Calificadoras en los Organismos públicos que se determine.” SÉPTIMO: La Orden de 21 de diciembre del 2000 del Ministerio del Interior establece: “Primero.- Se crea la Comisión Calificadora de Documentos Administrativos del Ministerio del Interior, que tiene como finalidad el estudio y dictamen de las cuestiones relativas a la calificación y utilización de los documentos generados y conservados en el Ministerio del Interior, así como la integración en los archivos, y régimen de acceso e inutilidad administrativa”. “Tercero.- Competencias. 1. La comisión ejercerá las siguientes funciones: a)Proponer los plazos de permanencia de los documentos en cada uno de los diferentes tipos de archivos del Ministerio.... Sexto.- Acceso a los documentos”. “2. El ejercicio de los derechos de acceso, rectificación y cancelación, referidos a los ficheros que contengan datos de carácter personal, inscritos en el Registro General de Protección de Datos, existentes en los archivos del Ministerio del Interior, se ajustará a lo dispuesto en la Ley Orgánica 15/1999...” OCTAVO: En lo referente a los requisitos formales, en el supuesto presente la solicitud de cancelación tuvo entrada en la Dirección General de Instituciones Penitenciarias el 23 de junio de 2010 y la contestación al citado derecho es de fecha 9 de julio de 2010. Por lo tanto, una vez transcurrido el plazo legalmente establecido para ello. En cuanto al fondo del asunto debe recordarse que el artículo 16.3 de la LOPD determina que la cancelación dará lugar al bloqueo de datos, conservándose únicamente a disposición de Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión de los mismos. El artículo 1 del Real Decreto 190/1996, de 9 de febrero, por el que se aprueba el Reglamento Penitenciario, establece el ámbito de su aplicación en el sentido siguiente: “1. El presente Reglamento de desarrollo de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, regula la ejecución de las penas y medidas de seguridad privativas de libertad, así como el régimen de los Página 238 de 353

detenidos a disposición judicial y de los presos preventivos, siendo de aplicación directa en todo el territorio del Estado. 2. No obstante, en aquellas Comunidades Autónomas que ejerzan competencias de ejecución de la legislación penitenciaria estatal, en virtud de su potestad de autoorganización, será de aplicación supletoria lo dispuesto en aquellos preceptos de los Títulos XI y XII que regulen cuestiones organizativas o relativas al régimen económico-administrativo de los establecimientos penitenciarios, así como aquellas disposiciones contenidas en otros Títulos que regulen aspectos de la misma naturaleza. 3. El presente Reglamento se aplicará con carácter supletorio a los establecimientos penitenciarios militares”. Esto es, sólo se aplicará a las personas privadas de libertad recluidas en centros penitenciarios, los detenidos a disposición judicial y los presos preventivos. Ninguna de estas situaciones se da en el caso del reclamante. Por otro lado, la Dirección General de Instituciones Penitenciarias justifica el mantenimiento de los datos porque tienen un valor histórico y estadístico, así como por necesidades de gestión. Pues bien, el valor histórico debe venir avalado por lo dispuesto en la Ley 16/1985, de 25 de junio, de Regulación del Patrimonio Histórico Nacional. Asimismo, el valor estadístico ha de justificarse en lo dispuesto en la Ley 12/1989, de 9 de mayo, de Función Estadística Pública. Las remisiones al Reglamento Penitenciario al igual que las contenidas en la LOPD, referidas al tratamiento de datos con fines históricos o estadísticos (artículo 4, apartados 2 y 5 de la LOPD) deben interpretarse conforme a las leyes reguladoras de tales materias y justificarse por los responsables del tratamiento por referencia a habilitaciones concretas de las mismas, extremos éstos que no han sido puestos de manifiesto por la Dirección General de Instituciones Penitenciarias. Así se desprende de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, en la cual se recoge expresamente: “El derecho a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales”. Añadiendo la citada Sentencia, en cuanto al apartado 2 del artículo 24 impugnado, que “en relación con el derecho fundamental a la intimidad hemos puesto de relieve no sólo la necesidad de que sus posibles limitaciones estén fundadas en una previsión legal que tenga justificación constitucional y que sean proporcionadas sino que la Ley que restrinja este derecho debe expresar con precisión todos y cada uno de los presupuestos materiales de la medida limitadora. De no ser así, mal cabe entender que la resolución judicial o el acto administrativo que la aplique estén fundados en la Ley, ya que lo que ésta ha hecho, haciendo dejación de sus funciones, es apoderar a otros Poderes Públicos para que sean ellos quienes fijen los límites al derecho fundamental. Página 239 de 353

De igual modo, respecto al derecho a la protección de datos personales cabe estimar que la legitimidad constitucional de la restricción de este derecho no puede estar basada, por sí sola, en la actividad de la Administración Pública. Ni es suficiente que la Ley apodere a ésta para que precise en cada caso los límites, limitándose a indicar que deberá hacer tal precisión cuando concurra algún derecho o bien constitucionalmente protegido. Es el legislador quien debe determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse y además, es él quien debe hacerlo mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias... El empleo de en el art. 24.2 LOPD de la expresión “interés público” como fundamento de la imposición de límites a los derechos fundamentales del art. 18.1 y 4 CE, encierra un grado de incertidumbre aún mayor. Basta reparar en que toda actividad administrativa, en último término, persigue la salvaguardia de intereses generales, cuya consecución constituye la finalidad a la que debe servir con objetividad la Administración con arreglo al art. 103.1 CE ... El apartado 2 del art. 24 LOPD establece que los derechos de acceso a los datos (art. 15.1 y 2 LOPD) y los de rectificación y cancelación de los mismos (art. 16.1 LOPD) podrán denegarse también si, “ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante... intereses de terceros más dignos de protección”. Resulta evidente que tras lo ya dicho, a la vista de que este inciso permite al responsable del fichero público negar a un interesado el acceso, rectificación y cancelación de sus datos personales, y al margen de que esos intereses puedan identificarse con los derechos fundamentales de ese tercero o con cualquier otro interés que pudiere esgrimirse, semejante negativa conlleva abandonar a la decisión administrativa la fijación de un límite al derecho fundamental a la protección de datos de carácter personal sin ni siquiera establecer cuales puedan ser esos intereses ni las circunstancias en las que quepa hacerlos valer para restringir de esa forma este derecho fundamental.” Y concluye declarando inconstitucional el apartado 2 del art.24 LOPD. En definitiva, la Dirección General de Instituciones Penitenciarias ha justificado la negativa a cancelar los datos del reclamante en el Acuerdo de la Comisión de Clasificación de Documentos del Ministerio del Interior que, en virtud del valor histórico, estadístico, y las necesidades de gestión, calificó “de conservación permanente” tanto los expedientes personales de los internos en centros penitenciarios, como el fichero automatizado denominado “SIPINTERNOS”. No puede admitirse tal habilitación legal, por cuanto ambos ficheros recogen unos datos que, en el caso del reclamante, son inexactos y no se encuentran actualizados, habida cuenta de que ésta no se encuentra “interna” en ninguna institución del sistema penitenciario. Tampoco puede admitirse como argumento para denegar la cancelación solicitada la referencia genérica a un “supuesto valor histórico o estadístico” Página 240 de 353

que dichos datos pudieran llegar a alcanzar, y mucho menos las “necesidades de gestión” propias de la Administración Penitenciaria, ya que el mantenimiento íntegro de datos con dichos fines tiene un carácter excepcional regulado por exigencia del artículo 4.5 de la LOPD. En consecuencia no cabe admitir los motivos esgrimidos por la Dirección General de Instituciones Penitenciarias para denegar la cancelación de datos solicitada por el reclamante habida cuenta que no puede motivarse la misma en una ausencia de regulación por parte del Reglamento Penitenciario, al tiempo que debe rechazarse que los datos del afectado continúen en un fichero en el que constan los datos personales de internos (o personas recluidas) en Instituciones Penitenciarias, ya que, en el caso del reclamante, son datos inexactos. Por último, debe apuntarse que el vigente Código Penal establece en su artículo 136 el derecho de los condenados a obtener del Ministerio de Justicia la cancelación de sus antecedentes penales, una vez cumplidos determinados requisitos y plazos. En consecuencia y reconocido tal derecho respecto de los condenados, cabe atender el derecho a la cancelación de los datos del reclamante de los ficheros de la Dirección General de Instituciones Penitenciarias como en el fichero denominado Sistema de Información Penitencia (SIP). En consecuencia, procede la estimación de la tutela solicitada, debiéndose llevar a cabo la cancelación y el consiguiente bloqueo de los datos personales del reclamante existentes en los ficheros a que se hace referencia en la presente resolución. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: ESTIMAR la reclamación formulada por D. A.A.A. (REPRESENTADO POR Dª B.B.B.) e instar a DIRECCIÓN GENERAL DE INSTITUCIONES PENITENCIARIAS para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita al reclamante certificación en la que haga constar que ha atendido el derecho de cancelación ejercido por éste, pudiendo incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD. Las actuaciones realizadas como consecuencia de la presente resolución deberán ser comunicadas a esta Agencia en idéntico plazo. SEGUNDO: NOTIFICAR la presente resolución a D. A.A.A. (REPRESENTADO POR Dª B.B.B.) y a DIRECCIÓN GENERAL DE INSTITUCIONES PENITENCIARIAS. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución Página 241 de 353

se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del RLOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 28 de enero de 2011 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 242 de 353

Procedimiento Nº: TD/01187/2010 RESOLUCIÓN Nº.: R/00274/2011 Vista la reclamación formulada el 31 de agosto de 2010 ante esta Agencia por D. A.A.A., contra la entidad LEGALIA ABOGADOS, S.L., por no haber sido debidamente atendido su derecho de acceso. Realizadas las actuaciones procedimentales previstas en el artículo 117 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, se han constatado los Siguientes HECHOS PRIMERO: Con fecha 6 de julio de 2010, D. A.A.A. (en lo sucesivo el reclamante), ejerció derecho de acceso frente a la entidad LEGALIA ABOGADOS, S.L., sin que su solicitud haya recibido la contestación legalmente establecida. SEGUNDO: Trasladadas la reclamación y los escritos de descargos que se produjeron en la tramitación del presente expediente, y por lo que a efectos de la resolución de la presente reclamación interesa, se realizaron, en síntesis, las siguientes alegaciones:  El re cla m a nte ha a cre dita do ta nto e l e nvío com o la re ce pción de la s olicitud donde ejercitaba su derecho de acceso ante la entidad LEGALIA ABOGADOS, S.L., mediante la aportación de copia de la imposición de burofax.  El re cla ma nte ta mbié n a porta con su reclamación, copia de la carta remitida por la entidad LEGALIA ABOGADOS, S.L. (en adelante la entidad reclamada), en la que le informan que en sus ficheros no tienen datos suyos y que ha sufrido un cambio societario que ha derivado en que la actualidad su actividad no conlleve el tratamiento de datos de carácter personal.  La e ntida d LEGALIA ABOGADOS, S.L. (en adelante la entidad reclamada) manifiesta que tal y como informó por carta al reclamante de fecha 30 de julio de 2010, no tiene datos del mismo, ni ahora ni antes de 3 de julio de 2009, fecha en la que por un cambio societario, modificó su nombre y pasó a llamarse, LENER GRUPO ASESOR, S.L. TERCERO: Son conocidos por las partes los hechos, alegaciones y demás documentación aportada por los interesados para su defensa, al haberse dado traslado por la instrucción del expediente en este procedimiento, tal y como consta en el expediente que obra en esta Agencia Española de Protección de Datos. FUNDAMENTOS DE DERECHO PRIMERO: Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). SEGUNDO: El artículo 18.1 de la LOPD señala que: Página 243 de 353

“Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine”. TERCERO: El artículo 15 de la LOPD establece que: “1.- El interesado tendrá derecho a solicitar y obtener gratuitamente información e sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos 2.- La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. 3.- El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes. ” CUARTO: El artículo 27 del Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007, de 21 de diciembre (en lo sucesivo RLOPD), regula el derecho de acceso en los siguientes términos: "1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se está realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. 2. En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento. No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una realización una relación de todos ellos. 3. El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común." QUINTO: El artículo 25 del RLOPD, determina que: “1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá: a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente.

Página 244 de 353

El párrafo anterior se entenderá sin perjuicio de la normativa específica aplicable a la comprobación de datos de identidad por las Administraciones Públicas en los procedimientos administrativos. b) Petición en que se concreta la solicitud. c) Dirección a efectos de notificaciones, fecha y firma del solicitante. d) Documentos acreditativos de la petición que formula, en su caso. 2. El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. 3. En el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos. 4. La respuesta deberá ser conforme con los requisitos previstos para cada caso en el presente título. 5. Corresponderá al responsable del tratamiento la prueba del cumplimiento del deber de respuesta al que se refiere el apartado 2, debiendo conservar la acreditación del cumplimiento del mencionado deber…” SEXTO: El artículo 29 del RLOPD, dispone lo siguiente: “1. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo. 2. Si la solicitud fuera estimada y el responsable no acompañase a su comunicación la información a la que se refiere el artículo 27.1, el acceso se hará efectivo durante los diez días siguientes a dicha comunicación. 3. La información que se proporcione, cualquiera que sea el soporte en que fuere facilitada, se dará en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. Dicha información comprenderá todos los datos de base del afectado, los resultantes de cualquier elaboración o proceso informático, así como la información disponible sobre el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos". SÉPTIMO: En cuanto a la apertura de un procedimiento sancionador por supuestas infracciones a la LOPD, cabe señalar que el procedimiento de Tutela de Derechos al que hace referencia esta norma legal, se inicia siempre a instancia del afectado para garantizar sus derechos de acceso, rectificación cancelación y oposición. Por el contrario, el procedimiento sancionador en materia de protección de datos, que constituye una de las manifestaciones del “ius puniendi” del Estado, se inicia siempre de oficio por el Director de la Agencia Española de Protección de Datos, al ser competencia exclusiva de éste valorar si existen responsabilidades administrativas que deban ser depuradas. La STS de 6-10-2009 dispone que denunciante no es interesado pero establece una precisión: "el denunciante de una infracción de la legislación de protección de datos carece de legitimación activa para impugnar Página 245 de 353

la resolución de la Agencia en lo que concierne al resultado sancionador mismo (imposición de una sanción, cuantía de la misma, exculpación, etc.); pero, llegado el caso, puede tener legitimación activa con respecto a aspectos de la resolución distintos del específicamente sancionador siempre que, por supuesto pueda mostrar algún genuino interés digno de tutela." En el mismo sentido se ha manifestado la SAN 27/5/2010: "quien denuncia hechos que considera constitutivos de infracción de la legislación de protección de datos carece de legitimación activa para impugnar en vía jurisdiccional lo que resuelva la Agencia.(...) La razón es, en sustancia, que el denunciante carece de la condición de interesado en el procedimiento sancionador que se puede incoar a resultas de su denuncia. Ni la Ley Orgánica de Protección de Datos ni su Reglamento de desarrollo le reconocen esa condición.(...) El argumento crucial en esta materia es que el denunciante, incluso cuando se considere a si mismo "victima" de la infracción denunciada, no tiene un derecho subjetivo ni un interés legítimo a que el denunciado sea sancionado". OCTAVO: En el supuesto aquí analizado, ha quedado acreditado que el reclamante ejercitó su derecho de acceso ante el responsable del fichero, y que, conforme a las normas antes señaladas, su solicitud obtuvo la respuesta legalmente exigible. A pesar de que la entidad reclamada el 3 de julio de 2009 modificó su denominación como consecuencia de un cambio societario, manifiesta que no tiene datos del reclamante, ni en la actualidad ni antes de ese cambio. A pesar de que la carta que remitió al reclamante en contestación a su acceso, era un poco confusa en su redacción, la información relativa a que no tenían datos suyos estaba clara. Por tanto, la entidad reclamada ha cumplido con la obligación marcada por la ley para todo responsable del fichero, ya que a pesar de no tener datos del reclamante, tal y como dispone el artículo 29.1 del RLOPD anteriormente citado, contesta el acceso del reclamante poniendo en su conocimiento dicho extremo. Por todo ello procede desestimar la presente reclamación de tutela de derechos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DESESTIMAR la reclamación formulada por D. A.A.A. contra la entidad LEGALIA ABOGADOS, S.L. SEGUNDO: NOTIFICAR la presente resolución a D. A.A.A. y a la entidad LEGALIA ABOGADOS, S.L. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación Página 246 de 353

de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 15 de febrero de 2011 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 247 de 353

II. 3. ARCHIVO DE ACTUACIONES Expediente No: E/00007/2004 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante la entidad M ABOGADOS ASOCIADOS, S.C. en virtud de denuncia presentada ante la misma por D. A.C.C, Dña. F.R.R, D. A.R.A, D. D.L.S, D. L.T.G, D. M.M.V, D. M.C.C, D. J.R.P, D. C.K.K, Dña. M.G.G, D. C.B.B, D. D.L.Py D. J.M.V, y en base a los siguientes, HECHOS PRIMERO: Con fecha de 19/11/2003, tuvo entrada en esta Agencia un escrito de D. A.C.C y Dña. F.R.R en el que ponen de manifiesto que en los Estatutos de la Asociación de Propietarios Urbanización El Papagayo (en adelante la Asociación) se establece que se adquiere obligatoriamente la condición de socio por el hecho de ser propietario de una o varias parcelas de la urbanización. Los servicios de conexión de agua se gestionan por la citada Asociación ante la dificultad del Ayuntamiento para asumir dicho servicio. Cuando solicitaron la conexión de agua tuvieron que facilitar sus datos personales a la Asociación, la cual los utilizó para darles de alta como asociados sin su consentimiento. La Asociación no les ha informado de la inclusión de sus datos personales en ficheros automatizados. Tales ficheros no han sido inscritos en la Agencia Española de Protección de Datos. La Asociación ha contratado como administrador a M Abogados Asociados, SC facilitándole sus datos personales, sin que se cumpla con lo estipulado en el artículo 12 de la LOPD. Añaden que el presidente de la Asociación ha enviado una circular informativa a todos los vecinos y asociados de la urbanización en la que se recogen sus datos personales y diversas informaciones falsas. Entre otra documentación, aportan la siguiente: copia de un listado de facturación de agua y otro de cuotas de asociado en los que figura D. A.C.R; copia del contrato de fecha 01/09/1995 suscrito entre la Asociación y el bufete M Abogados Asociados, S.C.; copia de los Estatutos de la Asociación y copia de una circular informativa de octubre de 2003 emitida por el presidente de la Asociación en la que se informa, entre otros aspectos, de la demanda interpuesta contra la Asociación detallando el nombre y apellidos de los demandantes entre los que se encuentran D. A.C.C y Dña. F.R.R, respecto de los cuales se cita: “La Sra. F.R.R. No es asociada, su esposo A.C.C es moroso recalcitrante. En la actualidad debe 855,02 euros (142.262 pesetas). Lleva 18 meses sin pagar el recibo del agua y se ha tomado el acuerdo de suspensión del servicio de agua (parcela I9)”. SEGUNDO: Con fecha 12/12/2003 tuvieron entrada en esta Agencia escritos de D. C.K.K, D. J.R.P, D. M.C.C, D. M.M.V, D. L.T.G, D. D.L.S, D. A.R.A en los que se denuncian los mismos hechos que los ya denunciados anteriormente. Posteriormente, con fechas de 18/12/2003 y 09/01/2004 se recibieron escritos de Dña. Ma. A.G.G, D. C.C.E y D. D.L.P de contenido similar a los anteriores. Todos ellos aportan copia de listados de facturación de agua y de cuotas de asociado, figurando en algunos de ellos manuscrito el literal: “diciembre de 2000”. En dichos listados figuran los citados denunciantes en calidad de abonados. Página 248 de 353

Finalmente se recibió con fecha 15/06/2004 escrito de D.J.M.V.G, adjuntando copia del impreso de “solicitud de prestación de servicios generales en la Urbanización El Papagayo” que cumplimentó, facilitando sus datos personales a la Asociación con fecha 01/03/2003. TERCERO: En respuesta a la información requerida por esta Agencia a M Abogados Asociados, S.C. (en lo sucesivo M Abogados), remitió en escrito de fecha de entrada en esta Agencia de 22/04/2004, copia del acta notarial de 17/01/2002 por la que se eleva a público la “Modificación de los Estatutos de la Asociación de Propietarios de la Urbanización El Papagayo. Aprobados por Resolución de 8 de enero de 1974” . Según consta en el artículo 2 de los citados Estatutos, la finalidad de la Asociación es “la creación de un nuevo núcleo urbano, incluyendo todas aquellas actividades, sin ánimo de lucro, de carácter urbanístico, cultural recreativo, deportivo y social que mejoren la calidad de vida en todos sus ámbitos de los asociados”. Añade que “asimismo, serán fines de la Asociación la gestión sin ánimo de lucro de los Servicios Generales de la urbanización así como sus elementos comunes ...” En el artículo 5 de los citados Estatutos se declara que “la adquisición de la condición de socio es voluntaria”. En el artículo 7 de los referidos Estatutos se establece que “Las cuotas para atender la prestación de los Servicios Generales de la Urbanización, así como los gastos que anualmente se determinen en presupuesto serán acordados por la Junta General a propuesta de la Junta de Gobierno y será de obligado pago para todos los asociados”. Añadiendo el artículo 8 que “Si algún asociado dejase de pertenecer a la asociación por la pérdida de su calidad de propietario, o voluntad propia, ésta podrá reclamarles el cumplimiento de las obligaciones y el pago de los débitos que hubiera podido contraer...”. CUARTO: Asimismo aportó impresiones de pantalla del fichero de la Asociación, que acreditan que en dicho fichero figuran los datos personales de los siguientes denunciantes: D. M.M.V, D. A.R.A, D. D.L.P, Dña. M.G.G, D. D.L.S, D. J.R.P, D. L.T.G, D. A.C.C, D. C.C.E y D. M.C.C. D. C.K.K y Dña. F.R.R no son miembros de la Asociación. La información facilitada por M Abogados no incluye la relativa a los datos que figuran en el fichero de la Asociación de D. J.M.V al ser la denuncia de éste, de fecha 15/06/2004, posterior al escrito de información de M Abogados, que tuvo entrada en esta Agencia el 22/04/2004. También remitió copia de los impresos de solicitud de los servicios de agua firmados por D. C.C.E, D. M.C.C y Dña. A.G.G, de fechas 27/03/1999, 05/01/1993 y 30/10/1993, respectivamente. Así como copia de otros modelos de impreso denominados “Formulario de datos para facilitar a la Agencia Catalana del agua por propietarios con contador de agua en la urbanización El Papagayo” firmados por D. M.M.V, D. D.L.S, D. L.T.G, con fechas 19/03/2001, 13/03/2001 y 15/02/2002. M Abogados comunicó a esta Agencia que D. A.C.C, D. A.R.A, D. J.R.P y D. D.L.P, entre otros, son propietarios-asociados muy antiguos de la Urbanización El Papagayo, algunos de más de veinte años que facilitaron sus datos personales de palabra. Añade que todos pagan y han pagado durante años sus cuotas como asociados (mantenimiento, agua, etc). Aporta listados de facturación de agua y mantenimiento de fecha de 20/04/2004 en los que figuran, entre otros, los datos de las citadas personas. Página 249 de 353

QUINTO: M Abogados, asimismo, remitió el documento que utiliza en la actualidad la Asociación para recabar los datos personales de los asociadospropietarios, denominado “solicitud de prestación de servicios generales en la Urbanización El Papagayo”. Dicho documento contiene los datos identificativos de la Asociación: domicilio social, CIF y no de registro. En él se informa de los servicios que presta la Asociación y contiene el siguiente tenor literal: “Los importes de las cuotas y coste de los servicios, serán los acordados en cada momento por las Juntas Generales de la Asociación o las Juntas de Gobierno, en su caso, y el solicitante manifiesta conocer los importes actuales. Los datos incluidos en esta solicitud, por ser necesarios para el propio fin de la Entidad, serán incorporados a un fichero titularidad de la Asociación de Propietarios de la Urbanización El Papagayo; en cumplimiento de la Ley Orgánica de Protección de Datos Personales, Ud. podrá ejercer sus derechos de conformidad con la mencionada ley, dirigiendo escrito al domicilio social de la Entidad junto a fotocopia de su DNI”. SEXTO: Igualmente, aportó copia del contrato de prestación de servicios profesionales, de fecha de 19/07/2003, firmado con la Asociación en cuyo pacto cuarto se recoge lo siguiente: “de los datos de los ficheros de la Asociación será responsable único la Asociación de Propietarios de la Urbanización El Papagayo, siendo la sociedad M Abogados Asociados, S.C. solamente la encargada de su tratamiento, tratando los datos conforme a las instrucciones del responsable; y de acuerdo con lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”. SÉPTIMO: Consta entre la documentación remitida por M abogados, la circular informativa de octubre de 2003 emitida por el presidente de la Asociación, en la que se informa entre otros aspectos de la demanda interpuesta contra la Asociación detallando el nombre y apellidos y parcela de los demandantes, entre los que se encuentran algunos de los denunciantes y D. A.C.C y Dña. F.R.R, respecto de los cuales se cita expresamente: “La Sra. F.R.R. No es asociada, su esposo A.C.C es moroso recalcitrante. En la actualidad debe 855,02 euros (142.262 pesetas). Lleva 18 meses sin pagar el recibo del agua y se ha tomado el acuerdo de suspensión del servicio de agua (parcela I-9)” FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el articulo 37.d) en relación con el 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II En el presente caso cinco son los motivos de denuncia. En primer lugar, los denunciantes ponen de manifiesto que la Asociación ha procedido a darles de alta como asociados sin su consentimiento y que la condición de asociado se adquiere obligatoriamente por ser propietario de una o varias parcelas de la urbanización. El artículo 6.1 de la LOPD señala que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. El apartado 2 del mismo artículo añade que “no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las Página 250 de 353

funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”. En este caso, consta en los Estatutos de la Asociación que “la adquisición de la condición de socio es voluntaria” (artículo 5). Entre los fines de la Asociación figura “la gestión sin ánimo de lucro de los Servicios Generales de la urbanización así como sus elementos comunes ...”. M Abogados ha aportado copia de las solicitudes firmadas por D. C.C.E, D. M.C.C, Dña. A.G.G, D. M.M.V, D. D.L.S y D. L.T.G para la prestación de los servicios de agua de la Asociación. Si bien no constan las citadas solicitudes firmadas por D. A.C.C, D. A.R.A, D. J.R.P y D. D.L.P, M Asociados argumenta que los datos se recogieron verbalmente y ha aportado la documentación acreditativa de que éstos son socios y utilizan los servicios de la citada Asociación. Asimismo, D. J.M.V aportó junto con su escrito de denuncia copia del impreso que cumplimentó, en fecha 01/03/2003, para solicitar la prestación de los servicios de la Asociación. De lo anterior se deriva, que los denunciantes, salvo D. C.K.K y Dña. F.R.R que no son miembros de la Asociación, cuyos datos figuran en el fichero de la Asociación, mantienen con la misma una relación jurídica que habilita a la misma para el tratamiento de sus datos personales, a tenor de los dispuesto en el artículo 6.2 de la LOPD, al ser necesario el mismo para el mantenimiento y cumplimiento de la citada relación. III En segundo lugar, se denuncia la falta de información en la recogida de datos. El derecho de los afectados a ser informados en la recogida de datos se regula en el artículo 5 de la LOPD, en sus apartados 1, 2 y 3 dispone lo siguiente: “1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
 c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
 e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

Página 251 de 353

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior . 3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.” La LOPD derogó la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, a tenor de lo dispuesto en su disposición derogatoria única, y entró en vigor el 14/01/2000, de acuerdo con lo estipulado en su disposición final tercera. En el presente caso se observa que los datos de algunos de los denunciantes fueron recabados por la Asociación vigente la citada Ley Orgánica 5/1992, que en su artículo 5.3 excluía de la obligación de informar si ésta se deducía de la naturaleza de los datos personales que se solicitaban o de las circunstancias en que se recababan. Concretamente se recabaron, a través de formularios, los datos de D. M.C.C, Dña. A.G.G y D. C.C.E. En relación con D. A.C.C, D. A.R.A, D. J.R.P y D. D.L.P, M Asociados informó que algunos son socios muy antiguos de más de veinte años y que sus datos se recogieron verbalmente. Por otro lado, los datos de D. M.M.V, D. D.L.S, D. L.T.G y D. J.M.V fueron recabados después de estar vigente la LOPD, según consta en la información facilitada por M Abogados y por el propio D. J.M.V. Por último, ha quedado acreditado que D. C.K.K y Dña. F.R.R no han sido nunca miembros de la Asociación. De acuerdo con lo señalado únicamente en los casos de recogida de datos con posterioridad a la entrada en vigor de la LOPD, que impone en todo caso la obligación de informar de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos, de los destinatarios de la información y de la identidad y dirección del responsable del tratamiento, cabe apreciar una infracción del artículo 5 de la citada norma, que se encuentra tipificada como infracción leve en el artículo 44.2.d) de la LOPD que considera infracción de carácter leve “proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley”. Por otro lado, el artículo 47 de la LOPD establece en sus apartados 1 y 2 lo siguiente: “1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año. 2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiere cometido”. Según se desprende de las actuaciones realizadas, los únicos datos recogidos a partir del 14/01/2000 son los correspondientes a D. M.M.V, D. D.L.S y D. L.T.G, que se recabaron con fechas 19/03/2001, 13/03/2001 y 15/02/2002, siendo denunciada la infracción con fecha 12/12/2003, y a D. J.M.V, que se recabaron con fecha 01/03/2003, siendo denunciada la infracción el 15/06/2004. Así las cosas cuando los citados denunciantes presentaron sus escritos de denuncia en esta Agencia por la presunta infracción del artículo 5 de la LOPD, la citada infracción se encontraba prescrita, a tenor del citado artículo 47 de la citada Ley Orgánica.

Página 252 de 353

Desde el punto de vista de la información que la Asociación proporciona en la actualidad, cabe señalar que consta entre la documentación aportada por M Abogados a esta Agencia, el documento que utiliza para la recogida de datos. Dicho documento contiene los datos identificativos de la Asociación: domicilio social, CIF y no de registro. En dicho documento se relacionan los servicios que presta la Asociación y contiene el siguiente tenor literal: “Los importes de las cuotas y coste de los servicios, serán los acordados en cada momento por las Juntas Generales de la Asociación o las Juntas de Gobierno, en su caso, y el solicitante manifiesta conocer los importes actuales. Los datos incluidos en esta solicitud, por ser necesarios para el propio fin de la Entidad, serán incorporados a un fichero titularidad de la Asociación de Propietarios de la Urbanización El Papagayo; en cumplimiento de la Ley Orgánica de Protección de Datos Personales, Ud. podrá ejercer sus derechos de conformidad con la mencionada ley, dirigiendo escrito al domicilio social de la Entidad junto a fotocopia de su DNI”. La información que facilita la Asociación a través del citado documento comprende la finalidad para la que se van a utilizar los datos de carácter personal. Así mismo se informa de la existencia de un fichero y de la identidad y dirección del responsable del fichero, así como de la posibilidad de ejercitar los derechos reconocidos en la LOPD. Aunque en dicho documento no se hace expresa referencia al carácter obligatorio o facultativo de las respuestas a las preguntas planteadas y de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, ambas circunstancias se deducen de los datos personales que se solicitan – nombre y apellidos del propietario, parcela, calle y número, DNI, dirección postal, población y domiciliación bancaria- y de las circunstancias en que se recaban: la prestación de los servicios que se relacionan en la propia solicitud. En consecuencia, la información que se facilita en el aludido documento contiene las exigencias prevista en el artículo 5 de la LOPD. IV El tercer hecho denunciado, consiste en la falta de inscripción en el Registro General de Protección de Datos de esta Agencia del fichero de la Asociación. Este hecho fue ya denunciado, con fecha 25/03/2003, por algunos propietarios de la Urbanización El Papagayo. Con motivo de la citada denuncia se efectuó, con fecha 25/11/2003, una Inspección en el establecimiento de la Asociación en la que se comprobó que la Asociación posee un fichero automatizado con los datos de los asociados que han domiciliado el pago de los recibos de agua y de las cuotas. Las responsabilidades por la falta de inscripción de dicho fichero en el Registro General de Protección de Datos se depuraron en el procedimiento sancionador no PS/00047/2004 que concluyó mediante resolución no R/00604/2004, de fecha 04/11/2004, en la que se impuso a la Asociación una multa de 601,01 € por la infracción del artículo 26 de la LOPD. El fichero “Gestión” de la Asociación en el que figuran los datos personales de los asociados fue inscrito en el Registro General de Protección de Datos, con fecha 28/07/2004. V En cuarto lugar, se denuncia a la Asociación por haber contratado como administrador a M Abogados, sin haberse previsto en el contrato lo estipulado en el artículo 12 de la LOPD. Página 253 de 353

El artículo 12, apartados 1, 2 y 3, de la LOPD establece lo siguiente: “1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar. 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto de tratamiento“. El artículo 12.1 de la LOPD permite que el responsable del fichero habilite el acceso material a datos de carácter personal por parte de la entidad que va a prestarle un servicio – encargado del tratamiento- sin que, por mandato expreso de la ley, pueda considerarse dicho acceso como una cesión de datos. Ahora bien, la Ley exige que el contrato figure por escrito o en alguna otra forma que permita acreditar su celebración y contenido y prevé un contenido mínimo del contrato entre las partes, en el que deben constar una serie de requisitos, que se recogen en los apartados 2 y 3 del citado artículo 12. En el supuesto examinado, la Asociación y M Abogados firmaron, con fecha 19/07/2003, un contrato de prestación de servicios profesionales. En el pacto cuarto del contrato se recogen las exigencias del artículo 12 de la LOPD al estipularse que “de los datos de los ficheros de la Asociación será responsable único la Asociación de Propietarios de la Urbanización El Papagayo, siendo la sociedad M Abogados Asociados, S.C. solamente la encargada de su tratamiento, tratando los datos conforme a las instrucciones del responsable; y de acuerdo con lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”. En consecuencia, no se aprecia en este caso vulneración de la LOPD, toda vez que la comunicación de los datos entre la Asociación y M Abogados se encuentra amparada por un contrato realizado al amparo del artículo 12 de la citada Ley Orgánica. Adicionalmente, procede señalar que la cesión de los datos de los asociados sin su consentimiento a M Abogados ya fue denunciada por algunos propietarios de la Urbanización El Papagayo, en la ya mencionada denuncia presentada ante esta Agencia el 25/03/2003. Esta denuncia motivó la apertura de las actuaciones de inspección no E/00148/2003, sin que en el procedimiento sancionador iniciado como consecuencia de las mismas se imputara a la Asociación ninguna infracción por la cesión de los antedichos datos, al haberse acreditado durante aquéllas la existencia del contrato de prestación de servicios profesionales firmado entre la Asociación y M Abogados, tal y como se recoge en el Antecedente de Hecho Sexto de la resolución no R/00604/2004, de 4 de noviembre, de esta Agencia. Página 254 de 353

VI En quinto y último lugar, se denuncia la incorporación de datos personales de algunos de los denunciantes a una circular remitida por la Asociación a sus asociados. En la circular informativa de octubre de 2003 emitida por el presidente de la Asociación, se informa a los asociados, entre otros aspectos, de la demanda interpuesta contra la Asociación detallando el nombre y apellidos y parcela de los demandantes, entre los que se encuentran algunos de los denunciantes, así como D. A.C.C y Dña. F.R.R, respecto de los cuales se cita expresamente: “La Sra. F.R.R. No es asociada, su esposo A.C.C es moroso recalcitrante. En la actualidad debe 855,02 euros (142.262 pesetas). Lleva 18 meses sin pagar el recibo del agua y se ha tomado el acuerdo de suspensión del servicio de agua (parcela I-9)” El deber de guardar secreto se encuentra previsto en el artículo 10 de la LOPD, que preceptúa que “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” Este artículo debe ponerse en relación con el artículo 11 de la LOPD que con carácter general prohíbe la comunicación de datos a un tercero sin el previo consentimiento del interesado, salvo en los supuestos exceptuados en el apartado 2 del mencionado artículo, que establece que “el consentimiento exigido en el apartado anterior no será preciso: a) cuando la cesión está autorizada en una Ley (...)” La Ley Orgánica 1/2002, de 22 de marzo, reguladora del Derecho de Asociación, reconocido en el artículo 22 de la Constitución Española, establece en su artículo 21, letra c), el derecho de todos los asociados de ser informados del estado de cuentas de la Asociación y del desarrollo de su actividad. En este caso, la Asociación informó a los asociados de la existencia de una denuncia contra la misma, de cuáles eran las personas denunciantes y del impago por parte de un determinado asociado de recibos correspondientes al suministro de agua. Esta información ha de entenderse encuadrada en el derecho de información que la citada Ley Orgánica reconoce a los asociados y, por tanto, amparada en el artículo 11.2 a) de la LOPD al contar con habilitación legal expresa. Sin embargo, además de la citada información, la Asociación añadió en la aludida circular que Dña. F.R.R es esposa de D. A.C.C. Este dato podría considerarse excesivo al amparo de lo previsto en el artículo 4.1 de la LOPD que determina que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlo a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”. Si bien, ha de tenerse en cuenta que Dña. F.R.R no es miembro de la Asociación y sus datos personales no figuran en el fichero automatizado de ésta. Tampoco existe constancia de que hayan sido sometidos a tratamiento automatizado por parte de la Asociación ni que se encuentren almacenados en un fichero no automatizado de datos.

Página 255 de 353

A este respecto cabe señalar que, a tenor de lo dispuesto en el artículo 2.1 de la LOPD, ésta “será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.” La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que transpone la LOPD, estipula en el considerando 15 que “Considerando que los tratamientos que afectan a dichos datos sólo quedan amparados por la presente Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos o se destinan a encontrarse contenidos en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata” y en el considerando 27 se especifica que “Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra c) del artículo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que, las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva;” En el artículo 2.c) de la citada Directiva se define “fichero de datos personales" como: “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.” Y el artículo 3.d) de la LOPD considera fichero: “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” Por lo que ha de entenderse que la LOPD no resulta de aplicación a los tratamientos de datos no automatizados que no se conserven en ficheros organizados o estructurados de datos. En el supuesto examinado, los datos de Dña. F.R.R no figuran en ningún fichero de la Asociación ni han sido sometidos a tratamiento automatizado por parte de ésta. Únicamente fueron incorporados a la circular informativa de octubre de 2003 en la que se indicaba que es esposa de D. A.C.C. Dicha circular se encuentra en formato papel y no constituye un fichero estructurado de datos personales, por lo que respecto a estos hechos no resulta de aplicación la LOPD. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: PROCEDER AL ARCHIVO de las presentes actuaciones. Página 256 de 353

NOTIFICAR la presente Resolución a M ABOGADOS ASOCIADOS, SC, con domicilio en (C/................) D. A.C.C y Dña F.R.R, con domicilio en (C/................), D. A.R.A, con domicilio en (C/................), D. L.T.G, (C/................) D. M.M.V, con domicilio en (C/................) D. M.C.C, con domicilio en (C/................) D. J.R.P, con domicilio en (C/................) D. C.K.K, con domicilio en (C/................) Dña. M.G.G, con domicilio en, D. C.B.E, con domicilio en (C/................), D. D.L.P con domicilio en (C/................), y D. J.M.V, con domicilio en (C/................) De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 16 de mayo de 2005 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

Página 257 de 353

Expediente No: E/00094/2007 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante la entidad Ilustre Colegio de Abogados de Madrid en virtud de denuncia presentada ante la misma por Da G.G.G. y en base a los siguientes, HECHOS PRIMERO: Con fecha 10 de noviembre de 2006, tuvo entrada en esta Agencia escrito de Da G.G.G. (en lo sucesivo la denunciante) contra el Ilustre Colegio de Abogados de Madrid (en lo sucesivo ICAM) en el que denuncia al servicio médico de dicho colegio por haber facilitado a su ex esposo cartas de cargo de las prestaciones además de un informe médico. La denunciante es titular de la prestación médica del Servicio Médico del Ilustre Colegio de Abogados de Madrid. Inició los trámites de divorcio de su esposo en agosto de 2007, comunicando la baja del mismo en septiembre de 2005 como beneficiario al Servicio Médico del Colegio de Abogados. En los trámites del procedimiento matrimonial que se tramitó ante el Juzgado no 0A de ...... , su ex esposo presentó documentación personal de la denunciante, relativa a los cargos de las prestaciones del Servicio Médico del Colegio de Abogados (duplicados de la misma) correspondientes a los dos últimos trimestres del año 2005. En su escrito adjunta copia del fax de fecha 22/9/2005 en el que solicitaba la baja de su ex marido como beneficiario del Servicio Médico del Colegio de Abogados, copia de la relación de prestaciones del Servicio Médico de fechas dd/mm/aaaa y dd/mm/aaaa que habría sido aportada en el procedimiento matrimonial y contestación de fecha 21/3/2006 a la consulta planteada por la denunciante ante el Servicio Médico del Colegio de Abogados con relación a los hechos aquí denunciados. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. A solicitud de esta Agencia, la denunciante remitió documentación adicional en escrito con fecha de registro de entrada 22/12/2006, consistente en el Escrito de Contestación a la demanda interpuesta por la denunciante, con fecha de entrada 30/1/2006 en los Juzgados de ......, así como los documentos números 22 y 23 que se citan en esa contestación. El documento número 22 es un informe médico de fecha 27/2/2005 de asistencia de urgencia a la denunciante y el documento número 23 consiste en dos listados de prestaciones del Servicio Médico del Colegio de Abogados de Madrid, uno de fecha dd/mm/aaaa y el otro de fecha dd/mm/aaaa; ambos figuran dirigidos a la propia denunciante a su domicilio ubicado en “(C/..............................). 2. En su escrito de fecha de registro de entrada 3/7/2007, el “Cargo 1” del ICAM realiza las siguientes manifestaciones en su escrito de fecha de registro de salida 24/5/2007: - Respecto de los listados de prestaciones del Servicio Médico del Colegio de fechas dd/mm/aaaa y dd/mm/aaaa que “fueron remitidos por correo ordinario a Doña G.G.G., quien figuraba como destinataria de los mismos en su calidad o condición de titular del servicio médico, y con la exclusiva finalidad de Página 258 de 353

informarle sobre los cargos que le iban a ser girados como consecuencia del sistema de “copago” implantado por esta Corporación en su servicio médico”. - Respecto del parte de Asistencia de Urgencia manifiesta que “coincide con el que en su día remitió el Hospital Montepríncipe de ...... con la factura para su abono, si bien el código de barras y los números manuscritos que aparecen en el documento, no aparecen en el documento que el mencionado Hospital envió a este Colegio, por lo que no se trata de una copia del documento que consta en esta Corporación”. - Asimiso en su escrito aporta copia del Documento de Seguridad solicitado por la Agencia y que se refiere a varios ficheros, entre los que se encuentra del denominado “PRESTACIONES DE SERVICIO MÉDICO”. - Mediante escrito con fecha de registro de entrada 18/9/2007, el “Cargo 1” del ICAM aportó copia del parte de Asistencia de Urgencia del Hospital Montepríncipe de ....... De la comparación de este documento y del proporcionado por la denunciante (que habría sido aportado como documento número 22 en el procedimiento matrimonial), se desprenden las diferencias antes apuntadas por el “Cargo 1” del ICAM. FUNDAMENTOS DE DERECHO Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II El artículo 10 de la LOPD establece que: "El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismo y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo". Siendo de aplicación al Derecho administrativo sancionador, con matices pero sin excepciones, los principios inspiradores del orden penal, adquiere plena virtualidad el principio de presunción de inocencia en el ámbito de la potestad sancionadora, que desplaza a quien acusa la carga de probar los hechos y su autoría. En tal sentido, el Tribunal Constitucional, en su sentencia 76/1990, de 26/04, considera que el derecho a la presunción de inocencia comporta “que la sanción esté basada en actos o medios probatorios de cargo o incriminadotes de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio”. En atención a lo expuesto, teniendo en cuenta que no se ha podido acreditar que el Servicio Médico del Ilustre Colegio de Abogados de Madrid haya facilitado ninguna información o parte de asistencia médica de Da G.G.G., frente a la certeza y concreción exigida en estos supuestos para poder calificar la conducta como sancionable, debe concluirse que no existe prueba de cargo suficiente, por lo que procede acordar en archivo del presente expediente. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: Página 259 de 353

PROCEDER AL ARCHIVO de las presentes actuaciones. NOTIFICAR la presente Resolución a Ilustre Colegio de Abogados de Madrid con domicilio en (C/........................................) y a Dña G.G.G. con domicilio en (C/.........................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 12 de febrero de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 260 de 353

Expediente No: E/00416/2007 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante el COLEGIO DE ABOGADOS DE MADRID, DON E.E.E. y DON J.J.J., en virtud de denuncia presentada ante la misma por DOÑA M.M.M. y en base a los siguientes, HECHOS PRIMERO: Con fecha 6 de febrero de 2007, tuvo entrada en esta Agencia escrito de Doña M.M.M. (en lo sucesivo la denunciante), en el que denuncia al Colegio de Abogados de Madrid, por haber facilitado sus datos personales relativos a una cuenta bancaria y a su número de mutualista que fueron presentados por Don E.E.E. y Don J.J.J. en un procedimiento judicial. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. De la información facilitada por el Colegio de Abogados de Madrid se desprende lo siguiente: - El Juzgado de Primera Instancia no 0A de ...... en el procedimiento de ejecución de títulos judiciales no xxx/xxxx, dirigió un requerimiento al Colegio, con fecha 16 de febrero de 2006, para que informase sobre el número de cuenta bancaria de la letrada Doña M.M.M. donde tuviese domiciliados los pagos de las obligaciones colegiales, solicitud que fue cumplimentada con fecha 7 de marzo de 2006. - En ningún momento facilitó información a Don E.E.E. ni a Don L.L.L.. Tampoco se facilitó el número de mutualista, únicamente los datos relativos a la cuenta bancaria solicitados por el Juzgado. - Con fecha 5 de julio de 2007, el Colegio de Abogados de Madrid presentó Auto de sobreseimiento y archivo dictado por el Juzgado de Instrucción no 0B de ...... , del procedimiento abreviado yyyy/yyyy, relativo a la denuncia presentada por Doña M.M.M. contra el Colegio de Abogados de Madrid, y contra Don E.E.E. y Don J.J.J. por estos mismos hechos. 2. De la información facilitada por el Don E.E.E. se desprende lo siguiente: - “De conformidad con los artículos 6.1 y 11.2 d) de la LOPD, invocados al principio, así como del artículo 24 CE y art. 590 LEC, el tratamiento de los datos personales de la denunciante relativos al número de cuenta bancaria y al número de mutualista, no requerían consentimiento alguno para obtenerlos y tratarlos, pues por un lado, el destinatario de los mismos era un Juzgado y por otra la LEC autoriza a los Juzgados a recabar datos patrimoniales del ejecutado en un procedimiento judicial”. - Aportó copia del Auto del Juzgado de Primera Instancia no 0C de ...... de fecha 16 de febrero de 2006, en el que se recoge lo siguiente: “En cuanto a la investigación del patrimonio del ejecutado, líbrese oficio a la Oficina de Averiguación Patrimonial, al Colegio de Abogados, a la Mutualidad de Abogacía, a la TGSS y a la Agencia Tributaria”. - Asimismo aportó copia igual a la presentada por el Colegio de Abogados en el escrito citado anteriormente, donde consta el número de cuenta bancaria y que fue presentado en el Juzgado y copia del escrito

Página 261 de 353

presentado en el Juzgado por la Mutualidad donde consta el número de Mutualista. 3. De la información facilitada por D. J.J.J. se desprende lo siguiente: - “Los datos del número de cuenta bancaria y del número de Mutualista le fueron traslados por el propio Juzgado de Primera Instancia no 0A de ...... , a través de las resoluciones de fecha 9 y 21 de marzo de 2006, en el procedimiento de ejecución de títulos judiciales xxx/xxxx, dimanante del procedimiento ordinario 418/2001. Estas resoluciones adjuntaban sendas contestaciones del Colegio de Abogados y de la Mutualidad General de la Abogacía en respuesta a los oficios remitidos por el mencionado Juzgado”. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” El deber de secreto comporta, tal y como dispone el precepto transcrito, el deber de guardar los datos personales objeto de tratamiento. Las obligaciones de secreto profesional y guarda y custodia de los datos que dispone el citado artículo 10 de la LOPD, suponen una garantía de que la información registrada no transfiera el ámbito del responsable del fichero y que el titular de dichos datos encuentre asegurada su intimidad. Es decir, se exige una confidencialidad absoluta de los datos tratados. Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia Tribunal Constitucional 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida. III El artículo 11 de la LOPD regula la comunicación de datos, estableciendo en sus apartados 1 y 2: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Página 262 de 353

2. El consentimiento exigido en el apartado anterior no será preciso: El artículo 10 de la LOPD dispone: c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.” En el presente caso, el tratamiento de los datos de la denunciante se realizó por el Colegio de Abogados de Madrid a solicitud de un requerimiento del Juzgado de Primera Instancia no 0A de ...... , por lo que, en este caso, surgiría una colisión entre dos derechos fundamentales. Por un lado, el derecho a la protección de datos de carácter personal, derivado del artículo 18 de la Constitución y consagrado como derecho autónomo e informador del texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y, por otro, el derecho a la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24 de la Constitución, lo que implica para su efectividad la asistencia letrada y representación procesal. En el supuesto examinado, se produce una colisión conexa con el derecho al secreto profesional tutelado en el artículo 24.2 de la Norma Fundamental. Para resolver esta cuestión, debe indicarse que, en primer lugar, la propia LOPD permite establecer los límites para la exigencia del consentimiento, dado que su artículo 6.1 exige, como regla general, el consentimiento para el tratamiento de los datos "salvo que la Ley disponga otra cosa". A la vista de este precepto, el legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos, incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida. a) Cuando la cesión está autorizada en una Ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. En efecto, la exigibilidad del consentimiento del oponente para el tratamiento de sus datos supondría dejar a disposición de aquél el almacenamiento de la información necesaria para que el denunciante pueda ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos datos o su comunicación a la contraparte, puede implicar, lógicamente, una merma en la posibilidad de aportación por el interesado de "los medios de prueba Página 263 de 353

pertinentes para su defensa", vulnerándose otra de las garantías derivadas del citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de este derecho. Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por todas, Sentencia 186/2000, de 10 de julio) "el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho". Pues bien, aplicando la doctrina antedicha al supuesto concreto, debe darse prevalencia al derecho consagrado por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales, en los término expuestos. Asimismo, a mayor abundamiento, el citado artículo 11.2.d) de la LOPD señala que: “El consentimiento exigido en el apartado anterior no será preciso: Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas”. Por tanto, desde ambos puntos de vista, del artículo 24 de la Constitución Española y del artículo 11.2.d) de la LOPD, el Colegio de Abogados de Madrid estaba habilitado para ceder la documentación que contenía datos de carácter personal de la denunciante al Juzgado de Primera Instancia no 0C de ...... IV En el presente caso, ha quedado acreditado que el Colegio de Abogados de Madrid facilitó datos relativos a la denunciante en el transcurso de un procedimiento judicial, a requerimiento del Juzgado, es decir en el ejercicio de la tutela judicial efectiva. Por tanto, estaba habilitado para ceder la documentación que contenía datos de carácter personal de la denunciante al Juzgado de Primera Instancia no 0C de ....., por lo que no cabe apreciar que se haya producido la vulneración de los artículos 10 y 11 de la LOPD. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: 1. PROCEDER AL ARCHIVO de las presentes actuaciones. 2. NOTIFICAR la presente Resolución al COLEGIO DE ABOGADOS DE MADRID, (C/.....................................), a DON E.E.E., (C/....................................), a DON J.J.J., (C/....................................), y a DOÑA M.M.M., (C/....................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán Página 264 de 353

interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 6 de noviembre de 2007 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 265 de 353

Expediente No: E/01143/2006 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante DÑA. B.B.B., en virtud de denuncia presentada ante la misma por el Policía Local CONCELLO DE OURENSE (POLICÍA LOCAL), y en base a los siguientes, HECHOS PRIMERO: Con fecha 6/10/2006, tuvo entrada en esta Agencia un escrito remitido mediante correo electrónico procedente del Concello de Ourense, en el que su Policía Local informa que el día 4/10/2006 pudieron acceder a través de la aplicación de archivos compartidos “e- mule” a la descarga de un archivo con formato “acces”, que bajo el nombre “Gestión de expedientes.mdb”, y con un tamaño de 8,53 MB, recoge en un listado, una relación de 32 clientes de un Abogado de X & X (.........), siendo la dirección IP desde la que se comparte dicho listado, la ########, asociada al nick ”(...Z...)”. Se aporta por la Policía Local dos hojas en las que por una cara se aprecian 32 nombres y apellidos con su NIF, número de teléfono, fax y dirección. Además de dicha relación, se acompañan 5 páginas referidas a “Listado de expedientes”, que contiene del 1 al 25, el nombre y apellidos de los que figuran en los listados “acces”, y en una página diferente titulada “Minuta de honorarios”, figura el nombre de un abogado, D. P.P.P., y su dirección y teléfono, en la localidad de (.........). SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. Los Servicios de Inspección requirieron a la entidad gestora de la dirección IP ########, France Telecom, que informara a quien correspondía dicha dirección en el día 4/10/2006 entre las 12 y las 16 horas, contestándose el 19/03/2007, que entre el 2 y el 5/10/2006, dicha dirección estuvo asignada a la línea ***********, titularidad de D. A.A.A., aportándose su domicilio y NIF y agregando que es cliente desde 14/04/2005. 2. Los Servicios de Inspección se pusieron en contacto con el teléfono que figuraba en la hoja “Minuta de honorarios”, practicando una diligencia el 16/10/2007 en la que consta que entablaron conversación con Dña. B.B.B., que manifestó que el Sr. P.P.P. era su marido y falleció el dd/mm/aaaa, que ejerció la Abogacía ante el Ilustre Colegio de Abogados de (.........) hasta aquella fecha, que a su fallecimiento se dio de baja la línea de acceso a Internet de la que disponía, y que se conserva parte de la documentación referida a la labor profesional de su marido, sin que se hayan traspasado soportes informáticos ni documentación relativa al ejercicio de su labor como abogado a ningún otro profesional. 3. Con fecha 31/10/2007, se informa por parte del Ilustre Colegio de Abogados de (.........) que el Sr. P.P.P. figuró como ejerciente inscrito en dicha sede desde 10/01/2000, hasta dd/mm/aaaa, habiéndose reconocido por la Mutualidad General de la Abogacía Española el auxilio y el subsidio por defunción en fecha 12/01 y 13/02/2006, respectivamente. FUNDAMENTOS DE DERECHO I

Página 266 de 353

Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II “1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.” III El artículo 10 de la LOPD señala: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” IV El artículo 43.1 de la LOPD señala:
 “1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley.”
 El artículo 9 de la LOPD señala: V El artículo 130 de la Ley 30/1992, de 26/11, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, señala_ “1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia.” VI De las actuaciones practicadas no se ha determinado que los ficheros hallados en la aplicación e-mule relativos a los clientes del abogado D. P.P.P. sea constitutiva de infracción a la LOPD, toda vez que dicho profesional falleció en octubre 2005 y no consta que sus ficheros hayan sido cedidos a algún otro profesional. La propia naturaleza de los archivos utilizados en aplicaciones compartidas como el e-mule hacen posible potencialmente su extensión a cualquier persona, y en el presente caso, así parece haber sucedido con el usuario de la dirección IP ########. Por ello, procede el archivo de las presentes actuaciones al no poder derivarse responsabilidad por las infracciones cometidas y desconocerse la identidad de la persona que ha insertado en e-mule los datos de referencia, sin que pueda deducirse, en consecuencia su eventual responsabilidad. Por lo tanto, de acuerdo con lo señalado, Página 267 de 353

Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: 1. PROCEDER AL ARCHIVO de las presentes actuaciones. 2. NOTIFICAR la presente Resolución a DÑA. B.B.B., con domicilio en (C/........................................) y al CONCELLO DE OURENSE, con domicilio en Pza. San Martín, 1 - 32005 OURENSE (Ourense) De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 9 de enero de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 268 de 353

Expediente No: E/00094/2007 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante la entidad Ilustre Colegio de Abogados de Madrid en virtud de denuncia presentada ante la misma por Da G.G.G. y en base a los siguientes, HECHOS PRIMERO: Con fecha 10 de noviembre de 2006, tuvo entrada en esta Agencia escrito de Da G.G.G. (en lo sucesivo la denunciante) contra el Ilustre Colegio de Abogados de Madrid (en lo sucesivo ICAM) en el que denuncia al servicio médico de dicho colegio por haber facilitado a su ex esposo cartas de cargo de las prestaciones además de un informe médico. La denunciante es titular de la prestación médica del Servicio Médico del Ilustre Colegio de Abogados de Madrid. Inició los trámites de divorcio de su esposo en agosto de 2007, comunicando la baja del mismo en septiembre de 2005 como beneficiario al Servicio Médico del Colegio de Abogados. En los trámites del procedimiento matrimonial que se tramitó ante el Juzgado no 0A de ...... , su ex esposo presentó documentación personal de la denunciante, relativa a los cargos de las prestaciones del Servicio Médico del Colegio de Abogados (duplicados de la misma) correspondientes a los dos últimos trimestres del año 2005. En su escrito adjunta copia del fax de fecha 22/9/2005 en el que solicitaba la baja de su ex marido como beneficiario del Servicio Médico del Colegio de Abogados, copia de la relación de prestaciones del Servicio Médico de fechas dd/mm/aaaa y dd/mm/aaaa que habría sido aportada en el procedimiento matrimonial y contestación de fecha 21/3/2006 a la consulta planteada por la denunciante ante el Servicio Médico del Colegio de Abogados con relación a los hechos aquí denunciados. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. A solicitud de esta Agencia, la denunciante remitió documentación adicional en escrito con fecha de registro de entrada 22/12/2006, consistente en el Escrito de Contestación a la demanda interpuesta por la denunciante, con fecha de entrada 30/1/2006 en los Juzgados de ......, así como los documentos números 22 y 23 que se citan en esa contestación. El documento número 22 es un informe médico de fecha 27/2/2005 de asistencia de urgencia a la denunciante y el documento número 23 consiste en dos listados de prestaciones del Servicio Médico del Colegio de Abogados de Madrid, uno de fecha dd/mm/aaaa y el otro de fecha dd/mm/aaaa; ambos figuran dirigidos a la propia denunciante a su domicilio ubicado en “(C/..............................). 2. En su escrito de fecha de registro de entrada 3/7/2007, el “Cargo 1” del ICAM realiza las siguientes manifestaciones en su escrito de fecha de registro de salida 24/5/2007: - Respecto de los listados de prestaciones del Servicio Médico del Colegio de fechas dd/mm/aaaa y dd/mm/aaaa que “fueron remitidos por correo ordinario a Doña G.G.G., quien figuraba como destinataria de los mismos en su calidad o condición de titular del servicio médico, y con la exclusiva finalidad de Página 269 de 353

informarle sobre los cargos que le iban a ser girados como consecuencia del sistema de “copago” implantado por esta Corporación en su servicio médico”. - Respecto del parte de Asistencia de Urgencia manifiesta que “coincide con el que en su día remitió el Hospital Montepríncipe de ...... con la factura para su abono, si bien el código de barras y los números manuscritos que aparecen en el documento, no aparecen en el documento que el mencionado Hospital envió a este Colegio, por lo que no se trata de una copia del documento que consta en esta Corporación”. - Asimiso en su escrito aporta copia del Documento de Seguridad solicitado por la Agencia y que se refiere a varios ficheros, entre los que se encuentra del denominado “PRESTACIONES DE SERVICIO MÉDICO”. - Mediante escrito con fecha de registro de entrada 18/9/2007, el “Cargo 1” del ICAM aportó copia del parte de Asistencia de Urgencia del Hospital Montepríncipe de ....... De la comparación de este documento y del proporcionado por la denunciante (que habría sido aportado como documento número 22 en el procedimiento matrimonial), se desprenden las diferencias antes apuntadas por el “Cargo 1” del ICAM. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II El artículo 10 de la LOPD establece que: "El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismo y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo". Siendo de aplicación al Derecho administrativo sancionador, con matices pero sin excepciones, los principios inspiradores del orden penal, adquiere plena virtualidad el principio de presunción de inocencia en el ámbito de la potestad sancionadora, que desplaza a quien acusa la carga de probar los hechos y su autoría. En tal sentido, el Tribunal Constitucional, en su sentencia 76/1990, de 26/04, considera que el derecho a la presunción de inocencia comporta “que la sanción esté basada en actos o medios probatorios de cargo o incriminadotes de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio”. En atención a lo expuesto, teniendo en cuenta que no se ha podido acreditar que el Servicio Médico del Ilustre Colegio de Abogados de Madrid haya facilitado ninguna información o parte de asistencia médica de Da G.G.G., frente a la certeza y concreción exigida en estos supuestos para poder calificar la conducta como sancionable, debe concluirse que no existe prueba de cargo suficiente, por lo que procede acordar en archivo del presente expediente. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, Página 270 de 353

SE ACUERDA: PROCEDER AL ARCHIVO de las presentes actuaciones. NOTIFICAR la presente Resolución a Ilustre Colegio de Abogados de Madrid con domicilio en (C/........................................) y a Dña G.G.G. con domicilio en (C/.........................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 12 de febrero de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 271 de 353

Expediente No: E/01403/2007 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante BUFETE T. & ASSOCIATS, S.A. en virtud de denuncia presentada ante la misma por D. R.R.R. y en base a los siguientes, HECHOS PRIMERO: Con fecha 19/07/07, tuvo entrada en esta Agencia escrito de D. R.R.R. (en lo sucesivo el denunciante) en el que manifiesta que el Despacho de Abogados BUFETE T. & ASSOCIATS, S.A. (en lo sucesivo T. & ASSOCIATS), a través de dos de sus abogadas, solicitaron a la Junta de Gobierno del Ilustre Colegio de Abogados de (........) el levantamiento de secreto profesional con la finalidad de reclamar en vía judicial por medio de la correspondiente demanda civil las cantidades devengadas, por parte de su cliente, en concepto de honorarios por actuación letrada del citado despacho. Con fecha de 24/05/27 habría recibido notificación de la Resolución de la Junta de Gobierno del Colegio de Abogados con relación a la mencionada solicitud levantado el secreto profesional a las letradas de T. & ASSOCIATS y autorizándolas a utilizar determinados documentos para la reclamación judicial de sus honorarios. Con fecha de 23/05/07 T. & ASSOCIATS presentó escrito de demanda de juicio ordinario reclamando honorarios profesionales, demanda a la que se acompañarían los citado documentos en los que figuran datos personales del denunciante. Adjuntó a su escrito los siguientes documentos:  Testimonio de la Resolución de fecha 23/04/07 emitida por la Junta de Gobierno del Colegio de Abogados de (........).  Diligencia de presentación de fecha 13/06/07 de la demanda interpuesta por T. & ASSOCIATS. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. En la Resolución de fecha 23/04/07 de la Junta de Gobierno del Colegio de Abogados de (........), figura en el antecedente de hecho primero la relación de los cinco documentos de los que el T. & ASSOCIATS solicita el levantamiento del secreto profesional. En esa Resolución se acuerda el levantamiento del secreto profesional de dicha documentación, señalando que “exclusivamente para el procedimiento ordinario que se pretende ante el Juzgado Decano de (........), y únicamente en todo aquello que resulte necesario para la defensa de sus intereses para reclamación de sus honorarios profesionales contra D. P.P.P.”. 2. Con fecha 23/05/07 T. & ASSOCIATS presentó demanda de juicio ordinario contra D. P.P.P., solicitando se dictara sentencia por la que se le condene a abonar a T. & ASSOCIATS la cantidad que le adeuda en concepto de honorarios de abogado y repercusión de gastos. Se adjuntaron, a la demanda, entre otros, los documentos aludidos en la Resolución de la Junta de Gobierno del Colegio de Abogados de (........). FUNDAMENTOS DE DERECHO I

Página 272 de 353

Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II El artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal establece: "El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismo y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo". III El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riego para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida. IV Entrando en el fondo de los hechos denunciados, esto es, sí la presentación de documentos (carta, correo electrónico y faxes) remitidos por el denunciante a T. & ASSOCIATS a efectos probatorios en la demanda de juicio ordinario planteada por T. & ASSOCIATS vulnera el secreto profesional y la intimidad del denunciante, se plantea una colisión entre dos derechos fundamentales: el derecho a la protección de datos de carácter personal, derivado del artículo 18 de la Constitución y consagrado como derecho autónomo e informador del texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, por un lado; y el derecho a la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24 de la Constitución, lo que implica para su efectividad la asistencia letrada y representación procesal. Página 273 de 353

Como ha dicho el Tribunal Constitucional, este derecho “comporta de forma esencial el que el interesado pueda encomendar su representación y asesoramiento técnico a quién merezca su confianza y considere mas adecuado para instrumentar su propia defensa”. En el supuesto examinado, se produce una colisión conexa con el derecho al secreto profesional tutelado en el artículo 24.2 de la Norma Fundamental. Para resolver esta cuestión, debe indicarse que, en primer lugar, la propia Ley Orgánica 15/1999 permite establecer los límites para la exigencia del consentimiento, dado que su artículo 6.1 exige, como regla general, el consentimiento para el tratamiento de los datos "salvo que la Ley disponga otra cosa". (No olvidemos que el tratamiento de datos, de acuerdo con la definición recogida en el artículo 3.c) de la LOPD también puede suponer la cesión de los datos) A la vista de este precepto, el legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos, incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida. En efecto, la exigibilidad del consentimiento del denunciante para el tratamiento de sus datos supondría dejar a disposición de aquél el almacenamiento de la información necesaria para que el denunciado pueda ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos datos o su comunicación a la contraparte, puede implicar, lógicamente, una merma en la posibilidad de aportación por el interesado de "los medios de prueba pertinentes para su defensa", vulnerándose otra de las garantías derivadas del citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de este derecho. Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por todas, STC 186/2000, de 10 de julio, con cita de otras muchas) "el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho". Pues bien, aplicando la doctrina antedicha al supuesto concreto, debería darse una prevalencia al derecho consagrado por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales, en los término expuestos. Por todo ello, si bien ninguna disposición con rango de Ley establece expresamente la posibilidad del tratamiento por abogados de los datos referidos al oponente de su cliente y su representante legal en el seno de un determinado proceso judicial, es evidente que dicha posibilidad trae causa directa de una norma de rango constitucional, reguladora además de uno de los derechos fundamentales y libertades públicas consagrados por la Constitución, y desarrollado por las leyes reguladoras de cada uno de los Órdenes Jurisdiccionales, en los preceptos referidos a la representación y defensa de las partes, por lo que existirá, desde el punto de vista de esta Agencia, una habilitación legal para el tratamiento de los datos, que trae su cobertura del propio artículo 24 de la Constitución y sus normas de desarrollo, Página 274 de 353

así como, en lo que respecta al deber de guardar secreto, en el artículo 24.2 de la C.E. y artículos 437.2 y 438.2 de la citada Ley Orgánica 6/1985 del Poder Judicial. V Dicho esto, deberá analizarse si el abogado se encuentra obligado, por imperativo del artículo 5.4 de la Ley Orgánica, a informar al oponente y al representante legal de su cliente de la existencia de un fichero o tratamiento, su responsable, su finalidad, la posibilidad que los afectados ejerciten los derechos que la Ley les atribuye y los destinatarios de los datos, dada la concurrencia entre el derecho del cliente a obtener la adecuada asistencia de letrado y, en definitiva, a ver satisfecha la tutela judicial efectiva, consagrada por el artículo 24 de la Constitución, y del oponente a la protección de sus datos de carácter personal, lo que supondrá el cumplimiento del citado deber de información. Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por todas, STC 186/2000, de 10 de julio, con cita de otras muchas) "el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho". Pues bien, aplicando la doctrina antedicha al supuesto concreto, y sin perjuicio de lo que, en su caso, manifestare en el futuro el Tribunal Constitucional, procederá ponderar en qué caso la limitación del ejercicio de uno de los derechos en conflicto puede producir una mayor merma de los derechos de la otra parte o, en su caso, las medidas que permitirán mitigar ese potencial perjuicio. Siguiendo esta premisa, debería darse una prevalencia al derecho consagrado por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales, en los término expuestos. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: 1. PROCEDER AL ARCHIVO de las presentes actuaciones. 2. NOTIFICAR la presente Resolución al BUFETE T. & ASSOCIATS, S.A. con domicilio en (C/............................................) y a D. R.R.R. con domicilio en (C/............................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en el artículo 116 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Página 275 de 353

Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 12 de junio de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 276 de 353

Expediente No: E/01403/2007 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante BUFETE T. & ASSOCIATS, S.A. en virtud de denuncia presentada ante la misma por D. R.R.R. y en base a los siguientes, HECHOS PRIMERO: Con fecha 19/07/07, tuvo entrada en esta Agencia escrito de D. R.R.R. (en lo sucesivo el denunciante) en el que manifiesta que el Despacho de Abogados BUFETE T. & ASSOCIATS, S.A. (en lo sucesivo T. & ASSOCIATS), a través de dos de sus abogadas, solicitaron a la Junta de Gobierno del Ilustre Colegio de Abogados de (........) el levantamiento de secreto profesional con la finalidad de reclamar en vía judicial por medio de la correspondiente demanda civil las cantidades devengadas, por parte de su cliente, en concepto de honorarios por actuación letrada del citado despacho. Con fecha de 24/05/27 habría recibido notificación de la Resolución de la Junta de Gobierno del Colegio de Abogados con relación a la mencionada solicitud levantado el secreto profesional a las letradas de T. & ASSOCIATS y autorizándolas a utilizar determinados documentos para la reclamación judicial de sus honorarios. Con fecha de 23/05/07 T. & ASSOCIATS presentó escrito de demanda de juicio ordinario reclamando honorarios profesionales, demanda a la que se acompañarían los citado documentos en los que figuran datos personales del denunciante. Adjuntó a su escrito los siguientes documentos:  Testimonio de la Resolución de fecha 23/04/07 emitida por la Junta de Gobierno del Colegio de Abogados de (........).  Diligencia de presentación de fecha 13/06/07 de la demanda interpuesta por T. & ASSOCIATS. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. En la Resolución de fecha 23/04/07 de la Junta de Gobierno del Colegio de Abogados de (........), figura en el antecedente de hecho primero la relación de los cinco documentos de los que el T. & ASSOCIATS solicita el levantamiento del secreto profesional. En esa Resolución se acuerda el levantamiento del secreto profesional de dicha documentación, señalando que “exclusivamente para el procedimiento ordinario que se pretende ante el Juzgado Decano de (........), y únicamente en todo aquello que resulte necesario para la defensa de sus intereses para reclamación de sus honorarios profesionales contra D. P.P.P.”. 2. Con fecha 23/05/07 T. & ASSOCIATS presentó demanda de juicio ordinario contra D. P.P.P., solicitando se dictara sentencia por la que se le condene a abonar a T. & ASSOCIATS la cantidad que le adeuda en concepto de honorarios de abogado y repercusión de gastos. Se adjuntaron, a la demanda, entre otros, los documentos aludidos en la Resolución de la Junta de Gobierno del Colegio de Abogados de (........). FUNDAMENTOS DE DERECHO I

Página 277 de 353

Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II El artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal establece: "El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismo y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo". III El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riego para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida. IV Entrando en el fondo de los hechos denunciados, esto es, sí la presentación de documentos (carta, correo electrónico y faxes) remitidos por el denunciante a T. & ASSOCIATS a efectos probatorios en la demanda de juicio ordinario planteada por T. & ASSOCIATS vulnera el secreto profesional y la intimidad del denunciante, se plantea una colisión entre dos derechos fundamentales: el derecho a la protección de datos de carácter personal, derivado del artículo 18 de la Constitución y consagrado como derecho autónomo e informador del texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, por un lado; y el derecho a la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24 de la Constitución, lo que Página 278 de 353

implica para su efectividad la asistencia letrada y representación procesal. Como ha dicho el Tribunal Constitucional, este derecho “comporta de forma esencial el que el interesado pueda encomendar su representación y asesoramiento técnico a quién merezca su confianza y considere mas adecuado para instrumentar su propia defensa”. En el supuesto examinado, se produce una colisión conexa con el derecho al secreto profesional tutelado en el artículo 24.2 de la Norma Fundamental. Para resolver esta cuestión, debe indicarse que, en primer lugar, la propia Ley Orgánica 15/1999 permite establecer los límites para la exigencia del consentimiento, dado que su artículo 6.1 exige, como regla general, el consentimiento para el tratamiento de los datos "salvo que la Ley disponga otra cosa". (No olvidemos que el tratamiento de datos, de acuerdo con la definición recogida en el artículo 3.c) de la LOPD también puede suponer la cesión de los datos) A la vista de este precepto, el legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos, incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida. En efecto, la exigibilidad del consentimiento del denunciante para el tratamiento de sus datos supondría dejar a disposición de aquél el almacenamiento de la información necesaria para que el denunciado pueda ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos datos o su comunicación a la contraparte, puede implicar, lógicamente, una merma en la posibilidad de aportación por el interesado de "los medios de prueba pertinentes para su defensa", vulnerándose otra de las garantías derivadas del citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de este derecho. Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por todas, STC 186/2000, de 10 de julio, con cita de otras muchas) "el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho". Pues bien, aplicando la doctrina antedicha al supuesto concreto, debería darse una prevalencia al derecho consagrado por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales, en los término expuestos. Por todo ello, si bien ninguna disposición con rango de Ley establece expresamente la posibilidad del tratamiento por abogados de los datos referidos al oponente de su cliente y su representante legal en el seno de un determinado proceso judicial, es evidente que dicha posibilidad trae causa directa de una norma de rango constitucional, reguladora además de uno de los derechos fundamentales y libertades públicas consagrados por la Constitución, y desarrollado por las leyes reguladoras de cada uno de los Órdenes Jurisdiccionales, en los preceptos referidos a la representación y defensa de las partes, por lo que existirá, desde el punto de vista de esta Agencia, una habilitación legal para el tratamiento de los datos, que trae su Página 279 de 353

cobertura del propio artículo 24 de la Constitución y sus normas de desarrollo, así como, en lo que respecta al deber de guardar secreto, en el artículo 24.2 de la C.E. y artículos 437.2 y 438.2 de la citada Ley Orgánica 6/1985 del Poder Judicial. V Dicho esto, deberá analizarse si el abogado se encuentra obligado, por imperativo del artículo 5.4 de la Ley Orgánica, a informar al oponente y al representante legal de su cliente de la existencia de un fichero o tratamiento, su responsable, su finalidad, la posibilidad que los afectados ejerciten los derechos que la Ley les atribuye y los destinatarios de los datos, dada la concurrencia entre el derecho del cliente a obtener la adecuada asistencia de letrado y, en definitiva, a ver satisfecha la tutela judicial efectiva, consagrada por el artículo 24 de la Constitución, y del oponente a la protección de sus datos de carácter personal, lo que supondrá el cumplimiento del citado deber de información. Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por todas, STC 186/2000, de 10 de julio, con cita de otras muchas) "el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho". Pues bien, aplicando la doctrina antedicha al supuesto concreto, y sin perjuicio de lo que, en su caso, manifestare en el futuro el Tribunal Constitucional, procederá ponderar en qué caso la limitación del ejercicio de uno de los derechos en conflicto puede producir una mayor merma de los derechos de la otra parte o, en su caso, las medidas que permitirán mitigar ese potencial perjuicio. Siguiendo esta premisa, debería darse una prevalencia al derecho consagrado por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales, en los término expuestos. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: 1. PROCEDER AL ARCHIVO de las presentes actuaciones. 2. NOTIFICAR la presente Resolución al BUFETE T. & ASSOCIATS, S.A. con domicilio en (C/............................................) y a D. R.R.R. con domicilio en (C/............................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en el artículo 116 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán Página 280 de 353

interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 12 de junio de 2008
 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 281 de 353

Expediente No: E/01630/2007 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante D. G.G.G. y el ILUSTRIE COLEGIO DE ABOGADOS DE SEVILLA, en virtud de denuncia presentada ante la misma por D. M.M.M. y en base a los siguientes, HECHOS PRIMERO: Con fecha 19 de noviembre de 2007, tuvo entrada en esta Agencia escrito de D. M.M.M. (en lo sucesivo el denunciante), en el que expone que D. G.G.G. (en lo sucesivo el denunciado), ha tratado sus datos personales sin registrar el fichero correspondiente y que no aplica las medidas de seguridad exigibles. Asimismo, denuncia la cesión de dichos datos sin su consentimiento al Colegio de Abogados de Sevilla (en lo sucesivo Colegio de Abogados). Aporta, entre otros documentos, copia de un escrito, de fecha 8 de octubre de 2007, firmado por D. G.G.G. dirigido a su atención en el que se da contestación a la petición del denunciante de ejercicio del derecho de acceso a sus datos personales. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. En el Registro General de Protección de Datos figura declarado por el denunciado un fichero denominado “M.M.M.” con fecha de inscripción inicial 18 de octubre de 2007. La finalidad y usos previstos son el asesoramiento jurídico y presentación de demanda civil en nombre de dicha persona. 2. El denunciante no concreta, ante el requerimiento de la Inspección, cuales son las medidas de seguridad incumplidas. 3. De las manifestaciones y documentación aportada por el denunciado resulta lo siguiente -El denunciado actuó como Letrado del denunciante en un procedimiento judicial. Posteriormente surgieron desavenencias entre ambos, solicitando el denunciante la intervención del Colegio de Abogados, mediante escrito de 21 de febrero de 2007 en el que expone: “he requerido al mencionado letrado para que entregue mi documentación, y copia de las sentencias dictadas, pero dicho letrado se niega a ello hasta que le pague sus honorarios, por lo que me veo en la obligación de reclamar su atención para que solucione este problema que ese letrado me ha creado..., por lo que le ruego intervenga a la mayor brevedad posible y solucione este problema”. -Como consecuencia de esta solicitud el Colegio de Abogados remitió al denunciado un escrito en fecha 8 de marzo de 2007 en el que se le solicitada que procediera a devolver los documentos directamente o través de la Secretaría de dicho Colegio que se ocuparía de su entrega al denunciante. Con fecha 30 de julio de 2007 el denunciado recibió un comunicado del Colegio de Abogados en el que se le informa que, una vez recibida su respuesta y la documentación que acompaña a la misma, se puso en conocimiento del denunciante comunicándole que la documentación se encontraba depositada en la Secretaría y que podía retirarla a su conveniencia. La documentación fue retirada por otra persona con una autorización suscrita por el denunciante.

Página 282 de 353

- Posteriormente, ante la solicitud de ejercicio del derecho de acceso a sus datos personales por parte del denunciante, el denunciado presentó un escrito en el Colegio de Abogados en la que indicaba que solicitaba su intermediación para entregar al denunciante una carta en la que se relacionan la totalidad de los datos de carácter personal y documentos que constan en su expediente. 4. El Colegio de Abogados manifiesta que la finalidad de la comunicación de datos efectuada es el seguimiento de un expediente deontológico, iniciado al denunciado a instancia del denunciante, que permita gestionar las funciones legal y estatutariamente previstas de control deontológico de la profesión de abogado y la aplicación del régimen disciplinario. Indica que los datos personales contenidos en la carta a que hace referencia el apartado anterior, ya se encontraban dentro del expediente disciplinario abierto a instancia del denunciante con anterioridad a la citada comunicación. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II En cuanto a la primera cuestión planteada por el denunciante, relativa a la ausencia de inscripción del fichero en el Registro de Protección de Datos, los artículos 25 y 26 de la LOPD establecen lo siguiente: Artículo 25. “Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.” Artículo 26. “1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos. 2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.” De las actuaciones de investigación practicadas ha quedado acreditado que el denunciado notificó a la Agencia de Protección de Datos la existencia de un fichero que contenía datos personales del denunciante y cuya finalidad declarada era su asesoramiento jurídico y presentación de demanda civil en su nombre, por lo que queda acreditado el cumplimiento de los deberes impuestos en esta materia por la LOPD. III La segunda cuestión que plantea la denuncia es la inaplicación de medidas de seguridad por parte del denunciado. El Real Decreto 994/1999 de 11 de junio de 1999, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, dispone en su artículo 4: Página 283 de 353

“1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico. 2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio. 3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto. 4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20. 5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.” En el presente caso, el denunciante no concreta en que consiste el incumplimiento alegado, efectuándose solamente una referencia genérica a la inobservancia de las medidas de seguridad exigidas en la normativa vigente. De la investigación realizada por la Inspección de Datos no queda constancia alguna de la realidad del incumplimiento alegado por lo que debe desestimarse dicha imputación en aplicación del principio de presunción de inocencia previsto en los artículos 24.2 de la Constitución Española y 137 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. En este sentido, la Jurisprudencia tiene declarado respecto de este principio que “Su contenido esencial implica no sólo la acreditación de los hechos ilícitos, sino también “...la prueba de la responsabilidad del sujeto en la comisión de los mismos” (Sentencia del Tribunal Supremo de 02/07/1990). La presunción de inocencia debe regir, sin excepciones, en el ordenamiento sancionador y ha de ser respetada en la imposición de cualesquiera sanciones, pues el ejercicio del “ius puniendi” en sus diversas manifestaciones está condicionado al juego de la prueba y a un procedimiento contradictorio en el que puedan defenderse las propias posiciones. En tal sentido, el Tribunal Constitucional en su Sentencia 76/1990 de 26/04 considera que el derecho a la presunción de inocencia comporta: “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio.” IV Respecto a la tercera cuestión planteada en el expediente, esto es, la comunicación de los datos personales del denunciante por parte del denunciado al Colegio de Abogados el artículo 10 de la LOPD establece lo siguiente: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto Página 284 de 353

profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo." El deber de secreto profesional que incumbe a los responsables de los ficheros y a todos aquellos que intervengan en cualquier fase del tratamiento de los datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su obligación de no revelar ni dar a conocer su contenido, así como “deber de guardarlos”. Continúa dicho artículo añadiendo: “obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste, precisamente, el secreto. En el presente supuesto debe analizarse si desde el punto de vista de la protección de datos de carácter personal, la actuación denunciada constituye una vulneración del deber de secreto. En las actuaciones de Investigación realizadas por la Inspección se ha constatado que, como consecuencia de las desavenencias surgidas entre el denunciante y el denunciado, se solicitó la intermediación del Colegio de Abogados, entregándose al denunciante, a través de dicho Colegio, los documentos relativos al pleito en que el denunciado actuó como Letrado suyo y, posteriormente, el escrito mediante el cual el denunciado le facilita el ejercicio del derecho de acceso a sus datos personales. Consta también que a instancia del denunciante, y con anterioridad al ejercicio del derecho de acceso, la Comisión deontológica del Colegio de Abogados había iniciado un expediente disciplinario al denunciado, por lo que dicho expediente contenía los datos personales del denunciante. Es por ello que, teniendo en cuenta que el propio denunciante había facilitado sus datos personales al Colegio de Abogados, los hechos denunciados no pueden calificarse como una vulneración del deber de secreto regulado en la LOPD. En este sentido, la Audiencia Nacional, en Sentencia de fecha 22 de septiembre de 2004 ha considerado que no puede hablarse de comunicación de datos de carácter personal contraria a las prescripciones de la LOPD cuando los datos ya fueran conocidos por los posibles destinatarios de la misma, en este caso el Colegio de Abogados de Sevilla, dado que “... no se puede trasmitir o revelar a un tercero aquello que previamente ya ha sido revelado al mismo”. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: 1. PROCEDER AL ARCHIVO de las presentes actuaciones. 2. NOTIFICAR la presente Resolución a D. G.G.G., con domicilio en (C/..........................................) y a D. M.M.M. con domicilio en (C/..........................................) De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en el artículo 116 del Real Decreto Página 285 de 353

1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 30 de septiembre de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 286 de 353

Expediente No: E/01019/2008 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante ARCOFER ABOGADOS, S.L. y D F.F.F. en virtud de denuncia presentada ante la misma por D. R.R.R. y en base a los siguientes, HECHOS PRIMERO: Con fecha 26/032008, tuvo entrada en esta Agencia un escrito de D. R.R.R. (en lo sucesivo el denunciante) en el que denuncia, en primer lugar a D. F.F.F. , administrador único de ARCOFER ABOGADOS, S.L., dado que expone que, sin su consentimiento, proporcionó a Da. C.C.C. su número de teléfono, que conocía al haber sido previamente su Letrado Asimismo, denuncia que, con fecha 18/01/2008 se celebró en el Juzgado de Primera Instancia no 0A de ...... una vista con el fin de adoptar unas medidas provisionales previas por Demanda de Divorcio con n. o ***/**** y la letrada D.a. G.G.G., del Colegio de Abogados de Toledo, que representaba a la ex-mujer del denunciante D.a C.C.C., aportó, mostró y divulgó de viva voz, información y documentos relativos al denunciante, que reconoció en la vista le fueron enviados por D. F.F.F. ( en lo sucesivo el denunciado). Los documentos entregados consistían en una copia de la denuncia interpuesta por el denunciado contra el denunciante en la Comisaría de (..........) y una citación del Juzgado de lo Penal no 0A de .... para comparecer en el procedimiento Abreviado ***/****, correspondiente a un supuesto delito de estafa en que el acusado era el denunciante. El denunciante aporta copia de estos documentos y un disco DVD que contiene copia del vídeo grabado de la vista, en la cual en el minuto 5.50 la Sra. G.G.G. reconoce que solicitó la documentación al Sr. F.F.F., y que éste se la envió. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: Con fechas de 04/08/2008 y 19/09/2008 se solicitó al denunciado información en relación con los hechos denunciados, contestando con fechas 18/08/2008 y 30/09/2008 a dichos requerimientos en el sentido siguiente: . A) En relación con el primer hecho denunciado, esto es que el denunciado proporcionó a Da. C.C.C. su número de teléfono del denunciante, que conocía al haber sido previamente su Letrado, el denunciado manifiesta que nunca facilitó a Da. C.C.C. datos del denunciante que ella no conociera, por haber tenido una relación sentimental con el denunciante, realizando la comunicación en el mes de enero de 2005. B) En relación con el segundo hecho denunciado, esto es la entrega a la abogada de su exmujer de una copia de la denuncia interpuesta por el denunciado contra el denunciante en la Comisaría de (..........) y una citación del Juzgado de lo Penal no 0A de .... , el denunciado realiza las siguientes manifestaciones: Ninguno de los documentos, la copia de la denuncia y la citación al juicio, son del denunciante, ni tienen relación con fichero o relación de datos que él tenga o haya tenido acerca del denunciante. Página 287 de 353

La denuncia se interpuso por el denunciado contra el denunciante por la supuesta comisión de un delito que aún no se encuentra sentenciado (será juzgado el 17/09/2008 por el Juzgado de lo Penal no 0A de ......). En dicha denuncia no se realiza cesión de datos relativos a fichero alguno sino que se pone en conocimiento de la Policía Nacional, unos hechos que pueden ser o no constitutivos de delito. La copia de esta denuncia la posee legítimamente como denunciante, y fue enviada por FAX a D.a C.C.C., abogada de la ex-mujer del denunciante, desconociendo la finalidad que a este documento se le haya dado por la misma y para demostrar que había interpuesto dicha denuncia contra el denunciante por los hechos que en la misma constan. En cuanto al documento en el que se le cita en el Juzgado de lo Penal no 0A de .... para comparecer en el procedimiento Abreviado ***/****, es la cédula de citación como testigo para la asistencia al juicio de D.a C.C.C., no respondiendo a fichero ni tratamiento de datos alguno del denunciante. Asimismo manifiesta que dicho documento fue enviado para demostrar a D.. C.C.C. que tenía que asistir al juicio ese día. Los ficheros y datos del denunciante que tiene en su poder como “abogado”, que ejerció su defensa entre 2001 y 2004, nunca han sido cedidos a terceros ilegítimamente ni con vulneración de ley alguna. Los documentos y cesiones de datos mencionados no responden al tratamiento de datos de carácter personal como consecuencia del ejercicio de su profesión, sino del ejercicio de acciones penales que han sido iniciadas por él contra el denunciante posteriormente a la finalización de dicho ejercicio profesional, que nada tienen que ver con los ficheros de los que dispone, sino sobre hechos delictivos que deberán juzgarse en los próximos meses. 7. No recuerda la fecha exacta en que los documentos descritos en el punto 1 de este apartado fueron enviados a la letrada, siendo enviados en el presente año 2008. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II Respecto a la primera de las cuestiones denunciadas , esto es, que el denunciado, en su condición de abogado, facilitase el numero de teléfono del denunciante a un tercero, debe señalarse, que aún en el supuesto de que dicha comunicación estuviese probada, la falta de deber de secreto estaría que le incumbe como profesional está prescrita al haberse producido en el me de enero de 2005. III En relación al segundo de los hechos, se significa que de la documentación obrante se concluye que, tanto la denuncia interpuesta por el denunciado contra el denunciante en la Comisaría de (..........) como la citación del Juzgado de lo Penal no 0A de .... para comparecer en el procedimiento Abreviado Página 288 de 353

***/**** como testigo para la asistencia al juicio de un tercero, son documentos del denunciado obtenido en el ámbito de su esfera privada a consecuencia de la formulación de una denuncia a un tercero y la recepción de una citación judicial, es decir, no obtenida por su condición profesional de “ abogado” y sujeto al “deber de secreto”. El artículo 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD): “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”. Por su parte, el artículo 5 del Real Decreto 1720/2007, de 21 de diciembre, por el que se se aprueba el Reglamento de desarrollo de la LOPD, define el concepto de fichero, de tratamiento de datos, estableciendo lo siguiente: “1.k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. T.)Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación,cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. “2.Ñ) Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos”. El articulo 10 de la LOPD impone el “deber de secreto” al responsable del tratamiento , al recoger: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. En el presente caso, los documentos referentes a la denuncia y la citación judicial no constituyen un “fichero” en los términos recogidos en la LOPD, esto es, un conjunto organizado de datos de carácter personal en soporte informático y se obtuvieron por el denunciado como persona privada, no como abogado sujeto al “deber de secreto” profesional y con la obligación de guardarlos. Por otra parte, la utilización de la Abogada en un procedimiento judicial se realizó al amparo de los derecho fundamentales a la “defensa y tutela judicial efectiva”. La Sentencia de la Audiencia Nacional en su sentencia de 23704/2008, recurso 148/2006, recoge los siguiente: “Resulta que el documento cuya revelación se publicó en la prensa..., es un único documento, compuesto por dos folios...Dadas dichas especificas circunstancias concurrentes en el supuesto no cabe exigir, respecto al documento en cuestión.. el documento de medidas de seguridad dado que se trató de un único papel”. Por todo ello, en el presente caso dada la inexistencia de un fichero y de la obligación de secreto por el denunciado, procede el archivo de las actuaciones. Por lo tanto, de acuerdo con lo señalado, Página 289 de 353

Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: 1. PROCEDER AL ARCHIVO de las presentes actuaciones. 2. NOTIFICAR la presente Resolución a D. F.F.F., en (c/...................................) y a D. R.R.R., con domicilio en (c/...................................). De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 22 de octubre de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 290 de 353

Expediente No: E/00893/2008 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas [de oficio] por la Agencia Española de Protección de Datos ante el BUFETE DE ABOGADOS X.X.X., el DIARIO EL PAÍS S.L., y MUNDINTERACTIVOS (EL MUNDO), en virtud de denuncia presentada ante la misma por DON D.D.D., y en base a los siguientes, HECHOS
 PRIMERO: Con fecha 6 de marzo de 2008, tuvo entrada en esta Agencia escrito remitido por Don D.D.D. (en lo sucesivo el denunciante), en el que manifiesta lo siguiente: Ejerce como Perito Médico del Ilustre Colegio Oficial de Médicos de la Provincia de (......). Sus servicios fueron requeridos recientemente por el Bufete de Abogados “X.X.X.”, en adelante X.X.X., para peritar un supuesto de mala praxis médica y a quienes entrego el informe pericial por él elaborado. En fechas posteriores aparecieron publicados en los diarios EL MUNDO y EL PAIS artículos sobre el caso en los que se mencionaban, sin su consentimiento, su nombre y apellidos como redactor del citado informe. Entiende que el informe que entregó a X.X.X. para su custodia hasta su entrega a la autoridad judicial no debería haberse puesto a disposición de los medios de comunicación. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: El día 4 de febrero de 2008, se publicó un artículo en la página 36 del diario EL PAIS en el que se puede leer: “Esta ha sido la base del prolijo informe efectuado por el ginecólogo D.D.D., perito del Colegio de Médicos de (.....).” El día 13 de febrero de 2008, se publicó un artículo en el diario EL MUNDO en el que se puede leer: “...cuando lee ahora el informe efectuado por D.D.D., ginecólogo y perito del Colegio de Médicos de (.....), donde se recoge que el bebe soporto....”. 
 En ese mismo artículo se menciona que los hechos relatados se encuentran bajo trámite judicial. En respuesta al requerimiento realizado por el inspector actuante el representante de X.X.X. manifestó: 3.1. El 10 de mayo de 2007, D. R.R.R. y Da. S.S.S. suscribieron con X.X.X. un contrato de prestación de servicios para el inicio de dos procedimientos judiciales derivados de una supuesta negligencia médica. 3.2. X.X.X. consultó los Listados Públicos de Peritos Judiciales de los Juzgados de (......) dado que estimaban necesaria la elaboración de un informe pericial. 
 Actuando en representación de sus clientes se puso en contacto con el reclamante para que elaborase para éstos el referido informe pericial. 3.3. El 4 de junio de 2007, se hizo entrega del informe pericial contratado y sus clientes procedieron al pago de los honorarios acordados. 3.4. El 16 de junio se presentó una querella criminal en la que se aportaba el citado informe pericial.

Página 291 de 353

3.5. No se ha proporcionado copia total o parcial del informe a ningún medio de comunicación, persona física o jurídica ajena al procedimiento por parte de X.X.X.. 3.6. El juzgado puso a disposición de las partes interesadas en el procedimiento, copia de dicho informe al que además tiene acceso el personal del juzgado de Instrucción no 41 de Madrid. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II El artículo 10 de la LOPD establece: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. El deber de secreto profesional que incumbe a los responsables de los ficheros y a todos aquellos que intervengan en cualquier fase del tratamiento de los datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su obligación de no revelar ni dar a conocer su contenido, así como “deber de guardarlos”. Continúa dicho artículo añadiendo: “obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste, precisamente, el secreto. Este deber de sigilo resulta esencial en la sociedad contemporánea, cada vez más compleja, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como el derecho a la protección de los datos personales, que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia del Tribunal Constitucional 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias de la dignidad de la persona. En el presente caso, ha quedado acreditado que se vulneró el deber de secreto al informar a la prensa, sin el consentimiento del denunciante, de sus datos relacionados con su actuación pericial en un caso de un bebe que nació con malformaciones. De las actuaciones practicadas no se ha podido acreditar la autoría de la vulneración, pues la documentación ha sido puesta a disposición del despacho

Página 292 de 353

de abogados que la solicitó (único denunciado), los padres del bebe, los abogados y procuradores de ambas partes, y personal del Juzgado. En este sentido, no puede obviarse que al Derecho administrativo sancionador le son de aplicación, con alguna matización pero sin excepciones, los principios inspiradores del orden penal, resultando clara la plena virtualidad de los principios de presunción de inocencia e “in dubio pro reo” en el ámbito de la potestad sancionadora, que desplazan a quien acusa la carga de probar los hechos y su autoría. La presunción de inocencia debe regir sin excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición de cualesquiera sanciones, pues el ejercicio del “ius puniendi” en sus diversas manifestaciones está condicionado al juego de la prueba y a un procedimiento contradictorio en el que puedan defenderse las propias posiciones. En tal sentido, el Tribunal Constitucional, en su Sentencia 76/1990, de 26 de abril, considera que el derecho a la presunción de inocencia comporta: “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio”. La Sentencia del citado Tribunal de 20/02/1989 indica que “Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor rei, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate”. En relación con dicho asunto, la Sentencia de la Audiencia Nacional en el Recurso número 29/2000, de 25 de mayo de 2001, en el Fundamento de Derecho segundo, señala: . En definitiva, teniendo en cuenta que en el presente caso no se han podido acreditar los hechos denunciados, necesarios para poder calificar con acierto la conducta como sancionable, debe concluirse, a tenor del principio de presunción de inocencia, que procede acordar el archivo de las presentes actuaciones previas de investigación. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: PROCEDER AL ARCHIVO de las presentes actuaciones. NOTIFICAR la presente Resolución al BUFETE DE ABOGADOS X.X.X., al DIARIO EL PAIS S.L., a MUNDINTERACTIVOS (EL MUNDO) y a DON D.D.D.. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la Página 294 de 353

notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 8 de enero de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 295 de 353

Expediente No: E/01315/2008 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante la entidad L& L ABOGADOS ASOCIADOS, S.L. en virtud de denuncia presentada ante la misma por la FISCALÍA PROVINCIAL DE ÁLAVA y en base a los siguientes, HECHOS PRIMERO: Con fecha de 24 de julio de 2008 tuvo entrada en esta Agencia un escrito de la Fiscal Coordinadora de Menores de la Fiscalía Provincial de Álava, por el que, en virtud de lo acordado en las Diligencias de Investigación no **/****, da traslado de diversa documentación hallada en la vía pública y de las actuaciones llevadas a cabo por la Fiscalía, entre la que figura una denuncia presentada, el 20 de junio de 2008, ante la Comandancia de la Guardia Civil de Álava, por D. X.X.X., responsable de Área de la empresa de consultoría PRISMA, compañía que, según sus declaraciones, había sido encargada “para realizar un estudio y presupuesto sobre las vulnerabilidades que pudiera tener el centro de menores Zabaltxen”. En la denuncia se pone de manifiesto que el día 14 del mismo mes “cuando se encontraba realizando el estudio mencionado, observó en el interior de un contenedor de basura, situado en las proximidades del centro, 34 documentos en los que se ven las imágenes de lo que parecen menores”. Entre la documentación remitida se encuentra una “Diligencia de Exposición” en la que se hace constar que, como consecuencia de la citada denuncia del Sr, X.X.X., dos agentes de la Guardia Civil (UOPJ Álava) se personaron en mencionado lugar y hallaron “varios documentos de apariencia oficial”, los cuales, a juicio del Instructor, “no guardan relación aparente con el hallazgo que nos ocupa, tratándose de documentos antiguos relativos a procedimientos laborales y civiles”. En relación con los documentos hallados por el Sr. X.X.X., con fecha 1 de septiembre de 2008 se da traslado de los mismos a la Agencia Vasca de Protección de Datos al apreciarse que pudieran proceder de ficheros de datos de carácter personal de los que es responsable la Diputación de Álava. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. La documentación hallada el 20 de junio de 2008 por los agentes de la Guardia Civil en Vitoria, en las inmediaciones del Centro Zabaltzen de la Cruz Roja, puede agruparse de la siguiente forma: 1.1. Documentación relativa a la compañía BURAN, S.L., incluyendo:
 1.1.1. Documento con el membrete del despacho de abogados de V.V.V., Y.Y.Y. y Z.Z.Z., fechado el 21 de septiembre de 1994, en el que se manifiesta haber recibido de Da A.A.A., Da B.B.B. y D. C.C.C. una cantidad de dinero en pago de una condena en costas del procedimiento **/** del Juzgado de Primera Instancia no 0A. Este documento está suscrito por Dña. Z.Z.Z..
 1.1.2. Notificación del despacho a BURAN, S.L., en su calidad de clientes, de 29 de marzo de 1994. Este documento está suscrito por Dña. Z.Z.Z..
 1.1.3. Página 296 de 353

Notificaciones del Juzgado de Primera Instancia no 0A de ...... y de la Audiencia Provincial de ......
 1.2. Documentación relativa a Dña. K.K.K., incluyendo: 1.2.1. Notificaciones del Juzgado de lo Social no 0B y del Juzgado de Primera Instancia no 0A de ...... 1.2.2. Telefax remitido por Z.Z.Z. a Q.Q.Q., con la referencia “K.K.K.”. No consta la fecha de envío. 1.2.3. Distintos escritos dirigidos al Juzgado de lo Social y al Departamento de Trabajo y Seguridad Social Gobierno Vasco por la sra. K.K.K.. 1.2.4. Distintas nóminas de la compañía CONGELADOS ARALAR, S.A. a nombre de la sra. K.K.K., correspondientes a los años 1991 y 1992. 1.2.5. Cédulas de citación del Departamento de Trabajo y Seguridad Social Gobierno Vasco a la sra. K.K.K., de 21 de mayo y 9 de junio de 1992 y de 2 y 3 de junio de 1993, respectivamente. 1.2.6. Actas del Departamento de Trabajo y Seguridad Social Gobierno Vasco, de 4 de junio de 1992 y 16 de junio de 1993, en las que deja constancia de la incomparecencia de la parte demandada, en presencia de la sra. Zamanilllo, acompañada de la letrada Dña. P.P.P.. 1.2.7. Resoluciones y anexos del Fondo de Garantía Salarial, de 27 de diciembre de 1993, conteniendo datos de carácter personal de la sra. K.K.K.. 1.2.8. Listado del Juzgado de lo Social no 0B de ....., relativo al procedimiento SOC- *+*+/+*. 1.3. Documentación relativa a D. X.X.X., incluyendo los siguientes documentos:
 1.3.1. Designación de D. V.V.V. por el Colegio de Abogados de Álava como letrado de oficio defensor del sr. X.X.X., de 29 de diciembre de 1993.
 1.3.2. Documentos del Juzgado de Primera Instancia no 0A de ......, en relación con el procedimiento de separación ***/**, de Dña. W.W.W. contra D. X.X.X..
 1.3.3. Nómina de Dña. W.W.W., de 31 de agosto de 1993.
 1.3.4. Documento conteniendo datos sobre la declaración de la renta de las personas físicas de la sra. W.W.W., de 1 de octubre de 1993.
 1.3.5. Certificados de la Diputación Foral de Álava de 23 de septiembre de 1993, relativos a la sra. W.W.W..
 1.3.6. Documento presentado al Juzgado de Primera Instancia no 0A de ...... por la representante de la sra. W.W.W., de 8 de marzo de 1994.
 1.3.7. Certificado de la Secretaria General habilitada del Ayuntamiento de Vitoria, en relación con el impuesto de bienes inmuebles y la sra. W.W.W.. 1.3.8. Páginas del Libro de Familia correspondientes a H.H.H. y I.I.I.. 1.4. Documentación relativa a D. X.X.X.:
 1.4.1. Aviso de recibo y certificado de Correos de 2 de marzo de 2000, relativos a un envío postal de DESPACHO DE ABOGADOS, S.L. a D. X.X.X.. 1.4.2. Letra de cambio a nombre del sr. X.X.X., de 20 de marzo de 2000. 1.5. Designación de D. V.V.V. por el Colegio de Abogados de Álava como letrado de oficio defensor de Dña E.E.E., de 20 de diciembre de 1993. Según consta en Acta, durante la inspección realizada con fecha 24 de septiembre de 2008 en el establecimiento de la entidad L& L Abogados Asociados, S.L. se mostró al Administrador de la sociedad la documentación hallada el 20 de junio de 2008 por los agentes de la Guardia Civil. A la vista de los documentos mostrados, el Sr. L.L.L. realizó las siguientes declaraciones, en respuesta a las cuestiones planteadas por los inspectores: 2.1. En el mes de diciembre de 2001 se constituyó la sociedad DESPACHO DE ABOGADOS VITORIA GASTEIZ, S.L. para la prestación de los servicios de Página 297 de 353

asesoramiento jurídico que hasta entonces prestaba el despacho de abogados al que pertenecían, entre otros, el propio sr. L.L.L. y Dña. Z.Z.Z.. 2.2. En el mes de enero de 2002, la denominación social de la compañía pasó a ser la actual, L& L ABOGADOS ASOCIADOS, S.L. 2.3. Los documentos relativos a la actividad desarrollada por el despacho de abogados, conteniendo datos de carácter personal, han sido destruidos a medida que dejaba de ser precisa su conservación, no disponiéndose actualmente de documentos relativos a asuntos ya finalizados. En particular, la compañía no conserva documentación relativa a asuntos tramitados por el bufete con anterioridad a la constitución de la sociedad limitada. 2.4. Desde hace casi dos años tales documentos son destruidos mediante una máquina destructora de papel marca FELLOWES, modelo SB-87Cs, la cual es mostrada a los inspectores. 2.5. El sr. L.L.L. rechaza la posibilidad de que los documentos hallados en contenedores próximos al Centro Zabaltzen de la Cruz Roja hubieran sido desechados por la compañía L& L ABOGADOS ASOCIADOS, S.L. 2.6. El Sr. L.L.L. desconoce el procedimiento por el que tales documentos hubieran podido ser hallados en la mencionada ubicación, apuntando la posibilidad de que los mismos hubieran sido desechados por los Juzgados, cuya sede se halla en las inmediaciones del mencionado Centro de la Cruz Roja. La totalidad de documentos hallados por los agentes de la Guardia Civil presentan una fecha de elaboración anterior a la constitución de L& L ABOGADOS SOCIADOS, S.L. Por otra parte, a excepción de los documentos relacionados en el apartado 1.4 (que están fechados en el año 2000), todos presentan una fecha anterior a la fecha de entrada en vigor de la Ley Orgánica 15/1999. No se ha logrado acreditar que los datos de carácter personal contenidos en los documentos relacionados, excluyendo los nombres y apellidos de los abogados actuantes, formen parte de ficheros de los que pueda ser responsable L& L ABOGADOS ASOCIADOS, S.L. 6. No existe constancia de que tales documentos hayan sido accedidos por terceros con anterioridad a su hallazgo por los miembros de la Guardia Civil. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal –LOPD- en su articulo 10 , recoge lo siguiente: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. El responsable de fichero y cualquier persona que intervenga en cualquier fase del tratamiento están sujetas al “secreto profesional” respecto de los mismos,

Página 298 de 353

por lo que, en su caso, los hechos denunciados podrían comportar una infracción al trascrito artículo. Del Informe de actuaciones Previas de Inspección, E /131572008, se concluye que: a) la totalidad de documentos hallados por los agentes de la Guardia Civil presentan una fecha de elaboración anterior a la constitución de la entidad L& L Abogados Sociados, S.L. y son todos los documentos anteriores al año 2000 y a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal ; b) no se ha logrado acreditar que los datos de carácter personal contenidos en los documentos relacionados, excluyendo los nombres y apellidos de los abogados actuantes, formen parte de ficheros de los que pueda ser responsable la entidad L& L Abogados Asociados, S.L; y c) no consta que a los documentos hayan sido accedidos terceros con anterioridad a su hallazgo por los miembros de la Guardia Civil. Pues bien el hecho de que la totalidad de documentos hallados por los agentes de la Guardia Civil presentan una fecha de elaboración anterior a la constitución de la entidad L& L Abogados Sociados, S.L. y de que no se ha logrado acreditar que los datos de carácter personal contenidos en los documentos relacionados, excluyendo los nombres y apellidos de los abogados actuantes, formen parte de ficheros de los que pueda ser responsable dicha entidad, lleva a no poder determinar la imputación de la infracción del deber de guardar secreto ,de forma indubitada. El Tribunal Constitucional viene manteniendo que los principios y garantías del procedimiento judicial penal son, en principio y con las oportunas modulaciones, aplicables al procedimiento administrativo sancionador, dado que también este es manifestación del ordenamiento punitivo del Estado. La sentencia del mismo Tribunal de 20/02/1989 indica que “Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor rei, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate.” La Audiencia Nacional ha señalado en su Sentencia de fecha 25/05/2001, dictada en el recurso contencioso administrativo no 29/2000, que “.... la Sala, como pasamos a razonar, de la valoración de la prueba obrante en el expediente administrativo llega a la conclusión que no ha quedado debidamente acreditado este hecho integrador del tipo, es decir no se prueba que el Banco entregara al Sr... el respectivo extracto, suscitándole este hecho concreto serias dudas, frente a la exigible certidumbre”. Y concluye afirmando que “ ..sin negar que pudieron producirse los hechos como indica la denunciante, tampoco puede rechazarse la posibilidad que el extracto no le fuera entregado al marido por el Banco, sino que aquel lo obtuviera aprovechando alguna visita al domicilio o mediante la actuación de algún familiar, dicho ello en términos de pura hipótesis”. En el presente caso, pese a la actuación inspectora, la actividad probatoria derivada de la misma no permite excluir una duda racional sobre el origen de la vulneración del deber de secreto. Por ello no concurre el elemento subjetivo Página 299 de 353

imprescindible para la integración del tipo infractor, debiendo aplicarse el principio de presunción de inocencia. En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990 considera que el derecho a la presunción de inocencia comporta “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio”. De acuerdo con este planteamiento, el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común en lo sucesivo LRJPAC), establece que “Sólo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia.” El artículo 13 del Real Decreto 1398/1993, de 4 de agosto, por el que aprueba el Reglamento para el ejercicio de la Potestad Sancionadora en su articulo 13 recoge lo siguiente: “1. La iniciación de los procedimientos sancionadores se formalizaran con el contenido mínimo siguiente: a) Identificación de la persona o personas presuntamente responsables.” En definitiva, lo visto anteriormente en aplicación del principio de presunción de inocencia, impiden imputar una infracción administrativa cuando no se haya obtenido y comprobado la existencia de una prueba de cargo acreditativa de los hechos que motivan esta imputación o se haya determinado quien es el responsable de la comisión de la conducta sancionada. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: PROCEDER AL ARCHIVO de las presentes actuaciones. NOTIFICAR la presente Resolución a L& L ABOGADOS ASOCIADOS, S.L. y a la FISCALÍA PROVINCIAL DE ÁLAVA. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el Página 300 de 353

artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la citada LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 27 de abril de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 301 de 353

Expediente No: E/01408/2008 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante el COLEGIO DE ABOGADOS DE CADIZ, y LA MUTUALIDAD GENERAL DE LA ABOGACIA, M.P.S.P.F., en virtud de denuncia presentada ante la misma por DON G.G.G., y en base a los siguientes, HECHOS PRIMERO: Con fecha 20 de junio de 2008, tuvo entrada en esta Agencia un escrito remitido por D. G.G.G., en el que manifiesta lo siguiente con respecto al COLEGIO DE ABOGADOS DE CÁDIZ: “Que sin autorización alguna de las personas inscritas en los ficheros del denunciado, en primer término, se viene recibiendo correspondencia con envió de publicidad del citado Colegio de ejemplares gratuitos de la revista "Economist í Jurist" [...], de la revista colegial "la garnacha” [...], publicidad de la Aseguradora EOS RISQ ESPAÑA, CORREDURÍA DE SEGUROS Y REASUGUROS, SAA; y, en segundo lugar, vienen siendo cedidos los datos personales de los ciudadanos a diversas publicaciones jurídicas, como La Ley, y entidades religiosas como las Hermanitas de los pobres, los cuales vienen exigiendo donaciones y ofreciendo sus productos y servicios”. Junto con el escrito se adjuntaban copias de los sobres en los que recibió la publicidad proveniente del COLEGIO DE ABOGADOS DE CÁDIZ y de WOLTERS KLUWER ESPAÑA SA, en adelante WOLTERS, así como copia del contenido de dichos sobres. Ambos sobres iban dirigidos a la dirección “(C/...................................)”. El mismo día, tuvo entrada otro escrito de DON G.G.G., en el que manifiesta lo siguiente con respecto a la MUTUALIDAD DE LA ABOGACIA: “Que sin autorización alguna de las personas inscritas en los ficheros del denunciado, en primer término, se viene recibiendo correspondencia con envió de publicidad de la citada mutualidad, para lo que primeramente crearon el denominado "club del mutualista" con la excusa de, sin consentimiento de sus afiliados, ceder los datos de estos a empresas de servicios y que se beneficiaran de los descuentos de dichas empresas por el hecho de pertenecer a dicho club; y en segundo lugar crearon el servicio "Privilegia" con la finalidad de continuar cediendo dichos datos a empresas diversas y utilizar dichos datos para enviar publicidad a los mutualista de entidades financieras [...] en el que el consentimiento del receptor no ha sido prestado y expresamente indica que van a ser cedidos los datos de los afiliados a dicha mutualidad salvo que se dirijan "por escrito a la Mutualidad de la Abogacía en el plazo de treinta días"”. Junto con el escrito se adjuntaba copia del sobre en el que recibió la publicidad proveniente de la MUTUALIDAD DE LA ABOGACIA, en adelante la MUTUALIDAD, así como copia del contenido de dicho sobre que iba dirigido a la dirección postal “(C/...................................)”. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos:

Página 302 de 353

Respecto del envío de publicidad por parte del COLEGIO DE ABOGADOS DE CÁDIZ: 1.1. El COLEGIO DE ABOGADOS DE CÁDIZ figura como responsable de un fichero denominado “COLEGIAD” inscrito en el Registro General de Protección de Datos cuya finalidad declarada es “GESTION DE ACTIVIDADES ASOCIATIVAS, CULTURALES, RECREATIVAS, DEPORTIVAS Y SOCIALES”. 1.2. En la página web www...X...., de la que es titular el COLEGIO DE ABOGADOS DE CÁDIZ, se pueden consultar los datos de los colegiados. En dicha página web figuran los datos del reclamante con la dirección postal “(C/...................................)”. Respecto del envío de publicidad por parte del WOLSTER: 
 2.1. WOLSTER figura como responsable de un fichero denominado “MAILING” inscrito en el Registro General de Protección de Datos cuya finalidad declarada es “PUBLICIDAD Y PROSPECCIÓN COMERCIAL”. Respecto del envío de publicidad por parte de la MUTUALIDAD: 
 3.1.La MUTUALIDAD figura como responsable de un fichero denominado “MUTUALISTAS” inscrito en el Registro General de Protección de Datos cuya finalidad declarada es “GESTIÓN DE CLIENTES, CONTABLE, FISCAL Y ADMINISTRATIVA, SERVICIOS ECONOMCO-FINANCIEROS Y SEGUROS, PUBLICIDAD Y PROSPECCION COMERCIAL”. 3.2. La MUTUALIDAD ha aportado copia de un contrato firmado el 18 de septiembre de 1991 a nombre del reclamante mediante el que éste se convertía en mutualista. 3.3. La MUTUALIDAD ha aportado copia de un contrato de “Acceso a los Servicios de Internet para Mutualistas”, firmado el 22 de julio de 2005 a nombre del reclamante. 
 En la cláusula novena de dicho contrato consta la información que requiere el artículo 5.1 de la LOPD. 3.4. Los representantes de la MUTUALIDAD manifestaron en su escrito de respuesta al requerimiento del inspector actuante que “...con fecha 18 de septiembre de 2000, la Mutualidad General de la Abogacía remitió a todos sus mutualistas una comunicación en la que se informó sobre el tratamiento de sus datos y se solicitó su consentimiento tácito para la utilización de sus datos de carácter personal “para ofrecer productos concertados, para remitir información de los productos complementarios de la mutualidad y de los convenios de colaboración que establezca, o para impulsar ofertas en el ámbito del Club del Mutualista”. Aportan copia del modelo de carta utilizado en dicha comunicación. 3.5. La dirección postal que consta asociada al reclamante en el fichero de mutualistas de la MUTUALIDAD es “(C/...................................)”. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II En cuanto al envío de publicidad por parte del Colegio de Abogados de Cádiz, el artículo 6. 1 y 2 de la LOPD establece: Página 303 de 353

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. “2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”. (el subrayado es de la Agencia Española de Protección de Datos). El artículo 3. j) de la LOPD, define lo siguiente: “ Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación” (el subrayado es de la Agencia Española de Protección de Datos). El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, determina en su artículo 7, referido a las fuentes accesibles al público, lo siguiente: “1. A efectos del artículo 3, párrafo j de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público: El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre. Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica. Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional. Los diarios y boletines oficiales. Los medios de comunicación social. 2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una

Página 304 de 353

norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación”. Por su parte, el artículo 28.3 de la LOPD, establece lo siguiente : “3. Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el carácter de fuente accesible con la nueva edición que se publique. En el caso de que se obtenga telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención.” El Colegio de Abogados de Cádiz tiene inscrito el fichero de colegiados, y pueden consultarse los datos de todos los colegiados de la provincia en la página web www...X..... En consecuencia, los datos de los mismos se encuentran en una fuente de acceso público, en el sentido que se indica en la LOPD y se especifica en el Real Decreto 1720/2007 y, por tanto, pueden tratarse con fines de publicidad sin contar con el consentimiento de los afectados, salvo que se hubieren opuesto a ello, lo que no consta en estas actuaciones previas. Asimismo, los datos pueden ser tratados por Wolters con la finalidad de enviarle publicidad o la Revista La Ley, como sucede. III En cuanto al envío publicitario que ha recibido el denunciante desde la Mutualidad General de la Abogacía, hay que indicar que el Sr. G.G.G. es mutualista desde el día 18 de septiembre de 1991. Los representantes de la Mutualidad han indicado que en el año 2000 remitieron a los mutualistas una carta solicitando el consentimiento para la cesión de sus datos a empresas o entidades colaboradoras para ofrecer servicios concertados o para impulsar ofertas en el ámbito del Club del Mutualista, dando la posibilidad de oponerse a dicha cesión. Han facilitado una copia de dicha carta. No consta que el denunciante se haya opuesto a la cesión. Se comprueba que el domicilio al que recibió la publicidad es el facilitado a la Mutualidad. De las actuaciones previas de investigación practicadas como consecuencia de la interposición de las dos denuncias, no se ha constatado ninguna vulneración a la normativa de protección de datos. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: PROCEDER AL ARCHIVO de las presentes actuaciones. NOTIFICAR la presente Resolución al COLEGIO DE ABOGADOS DE CADIZ, a la MUTUALIDAD GENERAL DE LA ABOGACIA, M.P.S.P.F., y a DON G.G.G. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación Página 305 de 353

de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 9 de junio de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 306 de 353

Expediente No: E/02649/2009 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante la entidad ILUSTRE COLEGIO DE ABOGADOS DE ALAVA, en virtud de la denuncia presentada ante la misma por Da. H.H.H., y en base a los siguientes: HECHOS PRIMERO: Con fecha de 14 de agosto de 2009 tuvo entrada en esta Agencia un escrito remitido por la Agencia Vasca de Protección de Datos, dando traslado de la denuncia interpuesta por Da. H.H.H. (en adelante la denunciante) en la que declaraba que el Ilustre Colegio de Abogados de Álava había tratado y difundido sus datos personales y los de su hijo al distribuir la Circular **/**, al dar información sobre su despido. Por otra parte, manifestaba que dicho Colegio había aportado al Juicio de Despido, todo su historial médico personal sin su autorización; por lo que igualmente denunciaba al Servicio Vasco de Salud (OSAKIDETZA) por haber facilitado al Colegio dicho historial. En el escrito remitido a esta Agencia por la Agencia Vasca de Protección de Datos se indicaba que ésta tramitaría la denuncia frente a OSAKIDETZA. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los hechos siguientes: 1. Da. H.H.H., en su escrito con fecha de entrada de 13 de noviembre de 2009 manifestó que los destinatarios de la citada circular fueron todos los colegiados – abogados ejercientes y no ejercientes – superando la cifra de 500 colegiados. Asimismo, no le constaba que los documentos clínicos que aportaba con su denuncia llegaran a ser distribuidos junto con la citada circular o colgados en la extranet del Ilustre Colegio. Sin embargo, dichos documentos fueron aportados por el citado Colegio en el juicio de despido, sin su autorización y sin la del juez que resolvió el despido, al no haber sido solicitada como prueba. En cualquier caso, dicha prueba nada tenía que ver con el despido que, finalmente, fue declarado improcedente. La denunciante acompañó a su escrito copia de la hoja del Recurso de Suplicación presentado por el Ilustre Colegio de Abogados de Álava ante el T.S.J. del País Vasco contra la sentencia dictada por el Juzgado de lo Social no 0A y donde aparecía en la página 7 cómo se había aportado dicha documentación, proviniente de otro procedimiento, el xxx/xxxx, que nada tenía que ver con el despido. En dicho documento se especificaba lo siguiente: “Esta parte además ha aportado al presente proceso el historial médico de Dña. H.H.H. (DOC. 22) ............ Dicho historial médico fue aportado por Osakidetza al proce4so xxx/xxxx atendiendo a la prueba documental anticipada solicitada por la MUTUA ASEPEYO......” Da. H.H.H. manifestó no haber aportado nunca los documentos clínicos ante el Colegio. 2. El Ilustre Colegio de Abogados de Alava, en su escrito con fecha de entrada de 11 de noviembre de 2009 manifestó lo siguiente: Página 307 de 353

- Adjuntó como Anexo I copia de los documentos clínicos aportados ante el Juzgado de lo Social no 0A de ....., en el juicio por despido de la denunciante. Dicha documentación fue aportada, a los únicos fines de articular su derecho de defensa, por el Colegio de Abogados de Álava ante el Juzgado de lo Social no 0A en el acto del juicio por Despido vvv/vvvv. Toda esta documentación ya constaba en ese Juzgado en un procedimiento de determinación de contingencia. Dicha documentación consta de 33 hojas con el siguiente contenido: • La primera hoja es el escrito remitido por el Servicio Vasco de Salud – Osakidetza – al Juzgado de lo Social no 0A y se encuentra matasellada por dicho Juzgado y por Osakidetza. • La segunda hoja es exactamente igual a la primera pero únicamente contiene el matasellos de Osakidetza y • 31 hojas de información clínica acerca de Da H.H.H.. - El Colegio de Abogados de Álava era parte demandada en este procedimiento de determinación de contingencia n° ***/**** seguido ante el Juzgado de lo Social no 0A. Este proceso fue promovido por V.V.V. figurando como partes demandadas el Instituto Nacional de la Seguridad Social, la Tesorería General de la Seguridad Social, ASEPEYO, Mutua Patronal de Accidentes de Trabajo y el Colegio de Abogados de Álava. - El historial médico fue aportado por OSAKIDETZA al proceso a petición de la codemandada Asepeyo (Anexo 2 hoja 6) y como consecuencia del requerimiento efectuado por el Juzgado de lo Social no 0A. (Anexo 2 hoja 4). - En la demanda por Despido vvv/vvvv dirigida contra el Colegio de Abogados de Álava por la trabajadora (la denunciante) se solicitaba la nulidad del despido, invocando la existencia de un acoso moral en el trabajo (mobbing). Subsidiariamente se solicitaba que se declarase improcedente el despido. En dicha demanda, la trabajadora alegaba que había venido sufriendo una persecución contra su persona por parte del Colegio de Abogados. También menciona una serie de periodos de IT por ansiedad que relaciona con hechos acontecidos en el Colegio. - Resultan relevantes las siguientes fechas: • 9 de julio de 2008: La Junta de Gobierno del lltre. Colegio de Abogados acordó que con efectos 14 de julio quedara extinguido el contrato de trabajo por despido disciplinario de la empleada Da V.V.V.. • 22 de julio de 2008: Fecha de Juicio por determinación de contingencia (Anexo 2 hoja 1).Con antelación a su celebración la parte demandante V.V.V.. desiste de su demanda de determinación de contingencia. {Anexo 2 hoja 3) - Se estimaba que conocida por la demandante la resolución del Juzgado de admitir la prueba solicitada y una vez comprobado que OSAKIDETZA, siguiendo instrucciones del Juzgado remitió expediente médico completo de Da V.V.V. no le quedó más remedio que desistir del proceso ante la contundencia de las expresiones recogidas en mencionado informe médico que ponían de manifiesto la inveracidad de sus alegaciones en cuanto a la causa de sus periodos de IT (Anexo 2 hoja 25 ) - El expediente médico se presentó como prueba en el procedimiento de despido vvv/vvvv seguido ante el mismo Juzgado a los exclusivos efectos de defensa (art. 24 CE), para acreditar que los periodos de baja que la Sra. V.V.V. mencionaba en la demanda de despido nulo no eran fruto de una persecución personal. El Colegio de Abogados de Álava defendía el despido disciplinario. Página 308 de 353

En el acto del juicio de despido S.S. se consideró pertinente la prueba aportada y no se alegó en ningún momento por la demandante que se hubiera conseguido de forma ilegal o fraudulenta. - El historial médico, por otro lado, ya constaba en el Juzgado de lo Social no 0A en el procedimiento de contingencia xxx/xxxx. En este proceso, tal y como anteriormente se ha explicado, el Colegio era parte demandada y por tanto con acceso a la documentación del proceso para poder preparar su defensa. El Colegio de Abogados de Álava aportó la mencionada documentación el día de la vista del juicio de despido ante ese mismo Juzgado. Se adjuntaron copias del procedimiento de determinación de contingencia ***/**** seguido ante el Juzgado de lo Social no 0A. - La circular **/** fue enviada por correo electrónico, a través del sistema DSI (Difusión Selectiva de Información) exclusivamente a los colegiados tanto ejercientes como no ejercientes del Ilustre Colegio de Abogados de Álava. Junto con el mensaje (anexo 7) sólo se adjuntó la circular (anexo 8) y un informe pericial (anexo 9) que nada tiene que ver con este asunto. Los documentos clínicos no se incluyeron para su distribución con la circular **/** ni fueron colgados en el árbol documental. - Además en el texto del mensaje (anexo 7) se indicaba a los colegiados que podían consultar la Sentencia accediendo a la extranet con firma digital y consultando en el árbol documental. Se adjuntó una impresión de pantalla del árbol documental (anexo 10) dónde se aprecia que en el directorio circular **/** cuelga el documento sentencia de Da V.V.V.., sentencia de despido +++/++. - En el presente caso es la propia afectada la que facilitó los datos relativos al salario mensual como requisito de su demanda atendido el procedimiento que se tramitaba (despido). Se adjunta también (anexo 4 hoja 4) donde la representante Da P.P.P. comunicó al Juzgado el salario de Da. V.V.V. en el escrito de solicitud al Juzgado de realización de diligencia preliminar consistente en que por parte del Colegio se exhibiera una serie de documentos solicitados. Se adjuntó también anexo 5 sentencia del Juzgado de lo Social no 0A sobre despido vvv/vvvv donde aparece recogido en la hoja 2 el salario de mencionada empleada Da V.V.V.. - Por último, el Colegio de Abogados manifestó que: El Estatuto General de la Abogacía dice: (Anexo 5) “La Administración pública abonará la remuneración de los servicios que se presten en cumplimiento de lo establecido en ese capítulo y podrá efectuar el seguimiento y control periódico del funcionamiento del servicio y de la aplicación de los fondos públicos a él destinados, en la forma legal establecida”. Este Colegio remite en sus justificaciones de los gastos de los servicios subvencionados el importe de las nóminas de los empleados que intervienen en los procesos subvencionados por la Administración. Ej. Turno de Oficio. En este proceso intervenía la mencionada empleada Da. V.V.V.. Además, en su artículo 53 dicho Estatuto estable que: “Son atribuciones de la Junta de gobierno: o) Informar a los colegiados con prontitud de cuantas cuestiones conozca que puedan afectarles ya sean de índole corporativa, colegial, profesional o cultural.”

Página 309 de 353

No cabe duda que el despido de un empleado afecta al colegiado ya que el Colegio de Abogados se sustenta principalmente por cuotas de colegiados y en menor medida por subvenciones. “s) recaudar, distribuir y administrar los fondos del Colegio; redactar los presupuestos, rendir las cuentas anuales y proponer a la Junta General la inversión o disposición del patrimonio colegial, si se tratare de inmuebles.” Y en su artículo 57 dice que: “La Junta General ordinaria a celebrar en el primer trimestre de cada año tendrá el siguiente orden del día: 2o Examen y votación de la cuenta general de gastos e ingresos del ejercicio anterior.” En cuanto a la divulgación de sus periodos de l.T. el Colegio de Abogados lo único que colgó en el árbol documental fue la sentencia. Conforme establecen tanto el artículo 120 de la Constitución Española como la Ley Orgánica del Poder Judicial, las actuaciones judiciales serán públicas y las sentencias se pronunciarán en Audiencia Pública. Las sentencias, una vez dictadas, tienen carácter público. Los artículos 232 y siguientes de la LOPJ y el 261.1 del mismo texto legal establecen el derecho de información sobre actuaciones judiciales a todos los interesados permitiendo incluso la obtención de copias de todo lo actuado. En el presente caso, el Colegio informó a los Colegiados en su innegable condición de interesados de la sentencia dictada en el procedimiento, documento al que como hemos dicho tiene acceso cualquier interesado. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II El artículo 6 de la LOPD, apartados 1 y 2, dispone lo siguiente:
 “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”. El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia NÚM. 292/2000, de 30 de noviembre, Página 310 de 353

“consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...).” Son elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Por su parte, de igual modo, el artículo 11 de la LOPD, apartados 1 y 2, establece que: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será preciso:
 a) Cuando la cesión está autorizada en una Ley.
 b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica”. III Así, en la propia LOPD existe una mención concreta a la posibilidad del tratamiento de datos sin consentimiento del titular de los mismos, dentro del ámbito de la tutela judicial efectiva que el artículo 24 de nuestra Constitución consagra, ya que en su punto 2 establece: “2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la ley, a la defensa y a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa,(...)”. Página 311 de 353

La ley 1/2000 de 7 de Enero, de Enjuiciamiento Civil (en adelante LEC) en este sentido viene a establecer en su artículo 265.1: “A toda demanda o contestación habrán de acompañarse: Los documentos en que las partes funden su derecho a la tutela judicial que pretenden.” De la lectura de los preceptos legales anteriormente indicados, se entiende que la realización de un tratamiento de datos sin consentimiento de sus titulares dentro del marco de un procedimiento jurisdiccional, da lugar a un conflicto entre el derecho a la protección de datos de carácter personal, y el derecho a la tutela judicial efectiva de los jueces y tribunales del artículo 24 de la Constitución. En este sentido el legislador, a partir de las menciones que la propia constitución, la ley de enjuiciamiento civil y la LOPD en su artículo 11.2. realizan al respecto, ha creado un sistema en el que cede el derecho a la protección de datos en favor de la defensa del derecho constitucional de tutela judicial efectiva y a la propia defensa, dado que la exigibilidad del consentimiento del oponente en un procedimiento judicial, para el tratamiento de sus datos, podría dar lugar a una merma en la posibilidad de la contraparte de aportación de elementos que permitan la identificación del mismo, así como en la utilización de “los medios de prueba pertinentes para su defensa”, vulnerándose las garantías derivadas del citado derecho a la tutela judicial efectiva y coartándose el derecho a obtener el pleno desenvolvimiento de este derecho. En este caso, y de acuerdo con las actuaciones de investigación realizadas por la Inspección de Datos de esta Agencia, ha quedado acreditado que Da. H.H.H. manifestó que los documentos fueron aportados por el citado Colegio en el juicio de despido, sin su autorización y sin la del juez que resolvió el despido, al no haber sido solicitada como prueba, y que el Colegio de Abogados de Álava era parte demandada en este procedimiento de determinación de contingencia n° ***/**** seguido ante el Juzgado de lo Social no 0A. Este proceso fue promovido por la denunciante figurando como partes demandadas el Instituto Nacional de la Seguridad Social, la Tesorería General de la Seguridad Social, ASEPEYO, Mutua Patronal de Accidentes de Trabajo y el propio Colegio de Abogados de Álava. También recordar que el historial médico fue aportado por OSAKIDETZA al proceso a petición de la codemandada Asepeyo como consecuencia del requerimiento efectuado por el Juzgado Social N° 0A. Asimismo, en la demanda por Despido vvv/vvvv dirigida contra el Colegio de Abogados de Álava por la trabajadora (la denunciante) se solicitaba la nulidad del despido, invocando la existencia de un acoso moral en el trabajo (mobbing). Subsidiariamente se solicitaba que se declarase improcedente el despido. En dicha demanda, la trabajadora alegaba que había venido sufriendo una persecución contra su persona por parte del Colegio de Abogados. IV En otro orden de cosas, de igual modo, en el presente caso, y de acuerdo con las citadas actuaciones de investigación realizadas por la Inspección de Datos de esta Agencia, ha quedado acreditado que Da. H.H.H. manifestó que los destinatarios de la citada circular fueron todos los colegiados – abogados ejercientes y no ejercientes – superando la cifra de 500 colegiados. Asimismo, no le constaba que los documentos clínicos que aportaba con su denuncia

Página 312 de 353

llegaran a ser distribuidos junto con la citada circular o colgados en la extranet del Ilustre Colegio. La circular **/** fue enviada por correo electrónico, a través del sistema DSI (Difusión Selectiva de Información) exclusivamente a los colegiados tanto ejercientes como no ejercientes del Ilustre Colegio de Abogados de Álava, y junto con el mensaje sólo se adjuntó la circular, donde no aparecen datos personales excesivos. Sin embargo, los documentos clínicos no se incluyeron para su distribución con la circular **/** ni fueron colgados en el árbol documental. Además en el texto del mensaje se indicaba a los colegiados que podían consultar la sentencia en cuestión accediendo a la extranet con firma digital y consultando en el árbol documental. El artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así, el Tribunal Superior de Justicia de Madrid declaró en su sentencia de 19 de julio de 2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)”. En este sentido, la Audiencia Nacional también ha señalado, entre otras, en sentencias de fechas 14 de septiembre de 2001 y 29 de septiembre de 2004 lo siguiente: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un (STC 292/2000). Derecho fundamental a la protección de los datos que (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, . También hay tener en consideración lo alegado por el Colegio de Abogados al decir que el artículo 53 del Estatuto General de la Abogacía estable que: “Son atribuciones de la Junta de gobierno: o) Informar a los colegiados con prontitud de cuantas cuestiones conozca que puedan afectarles ya sean de índole corporativa, colegial, profesional o cultural. (...) Página 313 de 353

s) recaudar, distribuir y administrar los fondos del Colegio; redactar los presupuestos, rendir las cuentas anuales y proponer a la Junta General la inversión o disposición del patrimonio colegial, si se tratare de inmuebles”. Así, el despido de un empleado afecta al colegiado, ya que el Colegio de Abogados en sí se sustenta principalmente por cuotas de colegiados y en menor medida por subvenciones. Y en el artículo 57 dice a su vez que: “La Junta General ordinaria a celebrar en el primer trimestre de cada año tendrá el siguiente orden del día: 2o Examen y votación de la cuenta general de gastos e ingresos del ejercicio anterior.” V No obstante, los artículos 24.2 de la Constitución Española y 137 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, reconocen el derecho a la presunción de inocencia en el ámbito del procedimiento administrativo sancionador. Su contenido esencial implica no sólo la acreditación de los hechos ilícitos, sino también “...la prueba de la responsabilidad del sujeto en la comisión de los mismos” (sentencia del Tribunal Supremo de 2 de julio de 1990). La presunción de inocencia debe regir, sin excepciones, en el ordenamiento sancionador y ha de ser respetada en la imposición de cualesquiera sanciones, pues el ejercicio del “ius puniendi” del Estado, en sus diversas manifestaciones, está condicionado al juego de la prueba y a un procedimiento contradictorio en el que puedan defenderse las propias posiciones. En tal sentido, el Tribunal Constitucional, en su sentencia 76/1990 de 26 de abril de 2004, consideraba que el derecho a la presunción de inocencia comporta: “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio.” Conforme señalaba, asimismo, el Tribunal Supremo, en su sentencia de 26 de octubre de 1998, el derecho a la presunción de inocencia “no se opone a que la convicción judicial en un proceso pueda formarse sobre la base de una prueba indiciaria, pero para que esta prueba pueda desvirtuar dicha presunción debe satisfacer las siguientes exigencias constitucionales: los indicios han de estar plenamente probados – no puede tratarse de meras sospechas – y tiene que explicitar el razonamiento en virtud del cual, partiendo de los indicios probados, ha llegado a la conclusión de que el imputado realizó la conducta infractora, pues, de otro modo, ni la subsunción estaría fundada en Derecho ni habría manera de determinar si el proceso deductivo es arbitrario, irracional o absurdo, es decir, si se ha vulnerado el derecho a la presunción de inocencia al estimar que la actividad probatoria pueda entenderse de cargo.” Como conclusión de las actuaciones realizadas por parte de la Inspección de Datos y del presente procedimiento en relación a los hechos comunicados por Da. H.H.H. y, en atención a lo expuesto, no se ha podido acreditar que los datos que dan soporte a la información difundida fuesen excesivos. Ello frente a la certeza y concreción exigida en estos supuestos para poder calificar la conducta como sancionable, debe concluirse que no existe prueba Página 314 de 353

de cargo suficiente, por lo que procede acordar en archivo del presente expediente. En todo caso, si se considera lesionado el derecho al honor o a la intimidad personal, la persona afectada podrá acudir a los tribunales de la jurisdicción ordinaria de orden civil, al amparo de la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, dado que la Agencia Española de Protección de Datos no es el órgano competente para dirimir estas cuestiones, que deben ser resueltas en sede jurisdiccional. En consecuencia, no se aprecia infracción de la normativa de protección de datos personales por parte de la entidad investigada, por lo que procede el archivo de las presentes actuaciones. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: PROCEDER AL ARCHIVO de las presentes actuaciones. NOTIFICAR la presente Resolución al ILUSTRE COLEGIO DE ABOGADOS DE ALAVA y a Da. H.H.H.. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 17 de diciembre de 2009
 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 315 de 353

Expediente No: E/00259/2010 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante la AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA en virtud de denuncia presentada ante la misma por don A.A.A. y en base a los siguientes HECHOS PRIMERO: Con fecha 25 de enero de 2010, tuvo entrada en esta Agencia un escrito de don A.A.A. (en lo sucesivo el denunciante) en el que denuncia a la AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA (AEAT), en relación con el acceso por terceros a datos del denunciante por medio de la firma electrónica que tiene instalada en el ordenador de otros colaboradores de su despacho profesional. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: El denunciante, que se declara “colaborador social” de la AEAT, ha declarado que desde que entró en funcionamiento la sede electrónica de la AEAT viene observando que el enlace “Mis expedientes” de la Oficina Virtual permite que colaboradores suyos, que por razones de trabajo tienen instalada en sus respectivos ordenadores la firma electrónica del denunciante, accedan al expediente de este. En respuesta al requerimiento efectuado por la Inspección de Datos, la AEAT ha manifestado lo siguiente en relación con el procedimiento de colaboración social al que se refiere el denunciante: “1. La colaboración social en el ámbito tributario como instrumento para permitir la actuación electrónica a través de representante. 
 1.1 La Administración Tributaria ha tratado de fomentar al máximo la utilización de los medios electrónicos en sus relaciones con los ciudadanos. Para ello ha fomentado la utilización del registro electrónico, con medidas como la obligatoriedad de la utilización de la vía electrónica en algunos casos en los que así lo permite la ley, pero sobre todo, facilitando la actuación electrónica a través de representante. 1.2 Presentación electrónica a través de representante. 
 De acuerdo con el régimen general, la actuación ante la Administración, salvo para actos de mero trámite, en representación de tercero exige la acreditación de la representación por cualquier medio válido en derecho que deje constancia fidedigna o mediante comparecencia personal del interesado. La aplicación de este régimen a la actuación a través de medios electrónicos haría normalmente perder las ventajas de tal actuación, que se vería dilatada por la necesaria acreditación de la representación por los medios convencionales, en cuanto que los apoderamientos en documentos electrónicos, como un poder notarial electrónico, con firma electrónica del notario, no se hallan aún generalizados y además aún no se contempla la posibilidad de su aportación por vía telemática.

Página 316 de 353

Para paliar este inconveniente y permitir la generalización de la actuación ante la Administración en representación de terceros por vía electrónica se han adoptado, en el ámbito tributario algunas medidas entre las que destacan la regulación de la colaboración social. 2. Colaboración social 2.1 Naturaleza y regulación La colaboración social en la gestión de los tributos implica la participación activa de las entidades, instituciones y organismos representativos de sectores o intereses sociales, laborales, empresariales o profesionales, para facilitar y favorecer el cumplimiento de las obligaciones tributarias por parte de los contribuyentes. El artículo 92 de la Ley 5 8/2003, General Tributaria, de forma similar a como lo hacía la Ley General tributaria de 1963, recoge la figura de la colaboración social, estableciendo los diferentes aspectos a los que puede referirse, - como realización de estudios o informes sobre la aplicación de disposiciones generales, simplificación del cumplimiento de las obligaciones tributarias, asistencia en la confección de liquidaciones;- De ellos nos interesa el de la “presentación y remisión a la Administración Tributaria de autoliquidaciones, declaraciones, comunicaciones o cualquier otro documento con trascendencia tributaria, previa autorización de los obligados tributarios”. El Reglamento de Aplicación de los Tributos, aprobado por Real Decreto 1065/2007, de 27 de julio, que se ocupa de la colaboración social en los artículos 79 y 81, y en el ámbito de las competencias del Estado, prevé que el Ministro de Economía y Hacienda determine los requisitos y condiciones para la presentación electrónica de documentos con trascendencia tributaria en el marco de los acuerdos de colaboración social. 2.2 Principales aspectos de su régimen jurídico. A) Régimen de acreditación de la representación La particularidad de colaboración social para la presentación electrónica de documentos en nombre de terceros radica en que el colaborador social, en virtud de convenio firmado al efecto, puede actuar en representación de tercero en la presentación telemática de declaraciones, comunicaciones y otros documentos tributarios, sin tener que acreditar la representación con la que actúa, si bien sí debe estar en condiciones de hacerlo, pues deberá aportar los documentos que la acrediten si es requerido expresamente para ello. En este marco jurídico, la principal característica de la colaboración social viene determinada por su especial régimen de acreditación de la representación que han de ostentar del tercero en cuyo nombre actúan. Este régimen se recoge actualmente en el artículo 46.4 de la LGT 58/2003, en cuanto prevé: “4. Cuando en el marco de la colaboración social en la Lestión tributaria, o en los supuestos que se prevean reglamentariamente, se presente por medios telemáticos cualquier documento ante la Administración tributaria, el presentador actuará con la representación que sea necesaria en cada caso. La Administración tributaria podrá requerir, en cualquier momento, la acreditación de dicha representación, que podrá efectuarse de acuerdo con lo establecido en el apartado 2 de este artículo.” Ello no supone modificación alguna de la existencia de representación suficiente, con la que debe contar en todo momento el colaborador social, sino que se flexibiliza la exigencia de su acreditación fehaciente, que sólo será exigible a requerimiento expreso de la Administración. Página 317 de 353

B) Sujetos de la colaboración social Administraciones públicas, entidades privadas o instituciones u organizaciones representativas de sectores o intereses sociales, laborales o empresariales. (El artículo 79.1 RAT las enumera) Entre ellas aparecen las instituciones y organizaciones representativas de sectores o intereses sociales, laborales, empresariales o profesionales, entendiéndose incluidas, a estos efectos, las organizaciones corporativas de las profesiones colegiadas. En estos casos, los acuerdos firmados pueden extender sus efectos a las personas o entidades colegiados, asociados o miembros de la institución u organización firmante, mediante la firma, por los interesados, de un documento individualizado de adhesión, salvo en el caso de convenios con Notarios y Registradores, en los que no será necesario la firma del documento individualizado de adhesión. C) Forma La colaboración social se instrumenta a través de Convenios de colaboración. En el caso de que los convenios se firmen con asociaciones u otros colectivos de personas, las personas que formen parte de esos colectivos (como es ci caso del interesado), pueden adherirse al convenio, mediante la firma de un documento individualizado de adhesión, momento desde el cual podrá actuar como colaboradores sociales para la presentación de documentos electrónicamente en nombre de terceros. Los colaboradores sociales, para actuar como tales en la presentación electrónica de documentos en nombre de terceros, deben disponer del certificado de firma electrónica X.509.V3 expedido por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, de acuerdo con el procedimiento establecido en los Anexos de la Orden de 24 de abril de 2000, por la que se establecen las condiciones generales y el procedimiento para la presentación telemática de declaraciones del IRPF, si bien son igualmente válidos los certificados expedidos por aquellas otras entidades prestadoras de servicios de certificación electrónica cuyos certificados hayan sido admitidos por la AEAT a efectos de cumplimiento de las obligaciones tributarias. Así, cuando el colaborador social vaya a presentar un documento a través del registro electrónico de la AEAT deberá identificarse con su certificado de firma electrónica que deberá estar entre los certificados admitidos por la AEAT. No se trata de un certificado de firma electrónica de atributos en el que conste su condición de colaborador social, sino un certificado normal que permita su identificación como persona física o, en su caso, persona jurídica. Una vez identificado, las aplicaciones informáticas de la AEAT comprueban si es colaborador social y el ámbito en el que puede actuar como tal, si bien tal comprobación se realiza con la información que obra en las bases de datos de la AEAT a las que se incorpora la condición de colaborador social de quienes hayan firmado los correspondientes convenios o se hayan adherido a ellos. De acuerdo con ello el colaborador social utiliza un mismo certificado para actuar en su nombre o en nombre de otro, pues lo único que tiene que hacer con su certificado es identificarse, ya que la comprobación de ámbito en el que puede actuar se realiza mediante el cotejo de su identificación con la información que obra en las bases de la AEAT. Así, si, por ejemplo, [el denunciante] quiere presentar una declaración de IRPF en nombre de un cliente, utilizará su certificado de firma electrónica que lo identifica como [nombre y apellidos del denunciante - DNI] y, una vez Página 318 de 353

identificado, las aplicaciones de la AEAT comprobarán, mediante consulta a sus bases de datos, si puede actuar en nombre del cliente para realizar la gestión, lo que así será si consta en las bases de la AEAT su condición de colaborador social para la presentación de declaraciones de IRPF. Si es así, le permitirá hacerlo. D) Efectos de la utilización del certificado de colaboración social por terceros. La utilización del certificado de firma electrónica del colaborador social por terceros a quienes el colaborador social se lo haya facilitado constituye una triple infracción: En primer lugar, el colaborador social incumple las obligaciones asumidas al solicitar y obtener el certificado de firma electrónica, como son las de custodia y no revelación de datos que permitan operar con el certificado. Así resulta del artículo 23 de la Ley 59/2003, de 19 de diciembre, de firma electrónica que exonera de responsabilidad a los prestadores de servicios de certificación por los daños y perjuicios ocasionados al firmante o terceros de buena fe, si el firmante incurre en negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación. En este sentido, la declaración de prácticas de certificación de la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda, que el solicitante del certificado de firma electrónica debe declarar conocer y aceptar, señala, entre las obligaciones del suscriptor, la de actuar con diligencia respecto de la custodia y conservación de los Datos de Creación de Firma o cualquier otra información sensible como claves, códigos de activación del certificado, palabras de acceso, números de identificación personal, etc • Igualmente permite que sus empleados vulneren el régimen de colaboración social, suplantando su identidad al actuar con su certificado de firma electrónica, de forma que con ello, a pesar de no tener la condición de colaboradores sociales, consiguen realizar una gestión que solo pueden realizar éstos. • Por último, igualmente infringirán la representación que para actuar en nombre de terceros ha de tener el colaborador social, que autoriza a éste, y no a otros, a presentar en su nombre escritos ante la AEAT de forma electrónica.” 3. En relación con la aceptación, por parte del denunciante, de las condiciones en que debe desarrollar su tarea de “colaboración social” y a la posible delegación de esa tarea, la AEAT ha aportado a la Agencia copia del documento de adhesión del interesado al convenio de colaboración social firmado por el Colegio de Abogados de Valladolid, producida el 24 de noviembre de 2003, a través de la cual adquirió la condición de colaborador social, así como copia de dicho convenio. 
 La AEAT ha señalado que “la imposibilidad de delegar las labores del colaborador social para la presentación electrónica de documentos en nombre de terceros deriva del propio régimen jurídico de la colaboración social y de la firma electrónica, lo que no puede alterarse, como de hecho no se altera, a través de los convenios de colaboración social ni de las adhesiones a los mismos.” 
 A este respecto, la AEAT ha manifestado: “El certificado de firma electrónica es el instrumento con el que el interesado se identifica como [nombre y apellidos del denunciante], pudiendo con él realizar ante la Administración tributaria todo lo que pueda hacer en su nombre o en el nombre de terceros como colaborador social.” También ha remitido a la Agencia copia de la solicitud del certificado de firma Página 319 de 353

electrónica de la FNMT- RCM, firmado por el interesado, asumiendo “las correspondientes obligaciones de confidencialidad que obran en las condiciones de utilización que declara conocer y aceptar.” 
 A juicio de la AEAT, es responsabilidad del denunciante “la custodia y utilización del certificado, pues todo lo que venga firmado con ese certificado se le imputará. Por lo tanto, si lo cede a un tercero, asumirá la responsabilidad de lo que ese tercero realice con él y los daños o perjuicios que ello le origine. [...] En el caso de la colaboración social además, la conducta que reconoce realizar vulnera directamente el régimen de la colaboración social, pues sólo pueden actuar como colaboradores sociales quienes lo sean, que deberán tener en su poder la representación otorgada por el interesado para que actúe en su nombre. Así el colaborador social debe tener la representación de sus clientes lo que le habilita sólo a él a actuar en nombre del cliente, no a sus colaboradores. La conducta que el denunciante reconoce consiste en que a pesar de ser él quien tiene la representación de sus clientes, en realidad la gestión la realizan sus colaboradores, suplantándole (aunque con su consentimiento), a pesar de carecer de la representación para actuar en nombre de tercero y la condición de colaborador social. Ello supone una vulneración del régimen de la colaboración social y un posible engaño a sus clientes que le apoderan a él y no a sus colaboradores.” 4. En resumen, la AEAT entiende que el denunciante “ha incumplido su deber de custodia y confidencialidad de los datos de su certificado de firma electrónica”, así como las “obligaciones propias de su condición de colaborador social permitiendo su suplantación por terceros que no tienen tal condición”, vulnerando “la representación otorgada por sus clientes pues, de acuerdo con el régimen de colaboración social, han debido designarle a él como representante para presentar electrónicamente documentos ante la AEAT, si bien tal actuación se ha producido por un tercero que carece de tal representación.” 
 FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II El artículo 9 de la LOPD establece en su apartado 1: “El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.” El artículo 93 del Reglamento de desarrollo de la LOPD, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, establece en su apartado 1: “El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios”. La AEAT, de conformidad con lo previsto en el artículo 1 de la Ley 11/2007, de acceso de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, ofrece al denunciante la posibilidad de acceder electrónicamente a Página 320 de 353

los expedientes que le conciernen, los cuales incluyen datos de carácter personal contenidos en ficheros de los que es responsable la propia AEAT. Para garantizar la correcta identificación y autenticación de los ciudadanos resulta un medio válido el certificado electrónico emitido por la Fábrica Nacional de Moneda y Timbre (FNMT). En el escenario planteado por el denunciante, por su condición de colaborador con la AEAT asume unas funciones de intermediación indelegables, para las que debe también hacer uso de su certificado electrónico personal emitido por la FNMT, de acuerdo con lo previsto en las condiciones del convenio de colaboración suscrito. El derecho de los ciudadanos a hacer uso de su certificado electrónico personal en sus relaciones con la Administración Pública lleva asociadas, no obstante, ciertas obligaciones de confidencialidad por parte de los ciudadanos, las cuales contribuyen a garantizar que su identidad sea adecuadamente autenticada, entre ellas la de proteger las claves privadas y custodiar los certificados asociados, tomando las precauciones razonables para evitar su pérdida, revelación, alteración o uso no autorizado, previsión esta que no parece haber sido convenientemente atendida por el denunciante, al no haber impedido el uso por terceros de su propio certificado electrónico. Por lo tanto, de acuerdo con lo señalado y sin perjuicio de las responsabilidades en que pudiera haber incurrido el denunciante en su condición de colaborador social de la AEAT, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA:
 1. PROCEDER AL ARCHIVO de las presentes actuaciones. 2. NOTIFICAR la presente Resolución a la AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA y a don A.A.A.. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Página 321 de 353

Madrid, 16 de noviembre de 2010
 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 322 de 353

Expediente No: E/02319/2010 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante Da. A.A.A., en virtud de denuncia presentada ante la misma por Da. B.B.B. y D. C.C.C. Y OTRO y en base a los siguientes HECHOS PRIMERO: Con fecha de 4 de junio 2010 tiene entrada en esta Agencia escrito remitido por Da. B.B.B. y D. C.C.C. (en adelante los denunciantes) comunicando posible infracción a la Ley Orgánica 15/1999 motivada por la existencia de cámaras de videovigilancia en (C/...........1) de Colmenar Viejo (Madrid) cuyos titulares son Da. A.A.A. Y SU ESPOSO (en adelante los denunciados) afectando a la privacidad de la familia de los denunciantes en su propia vivienda. Por otra parte los denunciantes manifiestan haber sido grabados en la vía pública por los denunciados y las imágenes han sido aportadas como prueba en una denuncia. Adjunta a su denuncia CD con la grabación realizada y copia de la diligencia en la que se hace constar que no se aprecia ilícito penal en las referidas imágenes contenidas en el CD. En el CD aportada por los denunciantes se aprecian del orden de dos minutos y medio de imágenes con inscripción de la fecha correspondiente al 7 de agosto de 2009, en dichas imágenes se aprecia a una persona tras la valla que separa una vivienda de la vía pública. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: Con fecha 19 de julio de 2010 y se solicita información al denunciado teniendo entrada en esta Agencia con fecha 17 de agosto de 2010 escrito en el que manifiesta: “ ... que no existe como tal un sistema de videovigilancia instalado, pues las dos cámaras que se encuentran dentro de mi domicilio, es decir, dirigidas al interior, y en absoluto al exterior o vía pública, están desconectadas desde que se ubicaron en el mismo, y por ello no se ha realizado grabación alguna con las mismas, si bien, efectivamente existe carteles de información de su existencia, es a efectos disuasorios, pues como ya hemos comentado se encuentran desconectadas, y en ningún momento se han captado imágenes con las citadas cámaras.” FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II Página 323 de 353

En primer lugar procede situar la materia de videovigilancia en su entorno normativo. Así el artículo 1 de la LOPD dispone: “La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar” En cuanto al ámbito de aplicación de la LOPD, el artículo 2.1 de la misma señala: “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, definiéndose el concepto de dato de carácter personal en el apartado a) del artículo 3 de la LOPD, como “Cualquier información concerniente a personas físicas identificadas o identificables”. El artículo 3 de la LOPD define en su letra c) el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. El artículo 5.1. f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, define datos de carácter personal como: “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”. En este mismo sentido se pronuncia el artículo 2.a) de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, según el cual, a efectos de dicha Directiva, se entiende por dato personal “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. Asimismo, el Considerando 26 de esta Directiva se refiere a esta cuestión señalando que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a aquélla. La Exposición de Motivos de la Instrucción 1/2006, de 8 de noviembre, de esta Agencia Española de Protección de Datos, relativa al tratamiento de los datos con fines de videovigilancia señala que: “La seguridad y la vigilancia, elementos presentes en la sociedad actual, no son incompatibles con el derecho fundamental a la protección de la imagen como dato personal, lo que en consecuencia exige respetar la normativa existente en materia de protección de datos, para de esta manera mantener la confianza de la ciudadanía en el sistema democrático”. Sigue señalando: “Las imágenes se consideran un dato de carácter personal, en virtud de los establecido en el artículo 3 de la Ley Orgánica 15/1999...”. La garantía del derecho a la protección de datos, conferida por la normativa de referencia, requiere que exista una actuación que constituya un tratamiento de

Página 324 de 353

datos personales en el sentido expresado. En otro caso las mencionadas disposiciones no serán de aplicación. Por su parte, la citada Instrucción 1/2006, dispone en su artículo 1.1 lo siguiente: “1. La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras.
 El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas. Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente instrucción, sin que ello requiera plazos o actividades desproporcionados. Las referencias contenidas en esta Instrucción a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma.” (el subrayado es de la Agencia Española de Protección de Datos). La Instrucción 1/2006 en su artículo 2 establece lo siguiente: “1. Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y 2 y el artículo 11.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
 2. Sin perjuicio de lo establecido en el apartado anterior la instalación de cámaras y videocámaras deberá respetar en todo caso los requisitos exigidos por la legislación vigente en la materia.” De lo anteriormente expuesto se desprende que el concepto de dato personal, según la definición de la LOPD, requiere la concurrencia de un doble elemento: por una parte, la existencia de una información o dato y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable, por lo que la imagen de una persona física identificada o identificable constituye un dato de carácter personal. De acuerdo con los preceptos transcritos, la cámara reproduce la imagen de los afectados por este tipo de tratamientos y, a efectos de la LOPD, la imagen de una persona constituye un dato de carácter personal, toda vez que la información que capta concierne a personas que las hacen identificadas o identificables y suministra información sobre la imagen personal de éstas, el lugar de su captación y la actividad desarrollada por el individuo al que la imagen se refiere. III En el presente expediente se denuncia por parte de Da. B.B.B. Y D.C.C.C., a su vecina Da A.A.A. y esposo, en primer lugar, por la aportación por los denunciados, en fecha 28 de julio de 2009, de las captaciones realizadas desde su vivienda a la denunciante con una cámara y aportadas como prueba a los Juzgados del Partido Judicial de Colmerar Viejo, de supuestos actos ilícitos realizados por la denunciante en las plantas de su jardín, y en segundo lugar, la instalación por parte de los denunciados con posterioridad a la

Página 325 de 353

denuncia, de dos cámaras de videovigilancia que podrían captar imágenes de la vivienda de los denunciantes. En primer lugar procede analizar la aportación por parte de los denunciados de las captaciones realizadas por una cámara desde la ventana de su casa, según los denunciantes, con el fin de obtener pruebas para aportar en juicio, del autor de los daños que se vienen produciendo en las plantas de su jardín. Por lo tanto el objetivo de la captación de las citadas imágenes, objeto de denuncia, es demostrar judicialmente el autor o autores de los daños producidos en su propiedad dando traslado al Juez, con el fin de incoar en su caso el correspondiente procedimiento judicial. Asimismo cabe señalar que las imágenes captadas no tienen buena calidad. Hay que señalar respecto al consentimiento que el artículo 6 de la LOPD nos dice, en sus puntos 1o y 2o, lo siguiente : “1.-El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”(el subrayado es de la Agencia Española de Protección de Datos). Por otro lado, junto a lo dispuesto en el artículo 6.2 de la LOPD, el artículo 11 de la LOPD, recoge otras excepciones, complementarias a las anteriores, a la exigencia del consentimiento: “1.- Los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2.-El consentimiento exigido en el apartado anterior no será preciso: a.-Cuando la cesión esté autorizada en una ley.(...) d.-Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.(...)”( el subrayado es de la Agencia Española de Protección de Datos). En este caso, la controversia se refiere a la grabación para su aportación en juicio, de las imágenes de la denunciante, captadas con una cámara por la denunciada desde su propiedad, dentro de los medios de prueba en procedimientos jurisdiccionales, para la defensa de sus intereses legítimos. Así hemos de partir de lo indicado en el artículo 24 de la Constitución, apartados 1 y 2, referidos a la “Tutela Judicial Efectiva”, y que dispone lo siguiente: “1. Todas las personas tienen derecho a obtener la tutela efectiva de los jueces y tribunales en el ejercicio de sus derechos e intereses legítimos, sin que en ningún caso, pueda producirse indefensión.

Página 326 de 353

2. Asimismo, todos tienen derecho a utilizar los medios de prueba pertinentes para su defensa.” Así, teniendo en cuenta lo anterior, en el caso en el que se lleve a cabo un tratamiento de datos sin consentimiento de su titular realizado como parte de la defensa en un procedimiento o como elemento que acompañare una demanda, este hecho produce una colisión entre el derecho a la protección de datos de carácter personal, y el derecho a la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24 de la Constitución, anteriormente trascrito. Por otro lado, hay que señalar que el artículo 299 de la Ley 1/2000, de 7 de enero de Enjuiciamiento Civil, admite la aportación como medio de prueba, de medios de reproducción de imágenes que sean relevantes para el proceso. Así establece, el precitado artículo: “1. Los medios de prueba de que se podrá hacer uso en juicio son: Interrogatorio de las partes. Documentos públicos. Documentos privados. Dictamen de peritos. Reconocimiento judicial. Interrogatorio de testigos. 
 2. También se admitirán, conforme a lo dispuesto en esta Ley, los medios de reproducción de la palabra, el sonido y la imagen, así como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones matemáticas llevadas a cabo con fines contables o de otra clase, relevantes para el proceso.. 2. Cuando por cualquier otro medio no expresamente previsto en los apartados anteriores de este artículo pudiera obtenerse certeza sobre hechos relevantes, el tribunal, a instancia de parte, lo admitirá como prueba, adoptando las medidas que en cada caso resulten necesarias”. A este respecto, el artículo 11 de la LOPD, establece como norma general que para ceder los datos de carácter personal a un tercero debe contarse con el consentimiento previo del interesado. No obstante, el párrafo 2 del mismo artículo señala una lista de excepciones, en cuyo apartado 2.d) señala: “El consentimiento exigido en el apartado anterior no será preciso: Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas...”. A la vista de estos preceptos, el legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos, incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida. En efecto, la exigibilidad del consentimiento del oponente para el tratamiento de sus datos supondría dejar a disposición de aquél el almacenamiento de la información necesaria para que el denunciante pueda ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos datos o su comunicación a la contraparte, puede implicar, lógicamente, una merma en la posibilidad de aportación por el interesado de "los medios de prueba pertinentes para su defensa", vulnerándose otra de las garantías derivadas del

Página 327 de 353

citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de este derecho. La Sentencia del Tribunal Supremo de 6 de abril de 1994, establece: “El derecho a utilizar la prueba pertinente pertenece a todas las partes, acusadoras y acusadas, porque forma parte esencial del derecho más amplio a la tutela judicial efectiva y a un proceso justo, sin dilaciones indebidas y con todas las garantías. Esta prueba no sería utilizable cuando, por razón de su origen y desarrollo, fuera nula de pleno derecho y lo será, sin duda, cuando atentara a algún derecho fundamental o introdujera una situación de indefensión, lo que no ha acontecido en este caso, por lo que debe dar lugar a la desestimación del motivo...”. “... Es legítima la prueba que consiste en una filmación videográfica si la misma no ha vulnerado algún derecho, es decir, si con ella no se ha violado la intimidad o la dignidad de la persona afectada por la filmación...”. Así pues, en este caso, los denunciados, estaban habilitados para presentar, ante el Juzgado la citada prueba videográfica, sin contar con el consentimiento previo de los denunciantes, al existir una habilitación legal para ello, a tenor del artículo 11.2.d). Así la aportación de la prueba videográfica, tuvo como finalidad la defensa e intereses legítimos de los denunciados. Por tanto, y en base a la doctrina y jurisprudencia instaurada dentro del ámbito de protección de datos vista, la aportación de los datos recabados por los denunciados, dentro de un procedimiento judicial no supone una vulneración de la LOPD, por lo que para este caso no cabría calificar como ilegítima la actuación de los mismos. IV Por otro lado, respecto al artículo 4 de la LOPD, los datos obtenidos se consideran adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas y explícitas para la que fueron obtenidos, no siendo otro su objetivo que el constituir un elemento probatorio en un procedimiento judicial. De conformidad con la doctrina del Tribunal Constitucional, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos que aquí importan, basta recordar que (como sintetizan las SSTC 66/1995, de 8 de mayo [RTC 1995\66], F.5; 55/1996, de 28 de marzo [RTC 1996\55], FF. 6, 7, 8 y 9; 207/1996, de 16 de diciembre [RTC1996\207], F.4.e) y 37/1998, de 17 de febrero [RTC 1998\37], F.8) para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto). En primer lugar, debemos analizar si la medida adoptada por los denunciados es adecuada y, en efecto, concluimos que así era pues su objetivo era obtener pruebas del autor de los daños y perjuicios que se venían produciendo en su propiedad. Página 328 de 353

Resultaba idónea y necesaria ya que se trataba de recabar exclusivamente pruebas de cómo se habían producido los supuestos daños en su jardín, y es equilibrada pues la grabación se limita a una determinada zona limitada, y a dos minutos y medio de un día, en los que se producen los supuestos daños. De conformidad con la normativa expuesta, la captación de imágenes a través de videocámaras constituye un tratamiento de datos personales. Sin embargo, en el supuesto que nos ocupa, la captación de las imágenes objeto de denuncia, fueron utilizadas como medio de prueba en un procedimiento judicial, donde ha sido admitida, (si bien visionada la cinta no se apreció ilícito penal), y cumpliendo los requisitos de finalidad y proporcionalidad exigidos por la actual normativa en materia de protección de datos. V En segundo lugar, se plantea por los denunciantes, la instalación por parte, de los denunciados de dos cámaras, con posterioridad a la denuncia analizada en el Fundamento de Derecho anterior, que supuestamente captarían imágenes de su vivienda. A este respecto, debe decirse que la resolución del presente expediente pone de manifiesto que los elementos probatorios aportados en la denuncia basados en la constatación de la existencia de lo que parecen ser cámaras, no resultan suficientes para enervar el principio de presunción de inocencia, pues de la mera existencia de unas cámaras de videovigilancia no se desprende, por un lado, que las mismas funcionen, que capten imágenes de personas y que las imágenes captadas sean de tal nitidez que pueda identificarse a las personas, y, por otro, que la instalación no cumpla con las garantías exigidas en la normativa de protección de datos Así, solicitada información al denunciado, por parte de los Servicios de Inspección de esta Agencia, para el esclarecimiento de los hechos denunciados, el mismo manifiesta “ ... que no existe como tal un sistema de videovigilancia instalado, pues las dos cámaras que se encuentran dentro de mi domicilio, es decir, dirigidas al interior, y en absoluto al exterior o vía pública, están desconectadas desde que se ubicaron en el mismo, y por ello no se ha realizado grabación alguna con las mismas, si bien, efectivamente existe carteles de información de su existencia, es a efectos disuasorios, pues como ya hemos comentado se encuentran desconectadas, y en ningún momento se han captado imágenes con las citadas cámaras.” Por lo tanto, no puede obviarse que al Derecho Administrativo Sancionador le son de aplicación, con alguna matización pero sin excepciones, los principios inspiradores del orden penal, resultando clara la plena virtualidad de los principios de presunción de inocencia. La presunción de inocencia debe regir sin excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición de cualesquiera sanciones, pues el ejercicio del ius puniendi en sus diversas manifestaciones está condicionado al juego de la prueba y a un procedimiento contradictorio en el que puedan defenderse las propias posiciones. En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990 considera que el derecho a la presunción de inocencia comporta “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento Página 329 de 353

absolutorio”. De acuerdo con este planteamiento, el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común en lo sucesivo LRJPAC), establece que “Sólo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aún a título de simple inobservancia.” Conforme señala el Tribunal Supremo (STS 26/10/98) el derecho a la presunción de inocencia “no se opone a que la convicción judicial en un proceso pueda formarse sobre la base de una prueba indiciaria, pero para que esta prueba pueda desvirtuar dicha presunción debe satisfacer las siguientes exigencias constitucionales: los indicios han de estar plenamente probados – no puede tratarse de meras sospechas – y tiene que explicitar el razonamiento en virtud del cual, partiendo de los indicios probados, ha llegado a la conclusión de que el imputado realizó la conducta infractora, pues, de otro modo, ni la subsución estaría fundada en Derecho ni habría manera de determinar si el proceso deductivo es arbitrario, irracional o absurdo, es decir, si se ha vulnerado el derecho a la presunción de inocencia al estimar que la actividad probatoria pueda entenderse de cargo.” El Tribunal Constitucional, en su Sentencia 24/1997, tiene establecido que “los criterios para distinguir entre pruebas indiciarias capaces de desvirtuar la presunción de inocencia y las simples sospechas se apoyan en que: a) La prueba indiciaria ha de partir de hechos plenamente probados.
 b) Los hechos constitutivos de delito deben deducirse de esos indicios (hechos completamente probados) a través de un proceso mental razonado y acorde con las reglas del criterio humano, explicitado en la sentencia condenatoria (SSTC 174/1985, 175/1985, 229/1988, 107/1989, 384/1993 y 206/1994, entre otras).” La Sentencia del Tribunal Constitucional de 20/02/1989 indica que “Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor rei, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate.” En definitiva, aquellos principios impiden imputar una infracción administrativa cuando no se haya obtenido y acreditado una prueba de cargo acreditativa de los hechos que motivan esta imputación o de la intervención en los mismos del presunto infractor, aplicando el principio “in dubio pro reo” en caso de duda respecto de un hecho concreto y determinante, que obliga en todo caso a resolver dicha duda del modo más favorable al interesado. En el presente caso, al tratarse de cámaras que no están en funcionamiento, no existe constancia de que las cámaras instaladas en el lugar denunciado capten imágenes de personas físicas identificadas o identificables, fuera de la propiedad del denunciado. Asimismo cabe indicar que de las fotografías aportadas se infiere, por la orientación de ambas cámaras, que captarían supuestamente espacios propiedad de los denunciados y por lo tanto tendrían carácter doméstico. Página 330 de 353

Por lo tanto, a la vista de lo expuesto, al tratarse de cámaras sin funcionamiento, al no haberse acreditado la captación o grabación de imágenes de datos personales por parte del denunciado, y atendiendo al principio de presunción de inocencia, procede el archivo del presente expediente de actuaciones previas. A la vista de lo expuesto, procede el archivo del presente expediente de actuaciones previas al considerar que no se ha vulnerado la normativa relativa a la protección de datos, por parte de los denunciados. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: PROCEDER AL ARCHIVO de las presentes actuaciones. NOTIFICAR la presente Resolución a Da. A.A.A. y D.C.C.C. y a Da. B.B.B... 
 De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 24 de enero de 2011 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 331 de 353

Expediente No: E/01134/2010 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante D.a A.A.A. y G. ELIAS Y MUÑOZ ABOGADOS en virtud de denuncia presentada ante la misma por D. C.C.C., Da D.D.D., Da E.E.E. y Da F.F.F., y en base a los siguientes HECHOS PRIMERO: Con fecha 16 de marzo de 2010, tuvo entrada en esta Agencia un escrito de D. C.C.C., Da D.D.D., Da E.E.E. y Da F.F.F., (en lo sucesivo los denunciantes) en el que denuncian que han recibido en sus domicilios particulares telegramas individuales por los que se les convoca a una Asamblea General de trabajadores con el fin de revocar a los miembros del Comité de Empresa. SEGUNDO: Mediante escrito con entrada de fecha 26/11/2010 todos los denunciantes señalan como representante a Da D.D.D.. TERCERO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos 1. Solicitada información al despacho de abogados G. Elías y Muñoz Abogados, S.C., dicho despacho manifiesta: a) Que Da A.A.A. (en lo sucesivo la denunciada) trabajaba para dicho despacho en virtud de contrato de trabajo suscrito con el mismo en el que permitíamos la existencia de clientes a titulo particular. b) Debido a los gravísimos incumplimientos cometidos por la misma entre ellos "fraude, deslealtad, trasgresión de la buena fé contractual y abuso de confianza" se produjo el despido disciplinario. Entre los diferentes hechos que motivaron la adopción de la medida, se encontraban, entre otros, los relacionados con la denuncia que originó las presentes actuaciones, dado que la denunciada actuó al margen del Despacho en todas las actuaciones que realizó, sin que ni siquiera hubiese carpeta física del mismo, sin respetar ninguna de las normas de procedimiento existentes en el Despacho y sin que diese cuenta de las actuaciones que realizaba por lo que no pudieron conocer ni controlar sus actuaciones. c) Informa el Despacho de Abogados de la dirección de la denunciada, aportando como acreditación un justificante de demanda de empleo. 2. Mediante escrito de fecha 27/9/2010 se remitió escrito a la denunciada por el que se le requería información, escrito devuelto por el servicio de correos. Remitido nuevo escrito en fecha 18/10/2010, resultó igualmente devuelto por el servicio de correos. 3. Solicitada información a los denunciantes, estos identifican a la entidad en que trabajan como LIMPISA GRUPO NORTE, S.A. y aportan copia del escrito mediante el que se solicita a la Conserjería de Empleo y Mujer de la CC.AA. de Madrid, con fecha de entrada 5/1/2010, la convocatoria de Asamblea General de Trabajadores para la revocación de todos los miembros del Comité de Empresa. Entre la documentación aportada no figura información alguna que permita identificar con seguridad a quien realizó el encargo a la denunciada.

Página 332 de 353

4. Mediante diligencia de fecha 13/1/2011 se comprueba que la denunciada figura en la página web del Ilustre Colegio de Abogados de Álava, en la que aparece una dirección de contacto. A través de escrito de fecha 13 de enero de 2011, la inspección se dirigió escrito a la denunciada a dicha dirección requiriéndola información, sin que a fecha del presente informe haya resultado positiva al haber sido devuelta con la indicación de “Ausente de reparto”, tras dos intentos de entrega en fechas 21 y 24/1/2011. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal -LOPD- en su artículo 6, recoge lo siguiente: “ 1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal....; se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento En el presente caso, los datos de los denunciantes fueron tratados por la denunciada que les remitió un correo a sus domicilios particulares convocándoles a una Asamblea General de trabajadores con el fin de revocar a los miembros del Comité de Empresa, por lo que, la denunciada trato el dato del domicilio particular de los afectados y que conozcan la fuente de su obtención y sin el consentimiento de los implicados, conducta que, en principio, supone una un “tratamiento de datos” sin consentimiento. La Inspección de datos en el trámite de actuaciones previas ha requerido al despacho de abogados, G. Elías y Muñoz Abogados, S.C., en el que la denunciante prestó sus servicios, informando que la denunciada ya no colaboraba y que durante su estancia el régimen era de independencia respecto al despacho en determinados asuntos como el analizado y que desconocen su actual dirección. Asimismo, la Inspección de datos se ha dirigido a LIMPISA GRUPO NORTE, S.A. en la que los denunciantes prestan servicios a fin de que aclarasen el encargo realizado a la denunciada sin que se haya obtenido resultado positivo respecto a la señas de la denunciada y a la dirección que sobre ella figura en el anuario del Colegio de Abogados de Álava. No ha sido posible contactar con la denunciada ya que han sido devueltas las cartas por el servicio de correos. Hemos de tener en cuenta que al Derecho Administrativo Sancionador, por su especialidad, le son de aplicación, con alguna matización pero sin excepciones, los principios inspiradores del orden penal que exige determinar la responsabilidad del presunto infractor, ya que de lo contrario resulta clara la plena virtualidad del principio de presunción de inocencia. En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990 considera que el derecho a la presunción de inocencia comporta “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta Página 333 de 353

reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio”. De acuerdo con este planteamiento, el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común en lo sucesivo LRJPAC), establece que “Sólo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia.” La Sentencia del Tribunal Constitucional de 20/02/1989 indica que “Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor rei, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate.” En definitiva, en aplicación del principio de “ presunción de inocencia” que impiden imputar una infracción administrativa cuando no se haya obtenido y comprobado la existencia de una prueba de cargo acreditativa de los hechos que motivan esta imputación y en aplicación del principio “in dubio pro reo” que en caso de duda respecto de un hecho concreto y determinante, no cabría activar un procedimiento sancionador, al no poder acreditarse suficientemente vulneración alguna de la LOPD, en este sentido y para este caso, debemos determinar que no se han aportado ni obtenido elementos probatorios que nos permita establecer como han producido los hechos denunciados. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: 1. PROCEDER AL ARCHIVO de las presentes actuaciones.
 c. Jorge Juan 2. NOTIFICAR la presente Resolución a Da D.D.D., como representante de D. C.C.C., , Da E.E.E. y Da F.F.F. . De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar Página 334 de 353

desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción ContenciosoAdministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid 7 de marzo de 2011 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

Página 335 de 353

IV. RECURSOS Actuaciones previas de investigación no.: E/00501/2006. ASUNTO: Recurso de Reposición. Examinado el recurso de reposición interpuesto por D. E.C.V. contra la resolución dictada por el Director de la Agencia Española de Protección de Datos, en relación con el expediente de actuaciones previas de investigación, E/00501/2006, y en base a los siguientes, HECHOS PRIMERO: Con fecha 17/01/2007, se dictó Resolución por el Director de la Agencia Española de Protección de Datos en relación con las actuaciones previas de investigación no E/00501/2006, en virtud de la cual se acordó el archivo de las citadas actuaciones, tramitadas frente a la Asociación Mundo Plus T.V. (en lo sucesivo Mundo Plus), en virtud de la denuncia presentada por D. E.C.V. (en lo sucesivo el recurrente), con fecha 30/03/2006. Dicha resolución, fue notificada al recurrente en fecha 23/01/2007. SEGUNDO: Por la parte recurrente se ha presentado en esta Agencia Española de Protección de Datos recurso de reposición, con fecha 23/02/2007, fundamentándolo, básicamente, en que Mundo Plus ha vulnerado su derecho fundamental a la protección de datos, que el derecho a informar y ser informado no puede ser utilizado como pretexto para vulnerar otros derechos fundamentales, que Mundo Plus ha utilizado su imagen y sus datos personales sin su consentimiento para una finalidad distinta para la que le fueron proporcionados, al haber sido incluidos en una página web accesible a cualquier persona para informar de la interposición de una demanda, y que Mundo Plus ha incluido sus datos personales en un fichero sin que haya sido informado. FUNDAMENTOS DE DERECHO I Es competente para resolver el presente recurso el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. II En relación con las manifestaciones efectuadas por la recurrente, cabe señalar que las mismas ya fueron analizadas y desestimadas en los Fundamentos de Derecho II y III de la Resolución recurrida de 17/01/2007, tal como se transcribe a continuación: