El procedimiento sancionador PS/00652/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la asociación Liga Reumatológica Asturiana (en lo sucesivo LRA), se inicia a raíz de la denuncia de D. H.H.H. (en lo sucesivo el denunciante), que manifiesta la vulneración de sus derechos que resulta del envío de un correo electrónico, dirigido a nueve destinatarios, al que se adjuntó copia en formato “pdf” de una Resolución del Servicio de Salud del Principado de Asturias (en lo sucesivo SESPA), dictada en un expediente disciplinario seguido contra el denunciante por falta grave, en la que se contienen los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, los hechos que determinaron la apertura del expediente y su calificación jurídica, así como la sanción impuesta.
La entidad LRA entregó una larga lista de alegaciones, incluyendo la caducidad del procedimiento; la no aplicación de la normativa de protección de datos al presente supuesto, en el que los datos analizados no están contenidos en un fichero estructurado; la participación de la LAR en las actuaciones seguidas por el SESPA contra el denunciante a instancia de una persona asociada a aquella entidad; que los destinatarios del correo electrónico objeto de la denuncia fueron exclusivamente los médicos integrantes del Comité Científico de la LRA; que los datos contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) aparecen en diversas páginas Web, que tienen la consideración de fuentes de acceso público, y en algunas listas de profesionales, como la “Guía Médica de Asturias” accesible a través de la Web del Diario “El Comercio”. Añadió que los datos no se realizó una difusión de los datos del denunciante, sino que fueron trasladados de forma restringida,
La AEPD comienza por indicar la primera vulneración de la LOPD por parte de LRA:
Acerca de la alegación sobre la condición de parte interesada en el proceso:
Sobre el intento de LAR de que no se considere los datos parte de un fichero:
Sobre la difusión de los datos del denunciado en internet:
Y por lo tanto, segunda infracción:
En estas circunstancias se comprueba que un mismo hecho, acceder a los datos del denunciante contenidos en la Resolución del SESPA y remitir ésta mediante un correo electrónico dirigido a diversos destinatarios, da lugar a las dos infracciones reseñadas, dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Por lo tanto procede subsumir ambas infracciones en una, y dado que, en este caso, ambas infracciones están tipificadas como graves, la AEPD considera que procede imputar únicamente la infracción del artículo 6.1 de la LOPD.
Esta consideración resulta extremadamente ventajosa para la parte denunciada, ya que la LOPD califica como leve, grave o muy grave la infracción del artículo 10, dependiendo del contenido de la información que ha sido indebidamente facilitada a terceros, y no de la mayor o menor difusión de los datos que, en todo caso, debería considerarse a efectos de graduar la sanción que pudiera imponerse. Ya que en el presente asunto nos encontramos con datos referentes a la comisión de una infracción administrativa, nivel medio, el supuesto a aplicar sería el de infracción grave, con una sanción mínima de 60.000 euros.
Sin embargo, a la hora de valorar la infracción del artículo 6.1, la "vencedora" del conflicto jurídico, no entra en consideración esta tipología de los datos, y la Agencia encuentra además eximentes a la hora de graduar la sanción:
Y por lo tanto:
La entidad LRA entregó una larga lista de alegaciones, incluyendo la caducidad del procedimiento; la no aplicación de la normativa de protección de datos al presente supuesto, en el que los datos analizados no están contenidos en un fichero estructurado; la participación de la LAR en las actuaciones seguidas por el SESPA contra el denunciante a instancia de una persona asociada a aquella entidad; que los destinatarios del correo electrónico objeto de la denuncia fueron exclusivamente los médicos integrantes del Comité Científico de la LRA; que los datos contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) aparecen en diversas páginas Web, que tienen la consideración de fuentes de acceso público, y en algunas listas de profesionales, como la “Guía Médica de Asturias” accesible a través de la Web del Diario “El Comercio”. Añadió que los datos no se realizó una difusión de los datos del denunciante, sino que fueron trasladados de forma restringida,
La AEPD comienza por indicar la primera vulneración de la LOPD por parte de LRA:
(...) no ha acreditado disponer del preceptivo consentimiento prestado al efecto por el titular de los datos.
Este hecho supone un tratamiento de datos de carácter personal sin consentimiento del afectado.
Por tanto, al no concurrir ninguno de los supuestos del artículo 6.2 de la LOPD que permiten excepcionar la obtención del consentimiento para el tratamiento de datos, se concluye que la actuación de la LRA constituye una vulneración al repetido articulo 6.1 de la LOPD.
Acerca de la alegación sobre la condición de parte interesada en el proceso:
(...) no cabe admitir que el acceso a los datos personales del denunciante por parte de la citada Asociación se justifique por la participación de la misma en el procedimiento disciplinario instruido por el SESPA. La solicitud de asesoramiento que el SESPA realizó al Comité Científico de la LRA, así como la condición de asociada -no acreditada- de una de las reclamantes en ese expediente, sin que se hubiese otorgado representación alguna a la Asociación, no convierte a ésta en parte del mismo.
Sobre el intento de LAR de que no se considere los datos parte de un fichero:
Asimismo, la entidad imputada señala que los hechos analizados están excluidos del ámbito de aplicación de la LOPD, que exige que los datos personales se encuentren contenidos en un archivo estructurado. A este respecto, en un supuesto similar la Audiencia Nacional ha declarado que “el tratamiento de los datos del denunciante está automatizado toda vez que tal información se difunde vía correo electrónico con un enlace o link al que tiene acceso la totalidad de la plantilla, resultando indiferente que la información sea o no difundida en una página web, pues vía Intranet era accesible, como ya hemos indicado, a la totalidad de la plantilla. Así, no puede limitarse la protección que regula el tratamiento del dato a la existencia de un fichero estructurado cuando tal tratamiento se efectúa, al menos en parte, de manera automatizada” (SAN de 11/03/2010).
Sobre la difusión de los datos del denunciado en internet:
Finalmente, señala la entidad LRA que los datos del denunciante contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) gozan de una amplia difusión en la red y han sido publicados por el propio denunciante, y que esto debe entenderse como una “actitud de consentimiento”. Sin embargo, no es cierto que todos los datos personales que figuran en la citada Resolución del SESPA, como son el DNI y las circunstancias relativas a la infracción sancionada, se encuentren divulgados en las distintas páginas Web aportadas por la Asociación. En cualquier caso, debe añadirse que una página web no tiene la consideración de fuente accesible al público, conforme a lo establecido en el artículo 3.j) de la LOPD.
Y por lo tanto, segunda infracción:
En el caso que nos ocupa, ha quedado acreditado que LRA remitió a terceros un documento en el que figuran los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, así como las circunstancias correspondientes al procedimiento disciplinario seguido contra el mismo, con indicación de la infracción declarada y la sanción impuesta. Esta información no puede ser facilitada a terceros, salvo consentimiento del denunciante o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso.
En estas circunstancias se comprueba que un mismo hecho, acceder a los datos del denunciante contenidos en la Resolución del SESPA y remitir ésta mediante un correo electrónico dirigido a diversos destinatarios, da lugar a las dos infracciones reseñadas, dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Por lo tanto procede subsumir ambas infracciones en una, y dado que, en este caso, ambas infracciones están tipificadas como graves, la AEPD considera que procede imputar únicamente la infracción del artículo 6.1 de la LOPD.
Esta consideración resulta extremadamente ventajosa para la parte denunciada, ya que la LOPD califica como leve, grave o muy grave la infracción del artículo 10, dependiendo del contenido de la información que ha sido indebidamente facilitada a terceros, y no de la mayor o menor difusión de los datos que, en todo caso, debería considerarse a efectos de graduar la sanción que pudiera imponerse. Ya que en el presente asunto nos encontramos con datos referentes a la comisión de una infracción administrativa, nivel medio, el supuesto a aplicar sería el de infracción grave, con una sanción mínima de 60.000 euros.
Sin embargo, a la hora de valorar la infracción del artículo 6.1, la "vencedora" del conflicto jurídico, no entra en consideración esta tipología de los datos, y la Agencia encuentra además eximentes a la hora de graduar la sanción:
En el presente procedimiento, atendidas las circunstancias expuestas, y, especialmente, que la entidad LRA estimó que actuaba en el marco de las finalidades específicas de la Asociación y que la información contenida en la Resolución dictada por el SESPA contra el denunciante resultaba de interés para el desarrollo de su actividad y de la correspondiente a su Comité Científico, cabe apreciar una disminución cualificada de la culpabilidad en los hechos imputados, por lo que procede aplicar lo dispuesto en el citado artículo 45.5 de la LOPD con imposición de una sanción según la escala correspondiente a las infracciones leves.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 euros (mil quinientos euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.