La inmovilización de ficheros de datos personales

Recientemente leía una sentencia de la Audiencia Nacional[1] que desestima el recurso interpuesto por una empresa contra la resolución del Director de la Agencia Española de Protección de Datos (en adelante, AEPD) de fecha 24 de noviembre de 2011 dictada en el PS/00146/2011, que, a su vez, desestima el recurso de reposición interpuesto contra resolución sancionadora de 21 de septiembre de 2011.

En resumen, la mercantil sancionada, dedicada al suministro de información vía Internet, disponía de un fichero que contenía datos de 36 millones de españoles, sin contar con el consentimiento de los titulares, lo que conllevó un requerimiento de cesación en el tratamiento por parte de la AEPD, que fue desoído continuando su actividad de cesión de datos a terceros, habiendo facturado por tales cesiones. Asimismo, llevó a cabo movimientos societarios para poder mantener el desarrollo de la actividad, posibilitando que continuase el acceso al fichero mediante un enlace habilitado en otra página Web.

Lo interesante del periplo judicial, iniciado en 2008, es la aplicación de la inmovilización de ficheros. Se trata de una medida de la que poco se ha oído hablar, prevista en los artículo 37.f), 49 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) y 121 de su Reglamento de desarrollo (en adelante, RLOPD).

Hasta la fecha son escasas las referencias que podemos encontrar al respecto de la misma, y es que, descartando menciones teóricas o regulatorias y una amenaza por parte de la AEPD a una entidad aseguradora de envergadura, la referida resolución PS/00146/2011 parece ser el único ejemplo de aplicación de dicha potestad.

La Ley 2/2011, de 4 de marzo, de Economía Sostenible (en adelante, LES) dedica su disposición final quincuagésima sexta a la modificación del citado artículo 49 LOPD, ampliando su alcance sancionador y objetivo e introduciendo algunos matices. Si bien el artículo 121 RLOPD, que reproducía su contenido, ha permanecido intacto dejando su validez sometida a la prelación normativa.

La modificación ha supuesto (i) la posibilidad de aplicación de la medida a las infracciones de carácter grave, -además de las muy graves ya previstas-, (ii) incluye la “persistencia” en el tratamiento ilícito, en su cesión o en posteriores transferencias internacionales de datos, asimismo, se habla de “órgano sancionador”, desapareciendo la referencia expresa a la AEPD.

Respecto a la cuestión operativa, encontramos algunas respuestas en el PS/00146/2011, donde las mercantiles involucradas llevaban a cabo tratamientos sin dar cumplimiento a las previsiones de la LOPD, con más de treinta y seis millones de afectados y una persistencia clara en la actividad infractora, lo que llevó a la AEPD, a requerir la cesación en el tratamiento o cesión ilícitos, otorgando un plazo improrrogable de tres días, durante el cual el responsable del fichero podrá formular las alegaciones que tenga por convenientes en orden al levantamiento de la medida.

Transcurrido el plazo y no habiendo sido atendido el requerimiento se acordó la inmovilización, obligándose a la misma a cesar en la utilización y cesión de los datos de carácter personal registrados en dicho fichero, así como a adoptar las medidas oportunas para que el acceso a la información que contiene quede imposibilitado.

La inmovilización no tiene carácter indefinido, en este caso, se acordaba su mantenimiento hasta que por parte de la mercantil se acreditase debidamente la cancelación de todos aquellos datos personales que no hubiesen sido recabados contando con las preceptivas garantías.

Ha de ser el responsable del fichero quien acredite la adopción de las medidas, cosa que en este caso no se produjo, por lo que finalmente el Director de la AEPD resolvió imponer sanciones por valor de 600.000€, 200.000€ y 600.000€, -ésta última al administrador y representante de las entidades-, por un incumplimiento de la obligación de inmovilización del fichero.

En conclusión, se trata de una medida de fuerte impacto, que tiende a la restauración de la legalidad vulnerada, que no se contempla como un tipo de sanción, sino un complemento a la misma y cuya aplicación tiene en cuenta aspectos como (i) que se haya producido una utilización o cesión ilícita de datos de carácter personal que impida o atente gravemente contra el ejercicio de los derechos de los ciudadanos, (ii) el número de afectados y (iii) la persistencia clara en la actividad infractora.

Paula Hernández Cobo,
Senior Associate de Governance, Risk & Compliance de Ecix Group

@PHCobo