¿Se puede exonerar de responsabilidad si el hecho es antijurídico pero no existe culpabilidad de la organización? - GESDATOS
Suscríbase y conozca cada mes novedades de GESDATOS y mejores prácticas para
sus proyectos de Sistemas de Gestión. Consulte y acepte la Política de Privacidad

¿Se puede exonerar de responsabilidad si el hecho es antijurídico pero no existe culpabilidad de la organización?

La legislación sobre protección de datos se ha caracterizado, entre otras cosas, por sus importantes sanciones en el ámbito privado, a pesar de su “leve modulación” por la reciente reforma de la Ley Sinde. A ello hemos de añadir que no siempre la Agencia Española de Protección de Datos ha tenido en cuenta el elemento de la falta de culpabilidad para integrar la infracción y en muchas ocasiones se producen hechos que siendo antijurídicos (se produce una conducta que objetivamente va en contra de alguno de los principios u obligaciones que impone la Ley), no es culpable y a pesar de ello la Agencia ha sancionado.

Pensemos en el siguiente supuesto: Un trabajador desleal que comete una infracción que compromete información de la empresa a pesar de que la organización ha realizado un proyecto de implantación en protección de datos y dispone de un sistema “maduro” que, entre otras acciones, incluye formación a los empleados. Por ejemplo tirando documentación sin destruir a pesar de la existencia de instrucciones en ese sentido y de destructoras de papel. O incluso que realiza un tratamiento de datos de la empresa para intereses propios… Es decir, utilizando los datos en contra de los intereses de la empresa.

En este sentido, el criterio mantenido por la Agencia Española de Protección de Datos, plasmado en numerosas resoluciones, venía a ser, que no se precisaba existencia de dolo o culpa directa para el ejercicio del “ius puniendi” contra el administrado, es decir, se aplicaba el criterio de la culpa objetiva para establecer al infractor la sanción oportuna.

De este modo, una entidad a pesar de dar cumplimiento con lo establecido en las disposiciones legales, es decir, disponer de los medios técnicos u organizativos aptos para salvaguardar la seguridad de los datos, ante un hecho aislado, o un error cometido puntualmente era sancionada sin que en dicha acción se le pudiese imputar culpa alguna o intención de producir el daño causado.

Es cierto que la novedad de la figura del apercibimiento desdibuja un tanto esta cuestión, pues permite no incoar procedimiento sancionador sino apercibir. No obstante son temas diferentes: una cosa es el apercibimiento y otra cosa es la inexistencia de culpabilidad suficiente que permita que el hecho no pueda ser sancionable ni “apercebible”. Nos centramos en la primera de las cuestiones, y podemos afirmar que ha habido un cambio de rumbo importante en los últimos años en la doctrina de la AEPD. Ahora no es difícil encontrar resoluciones en las que se manifiesta que el simple hecho de la comisión de un error puntual, no puede ser tenido como una vulneración de lo establecido en la LOPD. Pero antes de analizar las resoluciones concretas, es importante dejar claro el marco normativo y por tanto las bases sobre las que se asienta el sistema de responsabilidad en nuestro procedimiento sancionador.

El artículo 130.1 de la Ley 30/92 dispone que “Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”.

En materia sancionadora rige el principio de culpabilidad, como se infiere de la simple lectura del citado artículo). La expresión “simple inobservancia” permite la imposición de la sanción, sin duda en supuestos dolosos, y asimismo en supuestos culposos, bastando la inobservancia del deber de cuidado.

Y no es más cierto que la Doctrina jurisprudencial se podría resumir (en los términos de la Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de fecha 27 de mayo de 2010), del siguiente modo:

“Como ya se ha referido, la delicada materia a la que se refiere la LOPD, se traduce en la necesidad de exigir una especial diligencia a las entidades gestoras de los datos. Por lo tanto, la conducta que configura el ilícito administrativo […] requiere la existencia de culpa, que se concreta, según la resolución impugnada, en la falta de control de la entidad recurrente en comprobar las imágenes grabadas se iban a divulgar por Internet; la falta de diligencia en este aspecto configura la exigencia de culpa aplicable al caso presente. Esa falta diligencia configura el elemento culpabilístico de la infracción administrativa y resulta imputable a la recurrente y obviamente, no precisa de la concurrencia de dolo.

A estos razonamientos aun cabe añadir que en nuestras Sentencias de 23 de marzo y 16 de Junio de 2004 (recursos 435/2002 y 865/2002) también señalamos que “cuando se invoca la buena fe en el actuar, para justificar la ausencia de culpa -como se hace en el presente caso- basta con decir que esa alegación queda enervada cuando existe un deber específico de vigilancia derivado de la profesionalidad del infractor. En esta línea de tradicional reflexión, la STS de 12 de marzo de 1975 y 10 de marzo de 1978, rechazan la alegación de buena fe, cuando sobre el infractor pesan deberes de vigilancia y diligencia derivados de su condición e profesional” [SAN (1ª) de 14 de septiembre de 2001 (Rec. 368/2000 )]“.

La sentencia del Tribunal Supremo (sala Tercera) de fecha 9 de Marzo de 2005 (Rec. 3895/2002) ha dicho en relación al principio de culpabilidad que: “este principio, que se garantiza en el artículo 25 de la Constitución como principio estructural básico del Derecho Penal y del Derecho Administrativo Sancionador, según refiere el Tribunal Constitucional en la sentencia 150/1991, de 4 de julio , que limita el ejercicio del ius puniendi del Estado, exige que la imposición de la sanción se sustente en la exigencia del elemento subjetivo de culpa para garantizar el principio de responsabilidad y el derecho a un procedimiento sancionador con todas las garantías(STC 129/2003, de 20 de junio )”.

Pero por tanto, en sentido contrario, si se ha tenido toda la diligencia debida y se ha producido el hecho antijurídico sin la falta de culpabilidad, ¿Se ha de sancionar?

En este sentido, encontramos en el Expediente Nº E/00952/2008.- RESOLUCIÓN ARCHIVO, lo siguiente:

Antecedente de hecho: Con fecha de 2 de junio de 2008, el Director de la Agencia Española de Protección de Datos ordena iniciar actuaciones previas de inspección como consecuencia de la documentación aportada a la Agencia por un medio de comunicación relativa a la aparición de documentos judiciales que contienen datos personales, que han sido hallados entre los días 20 y 21 de mayo de 2008, en diversos contenedores situados en la vía pública y que corresponden al Juzgado de Primera Instancia n.ºº 88 de Madrid.

Fundamentación Jurídica: La exigencia de la “culpabilidad” procede de lo que señala el articulo 130 de la Ley 30/92, de 26 de noviembre, de Régimen Jurídico de las Administraciones Publicas y del Procedimiento Administrativo Común – LRJPAC- cuando dice que: “Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”.

En el caso presente, esta Sala considera que a la entidad recurrente no le era exigible otra conducta diferente de la que observó puesto que adoptó todas las precauciones necesarias.

Téngase en cuenta que el elemento de la exigibilidad de una conducta diferente es considerado por el Tribunal Supremo como un elemento delimitador de la culpabilidad de las conductas sancionables (TS de fecha 23 de Octubre de 2006 ó 22 de Noviembre de 204) y cabe pensar que no pudo evitar el tratamiento inconsentido de datos …

En el presente caso, debe entenderse que la falta de “culpabilidad” procede del hecho de que el Juzgado de Primera Instancia n.º 88 de Madrid actuó con la diligencia que podía serle exigible al dotarse de una destructora de documentos y sin que pudiese adoptar otro tipo de conducta diferente de la que observó.

RESOLUCIÓN: ARCHIVO DEL PROCEDIMIENTO.”

Seguidamente, el expediente E/00812/2009. RESOLUCIÓN ARCHIVO, establece:

Antecedentes de Hecho.- Con fecha 23/02/2009, tuvo entrada en esta Agencia escrito de D.ª. A.A.A, Presidenta de la Comunidad Dolores Barranco, ** , (en lo sucesivo, la Comunidad) en el que denuncia a la administración WORK SERVICES 05, S.L. ( en lo sucesivo Work Services) porque “entre la documentación que nos han entregado de nuestra comunidad de vecinos existe documentación de otras comunidades o personas físicas, que no pertenecen a la comunidad la cual les ha sido devuelta en sus oficinas el 06/02/09, revelación de datos que se produce al estar impresa sobre documentos de otras comunidades o personas físicas ajenas a nuestra comunidad”.

Fundamentos de Derecho.- Sin cuestionar los hechos denunciados, consistentes en que la Comunidad denunciante ha aportado a esta Agencia documentos de otras comunidades en los que se recogen datos personales de personas físicas, a la vista de la inspección se puede afirmar que el acceso a la documentación por la denunciante no tuvo indefectiblemente que suponer que Work Services incumpliera la normativa sobre protección de datos, dado que se pudieron producir los hechos por una actuación no imputable a la empresa como se alegó en la inspección y tratarse de un caso aislado […] en el que no cabe reproche punitivo, dado el carácter restrictivo que ha de tener el derecho sancionador por su naturaleza punitiva ( Sentencia de la Audiencia Nacional de 30/11/2006, FJ tercero).”

Claro que si uno estudia resoluciones, encontrará otras en las que por los mismos hechos se haya sancionado y por tanto no se haya plasmado dicha doctrina; pero ese es “otro tema”, que requiere otra reflexión y otro post: Los problemas de gestión de conocimiento que tiene la AEPD y a veces la disparidad de criterio en diferentes resoluciones con unos mismos hechos como substrato.

En este post y a pesar de la existencia de resoluciones dispares, si que queremos llamar la atención sobre “cierto cambio de rumbo general” a la hora de aplicar el principio de culpa objetiva.

URL corta: http://goo.gl/FFxfm
Publicado en blog por Gesdatos el Martes 11 octubre 2011.
Tags: , , , , , , ,

Escribir un Comentario

registrarse para escribir un comentario.