La reciente imposición por parte de la AEPD de una sanción de 100.000 €, por la difusión a través de Internet del contenido de un sumario judicial, vuelve a poner de actualidad el hecho de que las sentencias y otros documentos judiciales no son “fuentes  accesibles al público”, a efectos de la aplicación de la normativa de protección de datos, como se analiza en este artículo.

Sumario

Los hechos difundidos

La calificación de los hechos

La gradación de la sanción

Las sentencias no son fuentes de datos accesibles al público

Entre las últimas resoluciones publicadas por la Agencia Española de Protección de Datos (AEPD) en su página web, se encuentra la que resuelve el Procedimiento Sancionador PS/00691/2015. La multa impuesta (100.000 €) no resulta habitual desde la última modificación del régimen sancionador de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), lo cual prueba la gravedad que, en opinión de la AEPD, revisten los hechos investigados.

Los hechos difundidos

La entidad sancionada es una asociación sin ánimo de lucro constituida con la finalidad de defender los derechos civiles y promover la investigación de las circunstancias en las que se produjo atentado del 11 de marzo de 2004 en la madrileña estación de Atocha, el denominado “11M”. En el marco de las actividades que desarrolla, esta asociación publicó una parte considerable del sumario instruido en relación a dicho atentado por el Juzgado Central de Instrucción nº 6 de Madrid.

Resulta significativa la forma en la que la AEPD tiene noticia de estos hechos. Durante una práctica en la clase de informática, un niño descubrió que al introducir su nombre en el buscador Google aparecía un enlace a una página web que contenía una fotocopia de su libro de familia, así como distinta información relacionada con el 11M. La madre del menor puso en conocimiento de la asociación de víctimas del atentado a la que pertenecía la existencia de la web, y es esta asociación quien presenta formalmente la denuncia.

En el transcurso de las actividades inspectoras, la Agencia pudo comprobar que, efectivamente, la asociación denunciada había subido a su web, entre otros documentos, un listado de heridos con nombre, apellidos y hospital en el que fueron atendidos; distintos partes de lesiones (incluyendo diagnóstico y tiempo de cura), y diversos vídeos con declaraciones de testigos. Posteriormente, la entidad sancionada trasladó los documentos a una página de acceso restringido de la misma web. Sin embargo, se colgó una nota, a la vista de cualquier usuario, en la que se indicaba lo siguiente:

“Pinchad aquí: xxx

Usuario: xxx

Contraseña: xxx

CON FECHA DE 19 de MARZO de 2015, HEMOS TENIDO QUE QUITAR EL SUMARIO POR CUESTIONES RELACIONADAS CON LA LOPD. Si alguien quiere tener acceso al Sumario, le podemos ayudar a localizarlo.”

Las claves facilitadas permitían el acceso al área restringida, dónde continuaban publicados datos de carácter personal relacionados con víctimas y testigos del 11M provenientes del sumario correspondiente a la investigación del atentado. 

Según se verificó, ningún documento del sumario había sido anonimizada, de forma que contenía “providencias o recursos en los que se cita el nombre y apellidos de alguno-s de los perjudicados, así como otros documentos con datos de carácter personal (nombres, apellidos, DNI, domicilio, parentesco, fecha y lugar de nacimiento, número de tarjeta sanitaria, número de afiliación a la Seguridad Social, teléfono, etc.), tales como fotocopias de Libro de Familia, informes médicos, certificados del Ministerio del Interior sobre la condición de víctima de acto terrorista, notas simples del Registro de la Propiedad, certificados de registro municipales de parejas de hecho, volantes de empadronamiento, partes médicos de incapacidad temporal, alta, baja o confirmación, tanto el ejemplar del trabajador, en el que figura el diagnóstico, como el ejemplar para la empresa, según los casos, etc.”.

La calificación de los hechos

La Agencia considera que los hechos descritos son constitutivos de dos infracciones:

- Por una parte, la asociación responsable de la web había procedido a tratar datos sin el consentimiento de los titulares de los mismos, con el agravante de que parte de estos datos, tenían la consideración de especialmente protegidos. Los datos especialmente protegidos, según señala el artículo 7 de la LOPD requieren un consentimiento “cualificado”, bien expreso (datos de salud, origen racial y vida sexual), o bien expreso y por escrito (ideología, afiliación sindical, religión y creencias). Se trata de una infracción muy grave, sancionada con multa de 300.001 € a 600.000 €.

- Por otra parte, la divulgación de datos personales a través de Internet, posibilitando su acceso a terceros, implica una vulneración del deber de secreto (artículo 10 de la LOPD). En este caso, se trata de una infracción grave, sancionada con multa de 40.001 € a 300.000 €.

En opinión de la AEPD, se trata de un “supuesto de concurso medial, en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia que la comisión de una implica, necesariamente, la comisión de la otra”.  De acuerdo con lo dispuesto en el artículo 4.4 del Reglamento del procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto, se subsumen ambas infracciones en una, en este caso, en la más grave (esto es, el tratamiento de datos especialmente protegidos sin consentimiento de los afectados).

La gradación de la sanción

Una vez tipificada la infracción como muy grave, la AEPD aplica los criterios contenidos en el artículo 45 de la LOPD a la hora de fijar la sanción finalmente impuesta. La escala de sanciones prevista en la LOPD para cada tipo de infracción resulta muy amplia. El citado artículo 45 recoge dos grupos de circunstancias que permiten (i) aplicar la escala de sanciones correspondiente al grado inmediatamente inferior y (ii) graduar dentro de una escala la multa correspondiente a unos determinados hechos.

En primer lugar, la Agencia aprecia una disminución cualificada de la culpabilidad del la entidad denunciada, que procedió a iniciativa propia, antes de dictarse la resolución, a retirar el contenido de su web. Esto permite aplicar la escalas de sanciones correspondientes a las infracciones de un grado inferior (es decir, a la infracciones graves). Adicionalmente, dentro de la escala de 40.001 e y 300.000 € con que se sancionan las infracciones graves, se impone finalmente una multa intermedia. Si bien se tienen en cuenta los escasos ingresos de la asociación, no se pasa por alto ni el alto volumen de información tratada en forma no anonimizada y accesible a terceros, ni el carácter continuado de la infracción.

No es la primera vez que la AEPD sanciona a una entidad por difundir sentencias o partes de sumarios en los que figuran datos de carácter personal. En el 2010, una compañía especializada en la publicación on-line de contenidos jurídicos fue sancionada con 6.000 € por publicar en su web una sentencia donde figuraban los datos de carácter personal de las partes en una sentencia relativa a partición de herencias (PS/00564/2010).También en este caso, la denunciante descubrió el documento realizando una búsqueda de su nombre en Google.

En la Memoria de Actividades de la AEPD correspondiente al año 2012, podemos encontrar otros supuestos de difusión de sentencias por distintos medios que dieron lugar al inicio de actuaciones. En el procedimiento A/00149/2012, se apercibió a un particular que había divulgado a través de su blog dos sentencias judiciales en las que aparecían datos de los padres de unos menores condenados por acoso escolar. De la misma forma, en el PS/00446/2011, se sancionó a la titular de un blog que publicó un documento judicial relacionado con un asunto de violencia de género. En el procedimiento PS/00553/2011, se multa a los responsables de una web especializada en la publicación de documentación jurídica por un error de disociación al publicar los datos de una sentencia.

Ejemplos similares se repiten en la Memoria del 2013 y en la del 2014. Entre ellos, destacamos dos:

- En el procedimiento A/00225/2012, fue denunciada una asociación incorporó a su web una sentencia en la que constaban los datos de distintos miembros de la Guardia Civil (nombre, apellidos, escala, destino, etc.). En este caso, la AEPD apercibe a la asociación al considerar que actuó dentro de los fines y actividades que le son propios, divulgando una sentencia de interés para sus asociados.

- El procedimiento AP/00008/2014 analiza la divulgación en un anuario, accesible a través de internet, de diversas sentencias de la jurisdicción militar sin anonimizar.

Las sentencias no son fuentes de datos accesibles al público

La AEPD ha aclarado en diversos informes jurídicos que, sin perjuicio del principio de publicidad contenido en la Ley Orgánica del Poder Judicial, las sentencias y resoluciones judiciales no tienen la consideración de fuentes accesibles al público. Es decir, no forman parte del número tasado de bases de datos y repertorios de los que se obtienen datos que pueden ser tratados sin el consentimiento del afectado. Así, en un informe jurídico del año 2000 ([1]), en el que se consulta la posibilidad de publicar sentencias condenatorias de negligencia médica, la Agencia señala lo siguiente:

“(…) la regla general establecida en el inciso primero del artículo 3.j) [de la LOPD] en modo alguno impide que resulte de aplicación la enumeración taxativa contenida en su inciso segundo, dado que el contenido de este primer inciso no hace sino indicar un requisito indispensable para que los ficheros enumerados por la propia norma puedan ser considerados como fuentes de acceso público. En resumen tales ficheros sólo serán considerados como fuentes de acceso público cuando su consulta pueda ser realizada por cualquiera sin ninguna limitación salvo, en su caso, el abono de un precio, pero sólo son fuentes de acceso público las enumeradas, entre las que no se encuentran las resoluciones judiciales.”

Además, en este mismo informe la Agencia diferencia entre la difusión del texto completo de las sentencias, incluyendo los datos de las partes intervinientes y otras circunstancias que los hagan identificables, que parecía ser uno de los objetivos de la entidad consultante, y el tratamiento efectuado en los repertorios de jurisprudencia. Éstos últimos deben aparecer siempre anonimizados:

“Por último, se planteó si resultaba admisible establecer listas o repertorios de las sentencias dictadas en que existan condenas por negligencia médica, publicándose los datos con referencia exclusiva al nombre e iniciales de los apellidos de los afectados.

Con carácter general, y en lo referente a los repertorios, su publicación será posible, a juicio de esta Agencia Española de Protección de Datos, siempre y cuando de la misma no pueda derivarse el conocimiento de la persona que haya resultado condenada por la sentencia. En caso contrario, tal y como se ha venido indicando hasta ahora, no será posible la difusión de las sentencias sin antes recabar el consentimiento de los afectados.

En este sentido, las disposiciones de la LOPD no serán de aplicación siempre que los datos hayan sido previamente sometidos a un procedimiento de disociación, que el artículo 3 f) de la Ley define como "todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable".

En consecuencia, para que un procedimiento de disociación pueda ser considerado suficiente a los efectos de la Ley Orgánica 15/1999, será necesario que de la aplicación de dicho procedimiento resulte imposible identificar un determinado dato con su sujeto determinado.

A la vista de lo anterior, y teniendo en cuenta las especiales circunstancias concurrentes en el presente caso, en que los facultativos pueden ser identificados no sólo por su nombre y apellidos, sino también por el puesto que desempeñan en un determinado centro sanitario o, incluso, en áreas reducidas, por ser el único especialista en una determinada rama de la medicina, la mera sustitución de los apellidos por sus iniciales puede no resultar suficiente para que la disociación pueda considerarse conforme a lo prevenido en la LOPD, dado que si dicha supresión no va acompañada de la referente al puesto desempeñado y, en su caso, a la del área geográfica en la que el facultativo desempeña su profesión, no será posible considerar que aquél no resulta identificable, debiendo, en ese caso, someterse el fichero a las previsiones de la Ley, que exigen el consentimiento del afectado.”

No obstante lo expuesto hasta ahora, la AEPD acepta la publicación de sentencias que contengan datos de carácter personal con ciertas condiciones. Así por ejemplo, en el informe jurídico 434/2006 ([2]), la AEPD se pronuncia sobre la publicación de datos de abogados y procuradores en repertorios de jurisprudencia, concluyendo que dicha publicación no es contraria a la LOPD. Tampoco se considera contrataría a la LOPD la publicación de las sentencias del Tribunal Constitucional, de acuerdo a su regulación específica, aunque incluyan el nombre de las partes intervinientes en el mismo (Informe jurídico 451/2006 ([3])).

Otros órganos judiciales, por cierto, también publican sus sentencias incluyendo el nombre de las partes (por ejemplo, el Tribunal de Justicia de la Unión Europea; por este motivo, conocemos el nombre de la Señora Bodil Lindqvist, parte en la tantas veces citada sentencia de 6 de noviembre de 2003^[4]). Fuera de estos casos de publicaciones “oficiales”, a la vista de lo expuesto, resulta claro que la publicación de sentencias (o sumarios) por parte de particulares, especialmente si se utiliza Internet como medio de difusión, puede dar lugar a una sanción de la Agencia Española de Protección de Datos.