La Agencia Española de Protección de Datos (AEPD) sancionó con 100.000 € a una entidad por la difusión en internet de documentos que contenían datos de carácter personal, por vulnerar la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).
La entidad sancionada es una asociación sin ánimo de lucro constituida para defender los derechos y promover las circunstancias del atentado del “11M”, atentado que tuvo lugar el 11 de marzo de 2004 en la estación de Atocha de Madrid. Esta entidad publicó una parte del sumario de dicho atentado.
Durante una práctica en una clase de informática un menor encontró una fotocopia de su libro de familia introduciendo su nombre en un buscador; en la misma web también se podían encontrar información variada relacionada con el 11M. La madre del menor informó a la asociación de víctimas del atentado, a la cual pertenecía, de la existencia de dicha web; esta asociación presentó formalmente la denuncia a la AEPD.
La AEPD verificó que, efectivamente, en la web de la entidad denunciada aparecían listados de heridos con su nombre, apellidos y hospital en el que ingresaron; también distintos partes de lesiones y diversos vídeos con declaraciones de testigos.
Posteriormente la entidad sancionada decidió trasladar los documentos a una página de acceso restringido en la misma web; pero hicieron públicos el enlace a dicha página privada, el usuario y la contraseña de acceso, dando la posibilidad de que cualquiera pudiera seguir teniendo acceso a información con datos de carácter personal. Se pudo verificar que en ningún documento del sumario se habían ocultado los datos de carácter personal.
La AEPD consideró que la entidad denunciada había realizado dos infracciones:
- Trataba datos sin el consentimiento de los titulares de los mismos, con el agravante de que algunos de estos datos son considerados especialmente protegidos. Se trata de una infracción muy grave, sancionada con una multa de entre 300.001 € a 600.000 €.
- Divulgar datos personales a través de internet, facilitándolos a terceros, vulnerando así el deber de secreto. Se considera una infracción grave, sancionada con multa de entre 40.001 € a 300.000 €.
Al ser dos infracciones que derivan de un mismo hecho se considera concurso medial; eso significa que solo se tiene en cuenta la sanción más grave, en este caso el tratamiento de datos especialmente protegidos sin consentimiento de los afectados.
La AEPD aplica el artículo 45 de la LOPD para fijar la sanción impuesta; dicho artículo recoge dos grupos de circunstancias que permiten aplicar la escala de sanciones inferior a la impuesta y graduar dentro de una escala la multa correspondientes según determinados hechos. La AEPD rebaja la escala de sanciones de muy grave a grave porque la entidad denunciada procedió a iniciativa propia, antes de dictarse la resolución, retirar el contenido de su web. Luego dentro de la escala de 40.001 € a 300.000 € se impone una multa intermedia (100.000 €). Se tuvieron en cuenta el limitado presupuesto de la entidad, pero no se podía pasar por alto el gran volumen de información tratada de forma no anonimizada y puesta a disposición de terceros, ni el carácter continuado de la infracción.
La AEPD ha aclarado más de una vez que las sentencias y resoluciones judiciales no tienen la consideración de fuentes accesibles al público. Eso significa que no forman parte del número tasado de bases de datos y repertorios de los que se obtienen datos que pueden ser tratados sin el consentimiento del afectado.
Con carácter general, sólo se podrán publicar sentencias siempre y cuando no puedan reconocerse la/s persona/s que hayan sido condenadas por la sentencia. En otras palabras, según la LOPD para que un procedimiento de disociación pueda ser considerado suficiente, debe resultar imposible identificar un determinado dato con su sujeto asociado.
