MALLORCA PROTECCION DE DATOS SLU EMPRESA LIDER

marzo 2nd, 2012

Despues de cinco años de duro trabajo, José María Sánchez gerente de Mallorca Proteccion de Datos SLU ha colocado a dicha empresa como lider en la implantación y cumplimiento de la lopd de las empresas de Baleares.

A partir del 2012 da el salto tambien en la implantacion de empresas en la peninsula.

¿QUE ES UN DATO PERSONAL?

marzo 2nd, 2012

¿QUÉ ES UN DATO PERSONAL?

Vivimos en la sociedad de la información y cada día se tratan millones de datos personales.

Sin el uso de nuestra información personal prácticamente ninguno de los servicios de los

que disponemos podría funcionar.

Hoy día, prácticamente para cualquier actividad, nos solicitan información. Facilitamos

nuestros datos personales cuando abrimos una cuenta en el banco, cuando solicitamos

participar en un concurso, cuando reservamos un vuelo o un hotel, cada vez que efectuamos

un pago con la tarjeta de crédito o cuando navegamos por Internet.

El nombre y los apellidos, la fecha de nacimiento, la dirección postal o de correo electrónico,

el número de teléfono, el DNI, la matrícula del coche y muchos otros datos que

usamos a diario constituyen información valiosa que podría permitir identificar a una persona,

ya sea directa o indirectamente. Gracias a esta información podemos desarrollar

nuestra actividad cotidiana, inscribimos a nuestros hijos en el colegio, recibimos atención

sanitaria, realizamos llamadas telefónicas o disfrutamos de nuestro ocio.

Nuestros datos pueden ser recogidos en ficheros que dependen de las administraciones

públicas y de empresas y organizaciones privadas que los utilizan para desarrollar su

actividad.

Debemos ser conscientes de que toda esta información revela aspectos de nuestra personalidad.

Qué bienes compramos y dónde lo hacemos, nuestra historia clínica, nuestro

perfil en una red social o las fotografías y videos que subimos a nuestro espacio en Internet

son información que dicen todo sobre nosotros y nuestra personalidad.

Los ejemplos sobre cómo puede tratarse nuestra información en la sociedad digital y los

resultados que ofrece son muy numerosos:

Si somos funcionarios, tenemos un blog, o hemos participado en cualquier actividad pública y

ha quedado constancia bastará con poner nuestro “nombre y apellido” entre comillas en un buscador

para obtener resultados a veces sorprendentes.

En nuestro perfil en una red social contamos desde la fecha de nacimiento y el colegio en el

que estudiamos hasta cuando salimos de vacaciones.

Algo tan simple como nuestra dirección de correo electrónico del trabajo suele indicar quienes

somos y en qué trabajamos y con ello una primera aproximación a nuestro perfil económico y

nuestros intereses profesionales.

Nuestro expediente académico dice todo profesionalmente sobre nosotros.

Aparecer en un fichero sobre solvencia con un informe negativo puede afectar a nuestra capacidad

de compra.

Recibir una ayuda o subvención depende de la comprobación de decenas de datos.

Por tanto, nuestra información es importante, dice quienes somos, qué cosas nos gustan,

cuales son nuestras capacidades y habilidades. Nuestros datos, dicen todo sobre nuestra

personalidad y es esencial al usarlos, saber cómo protegerlos.

El derecho fundamental a la protección de datos es la capacidad que tiene el ciudadano

para disponer y decidir sobre todas las informaciones que se refieran a él. Es un derecho

reconocido en la Constitución Española y el Derecho Europeo y protegido por la Ley

Orgánica de Protección de Datos (LOPD).

Pero no sólo podemos entender el derecho fundamental a la protección de datos desde un

punto de vista pasivo. Cada día muchos de nosotros tratamos datos de otras personas en

Internet. Hacemos comentarios, subimos y etiquetamos fotos en foros o blogs, y probablemente

en la mayor parte de las ocasiones no tenemos en cuenta si aquellos a los que nos

referimos están de acuerdo con ello o les puede disgustar nuestro comportamiento.

La AEPD autoriza la conservación de datos personales

marzo 2nd, 2012

La AEPD –Agencia Española de Protección de Datos- dicta, por primera vez, una resolución que autoriza la solicitud de una organización sindical para conservar datos de sus afiliados con fines históricos.

Con el avance de las tecnologías, el usuario deja deambular sus datos por la red exponiéndose sin remedio a los riesgos que esto supone. Por eso, el uso y el control sobre los datos de cada persona deben ser reconocidos como un derecho fundamentalmente protegido.

La Agencia Española de Protección de Datos (AEPD) ha dictado la primera resolución de autorización para conservación de datos personales con fines históricos en la que se autoriza la solicitud de una organización sindical para conservar datos de sus afiliados y representantes sindicales con fines históricos.

El procedimiento se ha generado a raíz de la petición de una organización sindical para el mantenimiento íntegro, con fines históricos, de los datos tanto de afiliados como de representantes sindicales contenidos en los ficheros de la organización, según indica el comunicado de la AEPD.

La resolución dictada por la AEPD señala que los datos se guardarán siempre que se destinen exclusivamente a fines históricos y cuando el afectado deje de formar parte activa de la organización.

Además, especifica que el almacenamiento no se realizará cuando el involucrado ejerza su derecho de cancelación.

La CE, contra Google por su nueva política de privacidad

marzo 2nd, 2012

La Comisión Europea (CE) consideró este martes “desafortunado” que el gigante de internet Google haya decidido aplicar desde este jueves, tal y como había anunciado, su nueva política de privacidad, a pesar de la advertencia de Bruselas y las autoridades francesas de que no la consideran compatible con la ley de la UE.

“Es desafortunado que Google haya seguido adelante con su nueva política antes de responder a las preocupaciones de la autoridad francesa de protección de datos”, declaró en un comunicado difundido hoy la vicepresidenta de la CE y responsable de Justicia, Viviane Reding.

La comisaria confirmó su respaldo a la petición de la autoridad de protección de datos de Francia de que Google retrasase su nueva política de privacidad, hasta que las dudas sobre si se ajusta a la legislación europea hubieran sido resueltas.

Según Reding, todas las compañías que ofrecen servicios a los consumidores Europeos deben proporcionarles “información clara” sobre su política de privacidad.

“En Europa, los consumidores deben poder tomar decisiones informadas sobre los servicios basados en internet que utilizan”, señaló la comisaria.

Fuentes comunitarias explicaron que la autoridad francesa expresó a Google a través de una carta sus “serias dudas” de que su nueva política de privacidad fuera conforme a la legislación europea; en concreto, a la directiva sobre protección de datos de 1995.

En la misiva, a la que tuvo acceso Efe, piden además a Google que responda a esas dudas, ya que si vulnera las normas europeas puede enfrentarse a sanciones.

En ese caso, la aplicación de la legislación europea de protección de datos está “descentralizada”, de forma que corresponde a las autoridades nacionales competentes verificar que las compañías cumplen con la ley y no a la Comisión Europea emprender acciones contra las empresas, agregaron las fuentes.

En el caso de Google, la autoridad francesa centra su preocupación en la decisión de la firma de combinar la información personal que tiene de los usuarios de sus diferentes servicios (buscador, correo electrónico, YouTube, etc.), y cuestiona la “legalidad” de ese procedimiento y si es “justo” para los consumidores.

Hace dos días, Reding ya había advertido a Google de que debía “dejar en suspenso” su nueva política hasta que se atuviese totalmente a la legislación europea de protección de datos.

“Como ya estableció la nueva legislación comunitaria del pasado 25 de enero, las compañías deben garantizar que sus Googl estén escritas en un lenguaje claro y comprensible y que los consumidores estén bien informados de las reglas”, indicó entonces.

fuente:

diario de mallorca

Una web desvela las identidades a través de los números de teléfono

noviembre 24th, 2011

Con sólo introducir el número de teléfono fijo en una página web se puede saber el nombre del titular de la línea, su dirección y hasta su cuenta en Facebook. Es como las viejas páginas blancas pero al revés. La empresa, llamada ABC Teléfonos, ofrece incluso la posibilidad de enviar mensajes al localizado o editar su información. Esta práctica, denominada búsqueda inversa, está prohibida por la ley española. Sin embargo, otros servicios, como los buscadores de multas, no violan la normativa en vigor ya que hacen lo mismo que Google, rastrear la información disponible en fuentes públicas.

La alarma la dio un foro de internet. “¿Cómo es que mi nombre, apellidos y número de teléfono salen en una pagina de internet llamada ABC Teléfonos sin mi autorización? ¿Se puede denunciar?”, escribía un usuario anónimo. Enseguida, el caso saltó a Meneame.net, una conocida página web que recoge las noticias que cuelgan sus usuarios y es una de las más vistas en los últimos días.

Datos al descubierto

Decenas de personas hicieron la prueba de poner su número de teléfono en la casilla y la mayoría descubrió que la página desvelaba su nombre completo y dónde viven, mostrando incluso un mapa con su ubicación. Hubo uno que, con sorna, escribió que ya había localizado a alguien que le debía dinero. Pero la mayoría se preguntaba si lo que hace esta web es legal o no.

Pues no lo es. Según la Agencia Española de Pro-tección de Datos (AEPD), “el tratamiento de datos personales en las guías inversas, es decir, la posibilidad de averiguar datos personales relativos a la persona física a partir de un número de teléfono cuyo abonado es desconocido constituye un uso totalmente diferente de la finalidad establecida de las guías telefónicas convencionales, cuyo fin es revelar el número de teléfono de un abonado a partir del nombre”. De hecho, para hacer lo que hace, ABC Teléfonos tendría que pedir “el consentimiento informado del abonado”, ya que se trata de una nueva finalidad a los tradicionales listines.

La normativa también establece que el ciudadano tiene los derechos de acceso, rectificación cancelación y oposición al tratamiento de sus datos. Sin embargo, cuando se intenta borrarlos, la página conserva la vinculación entre el número de teléfono y el nombre. Además, ofrece enlaces a Dateas, otra web de la misma compañía que promete informes sobre la actividad comercial, el DNI y hasta la cuenta de Facebook. Estos informes hay que pagarlos. Otro problema añadido es que ambas páginas están fuera de España.

Protección de Datos multa a UGT Enseñanza por publicar las retribuciones de los empleados

noviembre 24th, 2011

La Agencia Española de Protección de Datos multó a la Federación Española de Trabajadores de la Enseñanza de UGT por dar publicidad de las retribuciones de los empleados, algo que está penado con una sanción grave.

El pasado 16 de junio la Agencia Española de Protección de Datos resolvió sancionando con 3.000 euros a la Federación Española de Trabajadores de la Enseñanza de UGT (FETE-UGT). La agencia consideró la publicidad de las retribuciones de los empleados como una sanción grave según lo establecido en el artículo 6.1 de la LOPD.

Los hechos fueron los siguientes: el 3 de marzo de 2010 a las 12:55 FETE UGT envía un correo electrónico a sus afiliados con el siguiente asunto: FETE informa al PAS. En dicho correo se adjuntaba un documento en el que se detallaban las gratificaciones acordadas por la Universidad Complutense de Madrid en el marco del programa Gratificaciones del Aula a Distancia y Abierta de la Comunidad de Madrid. En dicho documento se criticaba que las gratificaciones conllevaran la no renovación de contratos de personal y la reducción de plantilla. Se informaba de la cuantía general y se desglosaba persona a persona en seis casos. Exactamente los seis casos que se denunciaron ante la Agencia de Protección de Datos.

La Agencia abre expediente sancionador y reclama a las partes sus alegaciones. FETE UGT explica que la citada información forma parte de su actividad sindical, que la información fue destinada exclusivamente a sus afiliados y que en todo caso, se trataba de información accesible a todo trabajador de la UCM. Alega además que las gratificaciones forman parte de acuerdos del consejo de gobierno de la UCM, de naturaleza públicos. FETE-UGT también considera que aunque las gratificaciones publicadas eran de empleados, deben de asimilarse a la de funcionarios públicos.

La Agencia considera sin embargo que esa asimilación no se ajusta a la normativa y recuerda que en ningún caso hubo consentimiento de los denunciantes por lo que considera que la publicidad de sus retribuciones vulnera la Ley de Protección de Datos de manera grave y es sancionable con 3.000 euros. Esta es la propuesta de resolución del pasado 5 de abril ratificada posteriormente el 16 de junio.

La AEPD autoriza la conservación de datos personales

noviembre 24th, 2011

La AEPD –Agencia Española de Protección de Datos- dicta, por primera vez, una resolución que autoriza la solicitud de una organización sindical para conservar datos de sus afiliados con fines históricos.

Con el avance de las tecnologías, el usuario deja deambular sus datos por la red exponiéndose sin remedio a los riesgos que esto supone. Por eso, el uso y el control sobre los datos de cada persona deben ser reconocidos como un derecho fundamentalmente protegido.

La Agencia Española de Protección de Datos (AEPD) ha dictado la primera resolución de autorización para conservación de datos personales con fines históricos en la que se autoriza la solicitud de una organización sindical para conservar datos de sus afiliados y representantes sindicales con fines históricos.

El procedimiento se ha generado a raíz de la petición de una organización sindical para el mantenimiento íntegro, con fines históricos, de los datos tanto de afiliados como de representantes sindicales contenidos en los ficheros de la organización, según indica el comunicado de la AEPD.

La resolución dictada por la AEPD señala que los datos se guardarán siempre que se destinen exclusivamente a fines históricos y cuando el afectado deje de formar parte activa de la organización.

Además, especifica que el almacenamiento no se realizará cuando el involucrado ejerza su derecho de cancelación.

FUENTE: WWW.SILICONNEWS.ES

Las empresas no podrán recurrir las multas de protección de datos al Tribunal Supremo

noviembre 2nd, 2011

El pasado 31 de octubre entró en vigor la Ley de Medidas de Agilización Procesal que, con la excusa de aligerar el la acumulación de asuntos que tapona al Tribunal Supremo (TS) prohíbe que se recurran en casación al TS los asuntos que no superen los 600.000 euros. Esto significa que las empresas ya no podrán acudir al Alto Tribunal para intentar anular estas gravosas sanciones, ya que su cuantía máxima es de 600.000 euros y no son acumulables.

Este cambio se produce cuando la Memoria 2010 de la Agencia Española de Protección de Datos (AEPD) muestra que, a pesar de la crisis, la AEPD ha incrementado en un 11% el volumen de los procedimientos relativos al ejercicio de la potestad sancionadora, y en un 8% los procedimientos sancionadores resueltos. Asimismo, las sanciones impuestas por la AEPD durante 2010 han alcanzado la cifra de 17 millones de euros.

Además, alrededor del 64% de las sanciones impuestas por la Agencia son consideradas como graves, lo que implica que la mayoría de las resoluciones sancionadoras han impuesto multas de entre 60.000 y 300.000 euros. Ninguna de éstas, ni las consideradas como “muy graves” pordrán recurrir al Supremo.

Javier Aparicio, socio de Cuatrecasas, Gonçalves Pereira, explica que “la casación es un recurso excepcional y no una segunda instancia. Tiene por objeto la corrección por el Supremo de algunos errores especialmente importantes que puedan cometerse en la sentencia recurrida, como es la infracción de las normas, dirigiendo y matizando así la interpretación de las leyes y ejerciendo su papel de tribunal superior en todos los órdenes”. Por ello, la privación de la casación en la materia de tasas locales es especialmente grave, dada la enorme trascendencia que tiene para los ciudadanos en la coyuntura económica actual.

Cabe recordar las palabras del presidente del Tribunal Supremo y del Consejo General del Poder Judicial (CGPJ), Carlos Dívar, en la apertura del año judicial el pasado 15 de septiembre. Dívar mostró su confianza en que el proyecto de medidas de agilización procesal tendrá una influencia positiva en el funcionamiento de varias salas del Tribunal Supremo. Durante 2010, detalló Dívar, se ha producido “una notable reducción” del número de asuntos pendientes de resolución ante el Alto Tribunal hasta quedar situados en una cifra total próxima a los 24.225 asuntos y además se ha dado salida a
un número equivalente al de los ingresados durante el año.

Sin embargo, las empresas y sus abogados denuncian que se está atentando contra derechos fundamentales y apuntan a que el conflicto llegará al Tribunal Constitucional.

Recopilación de datos entre los ex-alumnos de una Academia para la celebración del aniversario de su promoción.

octubre 11th, 2011

AUDIENCIA NACIONAL. Sentencia de 15-06-2006. Sala de lo Contencioso-Administrativo. SECCIÓN PRIMERA. Recopilación de datos entre los ex-alumnos de una Academia para la celebración del aniversario de su promoción.
La AN estima el recurso
Madrid, a quince de junio de dos mil seis.
Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional los autos del recurso contencioso-administrativo núm. 521/04 interpuesto por el Procurador DON X.X.X., en nombre y representación de Y.Y.Y., Z.Z.Z., V.V.V., W.W.W., U.U.U., T.T.T.,A.A.A., B.B.B., C.C.C., D.D.D., E.E.E., F.F.F., G.G.G., H.H.H., I.I.I., J.J.J., K.K.K., L.L.L., M.M.M., N.N.N., O.O.O., P.P.P., Q.Q.Q., R.R.R., S.S.S., A.A.B., A.A.C., contra la resolución de fecha 18 de junio de 2004 desestimatoria del recurso de reposición promovido contra la resolución de 28 de abril de 2004 dictada en expediente sancionador por al AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, representada y defendida por el Sr. Abogado del Estado. Ha intervenido como codemandado la Procuradora DOÑA A.A.D., en nombre y representación de DON A.A.E.. La cuantía del recurso es de 6.010,12 Euros.
ANTECEDENTES DE HECHO
PRIMERO.- Por la parte recurrente se interpuso recurso contencioso-administrativo mediante escrito de fecha 29 de septiembre de 2004, acordándose por providencia de esta Sala de fecha 14 -de octubre de 2004 su tramitación de conformidad con las normas establecidas en la Ley 29/98, y la reclamación del expediente administrativo.
SEGUNDO.- En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito presentado el 22 de diciembre de 2004, en el cual, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dicte sentencia que con estimación íntegra del recurso, declare contraria a Derecho y, en consecuencia, anule la resolución impugnada.
TERCERO.- El Abogado del Estado contestó a la demanda mediante escrito presentado el 3 de marzo de 2005, en el cual, tras alegar los hechos y los fundamentos jurídicos que estimó oportunos, terminó suplicando se dictara sentencia en la que se desestimara el recurso y se confirmara la resolución administrativa impugnada por ser conforme a Derecho.
CUARTO.- La parte codemandada, contestó a la demanda mediante escrito presentado el 19 de abril de 2005, en el que, tras alegar los hechos y los fundamentos jurídicos que estimó oportunos, terminó suplicando se dicte sentencia por la que se desestime el recurso confirmando la resolución administrativa impugnada por ser conforme a derecho.
QUINTO.-Habiéndose solicitado el recibimiento a prueba de las presentes actuaciones, se acordó el trámite mediante Auto de 28 de abril de 2005, habiéndose practicado las admitidas con el resultado que es de ver en las actuaciones. Declarado concluso el término probatorio, se dio traslado a las partes por su orden para conclusiones, quienes las evacuaron en sendos escritos en los que concretaron y reiteraron sus respectivos pedimentos.
SEXTO.- Conclusos los autos, se señaló para la votación y fallo de este recurso el día 17 de Mayo de 2006, fecha en la que tuvo lugar la deliberación y votación, habiendo sido Ponente el Ilmo. Sr. Magistrado Don A.A.F., quien expresa el parecer de la Sala. –
FUNDAMENTOS DE DERECHO
PRIMERO.- Los miembros de la Comisión para las Bodas de Plata de la XXX Promoción de la Academia General Militar de Zaragoza, interponen recurso contencioso-administrativo contra la resolución del Director de la Agencia de Protección de Datos de 18 de junio de 2004 por la que se desestimaba el recurso de reposición interpuesto frente a la resolución del mismo Director de 28 de abril de 2004, en el procedimiento sancionador PS/001 16/2003.
Dicha resolución declaró como hechos probados los siguientes:
“PRIMERO: Para la celebración de las bodas de plata de la XXXV promoción de la Academia General Militar de Zaragoza se creó una comisión a efectos de la organización del evento que se celebraría en marzo de 2002. Para informar de los actos previstos para la celebración, se formó una comisión formada por algunos miembros de dicha promoción quienes elaboraron un listado informático con los datos de nombre, apellidos, dirección postal y Armé de unos 400 miembros de la promoción. Dichos datos se obtuvieron de las agendas personales de los propios miembros de promoción.
SEGUNDO: Para gestionar el evento se firmó un contrato con la agencia de viajes Norte Sur, S.A. de fecha 03/12(0 1 por el cual la “Comisión para la bodas de plata de la XXXV promoción de la Academia General Militar de Zaragoza” encarga a la citada agencia la realización de determinadas gestiones en su nombre y con la finalidad de organizar la celebración prevista. El contrato
tiene un plazo limitado (hasta marzo de 2002). Para dicha gestión la Comisíón hace entrega a la agencia del listado con los datos de los miembros de la promoción. La agencia de viajes se compromete a utilizar dichos datos con la única finalidad de realizar la gestión encomendada, no cederlos a otras personas o entidades, debiendo destruirlos o de volverlos a la Comisión cuando finalice su tarea.
TERCERO: La agencia de viajes Norte Sur, S.A. envió a los miembros de la XXXV promoción de la Academia General Militar de Zaragoza, cuyos datos constaban en el referido listado, una carta con información sobre la celebración y organización del evento. No consta la utilización de dichos datos para otras actividades diferentes de -las pactadas con la mencionada Comisión. Terminada la relación contractual, el listado de datos fue destruido.”
Consideró la Agencia que estos hechos constituían una vulneración del principio del consentimiento recogido en el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, lo que constituye la infracción grave a que se refiere el art. 43.3.d), “tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave”, imponiéndose una multa de 6.010,12 euros, al aplicarse la graduación prevista en el artículo 45.5 de la citada ley Orgánica.
SEGUNDO.- Señalan los actores en su demanda que es una tradición consolidada que cada promoción celebre sus bodas de plata cuando se cumplen los 25 años desde la Jura de Bandera en la Academia General Militar y que la organización de los actos conmemorativos queda en manos de cada promoción, constituyéndose al efecto una comisión. Uno de los cometidos de esta comisión es el de localizar a todos los compañeros de la promoción para informarles de los actos programados y para, en su caso, confirmar su asistencia. Al efecto la Comisióñ confeccionó un listado con el nombre, dirección postal y Arma (Infantería, Caballería, Artillería…) de los miembros de la promoción, obteniendo los datos directamente de las agendas personales de los compañeros de la promoción y para contrastar o buscar direcciones se utilizaron las guías de servicios de telecomunicaciones.
Como es de ver el relato de la demanda coincide en lo sustancial con los hechos declarados probados.
Su impugnación no se fundamenta por tanto en la discrepancia sobre los hechos sino en la calificación jurídica de los mismos, así como en determinadas infracciones procedimentales que pasamos a examinar a continuación.
La primera de ellas consistió en requerir información a los denunciados sin notificarles con carácter previo o simultáneo el contenido de la denuncia, lo que a su
juicio supone una infracción del art. 24 CE que garantiza el derecho del acusado a no declarar contra sí mismo, siendo imprescindible para la garantía de este derecho la información previa sobre la acusación.
Si se examina el expediente se constata que los requerimientos de información a que se refiere la demanda lo fueron con anterioridad a la apertura del procedimiento sancionador y cuando no existía imputación alguna contra los recurrentes, por lo que no se puede considerar infringido el derecho alegado que exige como presupuesto la existencia de una imputación o de una acusación.
La segunda infracción procedimental consistió, según los actores, en el hecho de que uno de los documentos del expediente administrativo (concretamente el sobre que recibió el denunciante y en que consta la dirección postal, folios -685 y 686) fuese incorporado al mismo con fecha 23 de abril de 2004, es decir cinco días antes de que fuese dictada la resolución que puso fin al procedimiento sancionador y sin comunicarlo a los denunciados, que no han tenido conocimiento del mismo hasta que se les ha remitido el expediente administrativo por- la Audiencia Nacional. Este hecho les ha producido grave indefensión y determina la nulidad del procedimiento sancionador.
En realidad este hecho no les ha producido ninguna indefensión pues los datos contenidos en el sobre fueron facilitados por los propios denunciados a la agencia de viajes que se encargó de remitir la carta al denunciante. Es decir, que se trataba de una circunstancia perfectamente conocida por ellos y ninguna limitación de sus derechos de defensa les produce el hecho de que se incorpore al expediente con posterioridad al momento en que evacuaron sus alegaciones. Además, en este proceso han podido impugnar este medio probatorio cosa que no han hecho.
TERCERO.- Despejadas las cuestiones formales debemos abordar la cuestión de fondo.
El argumento central de los recurrentes consiste en entender que su acción está excluida del régimen de protección de la ley 15/1999, amparándose en la previsión del articulo 2.2.a).
Según este precepto están excluidos del ámbito de aplicación de la ley los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
La Agencia de Protección de Datos sostiene sobre esta cuestión que cuando los datos de las agendas personales salen de la esfera personal y forman parte de un conjunto de datos recogidos para la promoción de un evento, nos encontramos ante un tratamiento de datos sujeto al ámbito de aplicación de la LOPD.
Parece que lo relevante para la Administración a los efectos de la sujeción al régimen legal de protección de datos es la existencia de un tratamiento de datos en el
sentido legal. –
El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos.
El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente. Un particular puede realizar operaciones de recogida de datos para elaborar en su ordenador, agenda electrónica o agenda manual un fichero de direcciones de sus amistades, lo que es muy frecuente como todos sabemos, tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).
La propia Directiva 95/46/CE, de la que es desarrollo la ley 15/1 999, establece en su considerando 12 que la aplicación de los principios de la protección de datos
Lo relevante para la sujeción al régimen de protección de datos no será por tanto que haya existido tratamiento, sino si dicho tratamiento se ha desarrollado en un ámbito o finalidad que no sea exclusivamente personal o doméstico.
Qué ha de entenderse por “personal” o “doméstico” no resulta tarea fácil.
En algunos casos porque lo personal y lo profesional aparece entremezclado. En este sentido el adverbio “exclusivamente” utilizado en el art. 2.2.a) apunta a que los ficheros mixtos, en los que se comparten datos personales y profesionales, quedarían incluidos en el ámbito de aplicación de la ley al no tener como finalidad exclusiva el uso personal.
Tampoco hay que entender que el tratamiento se desarrolla en un ámbito exclusivamente personal cuando es realizado por un único individuo. Por ejercicio de una actividad personal no debe entenderse ejercicio de una actividad individual. No deja de ser personal aquella actividad de tratamiento de datos que aún siendo desarrollada por varias personas físicas su finalidad no trasciende de su esfera más íntima o familiar, como la elaboración de un fichero por varios miembros de una familia a los efectos de poder cursar invitaciones de boda. Y un tratamiento de datos personales realizado por un solo individuo con finalidad profesional, mercantil o industrial estará claramente incluido en el ámbito de aplicación de la ley 15/1 999.
Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no
sea otra que surtir efectos en esos ámbitos.
En un caso como el enjuiciado —elaboración de un fichero para celebrar las bodas de plata de una promoción de la Academia General Militar- la finalidad del tratamiento no excede del ámbito que acabamos de expresar pues tiene por objeto mantener los lazos de amistad y compañerismo creados durante el período formativo mediante la celebración de un acto puntual de confraternización de todos los miembros de una determinada promoción con ocasión del veinticinco aniversario de su jura de bandera. –
No se pretende pues una finalidad profesional, aunque todos los partícipes de la celebración pertenezcan a una misma corporación profesional como es la militar.
Por otra parte, este tipo de celebraciones son habituales en numerosos ámbitos de la vida —aniversarios de bodas, de estudios universitarios, de oposiciones, etc… – y aunque participen en ellos colectivos numerosos de personas no exceden de su ámbito más íntimo y privado. En todas ellas es preciso un mínimo de organización que necesariamente ha de conllevar un “tratamiento de datos”, en el amplio concepto que la ley contempla. Ello no significa sin embargo que haya de sujetarse al régimen de protección de la ley al no exceder, como hemos visto, de esa esfera personal o doméstica de la que habla la ley, quedando por tanto excluidos de su ámbito de aplicación.
La propia Directiva 9546/CE, de la que es desarrollo la ley 15/1999, establece en su considerando 12 que la aplicación de los principios de la protección de datos debe excluirse cuando el tratamiento de datos efectuado por una persona física lo haya sido en el ejercicio de actividades exclusivamente personales o domésticas, poniendo de ejemplo la correspondencia o la llevanza de un repertorio de direcciones.
La pretensión de que tales actividades, en cuanto al tratamiento de datos, debieran quedar sujetas a los principios de protección contemplados en la ley 15/1999, con fundamento en una concepción maximalista del principio del consentimiento, como parece expresar la Agencia de Protección de Datos, conllevaría una desnaturalización de las relaciones sociales, sometiéndolas a unos rigores formales en cuanto al manejo de datos personales totalmente ajenos al sentir social y en modo alguno exigidas por el derecho fundamental a la autodeterminación informativa, derecho que no es absoluto y que debe ser interpretado en cuanto a sus manifestaciones y exigencias partiendo de su contraposición con otros derechos y valores constitucionales, como el libre desarrollo de la personalidad, y de la realidad social a la que está dirigido.
De las razones expuestas se deduce en definitiva que no hay una conducta antijurídica de la que pueda hacerse derivar una responsabilidad para los integrantes de la “Comisión para la bodas de plata de la XXXV promoción de la Academia General Militar de Zaragoza”, razón por la que la resolución impugnada debe ser anulada en los términos interesados por los demandantes, con estimación de su recurso.
CUARTO.- No se aprecia temeridad o mala fe en ninguno de los litigantes a los efectos previstos en materia de costas procesales en el artículo 139.1 de la Ley 29/1998, de 13 de julio, reguladora de esta Jurisdicción.
EN NOMBRE DE SU MAJESTAD EL REY
FALLAMOS
PRIMERO.- Estimar el recurso contencioso-administrativo interpuesto por el
Procurador DON X.X.X., en nombre y representación de Y.Y.Y., Z.Z.Z., V.V.V., W.W.W., U.U.U., T.T.T., A.A.A., B.B.B., C.C.C., D.D.D., E.E.E., F.F.F., G.G.G., H.H.H., I.I.I., J.J.J., K.K.K., L.L.L., M.M.M. N.N.N., O.O.O., P.P.P., Q.Q.Q., R.R.R., S.S.S., A.A.A. , A.A.C., contra la resolución de fecha 18 de junio de 2004 desestimatoria del recurso de reposición promovido contra la resolución de 28 de abril de 2004 dictada en expediente sancionador por la AGENCIA ESPAÑOLA DE PROTECCION DE DATOS, resoluciones que anulamos.
SEGUNDO.- No hacer pronunciamiento sobre las costas causadas por no haber mérito para su imposición.
Así, por ésta nuestra sentencia de la que se llevará testimonio a los autos de su razón, lo pronunciamos mandamos y firmamos.
PUBLICACION.- Leída y publicada ha legalmente establecida. Doy fe. En Madrid.

ADMINISTRACIONES PÚBLICAS. Hospital no proporciona a AEPD información solicitada. ximtipo: fecha Hospital no proporciona a AEPD información solicitada.

octubre 11th, 2011

Procedimiento AP/00090/2010
RESOLUCIÓN: R/01052/2011
En el procedimiento de Declaración de Infracción de Administraciones Públicas
AP/00090/2010, instruido por la Agencia Española de Protección de Datos a la entidad
Servicio Gallego de Salud – Hospital Xeral de Lugo,
ANTECEDENTES
PRIMERO: Con fecha 26 de marzo de 2010, el Director de la Agencia Española de
Protección de Datos envió a ese Centro el requerimiento siguiente:
“La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal
(LOPD) y su Reglamento de desarrollo (RLOPD), aprobado mediante el Real Decreto 1720/2007,
de 21 de diciembre, establecen el marco general que regula el derecho fundamental de
protección de datos.
El artículo 37.1 de la LOPD confiere a la Agencia Española de Protección de Datos, entre otras,
las funciones de velar por el cumplimiento de la legislación sobre protección de datos y
controlar su aplicación (art. 37.1 a), requerir a los responsables y los encargados de los
tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la
adecuación del tratamientos de datos a las disposiciones de la Ley (art. 37.1 f), así como recabar
de los responsables de los ficheros cuanta ayuda e información estime necesaria para el
desempeño de sus funciones (art. 37.1 i).
Los tratamientos de datos de carácter personal que se realizan en el ámbito hospitalario y, en
particular, los relacionados con la gestión de las historias clínicas o la investigación clínica,
incluyen datos de salud, que en la normativa de protección de datos se consideran datos
sensibles o especialmente protegidos y, como tales, tienen un régimen de garantías más
reforzado.
Los centros hospitalarios como responsables de estos ficheros han de ser especialmente
diligentes para cumplir los principios y garantías exigidos por la LOPD y, en particular, los
relativos a la inscripción de los ficheros en el Registro General de Protección de Datos (RGPD),
la información a los pacientes, o la adopción de las medidas de seguridad de nivel alto
establecidas en el RLOPD.
Desde la Agencia Española de Protección de Datos se ha observado un incremento en las
reclamaciones relativas al ejercicio de los derechos de acceso, rectificación, cancelación y
oposición en relación con las Historias Clínicas, planteadas por ciudadanos que no han sido
atendidos adecuadamente en centros hospitalarios, así como del número de procedimientos
tramitados por la Agencia vinculados a la vulneración de los deberes de seguridad y secreto por
parte de centros sanitarios.
La Agencia Española de Protección de Datos, consciente de la importancia de estos tratamientos
de datos y la trascendencia del derecho fundamental a la protección de datos en este sector,
desea conocer el nivel de cumplimiento con la LOPD y la normativa de protección de datos en
centros hospitalarios para adoptar las medidas que resulten pertinentes. Para ello, la Agencia ha
tomado la iniciativa de elaborar el Informe de cumplimiento de la LOPD en Hospitales y remitirlo a
c. Jorge Juan 6 28001 Madrid www.agpd.es
cada uno de los centros públicos y privados que componen el Catálogo Nacional de Hospitales.
Por todo lo anterior, en el ejercicio de las competencias de esta Agencia y con el objetivo
anteriormente señalado, se le requiere para que cumplimente el Informe de cumplimiento de la
LOPD en Hospitales antes del próximo 31 de mayo de 2010”.
El citado informe, en formato electrónico, se encuentra disponible en http://esam-tec.com/ENQUEST-
Viewer/portalUsuario agpd hospitales. Para acceder deberá identificarse con el
nombre de usuario: B.B.B. y a continuación introducir la clave: A.A.A..
Antes de cumplimentar el Informe se recomienda que compruebe si dicho Centro Hospitalario
tiene inscritos y actualizados sus ficheros en el RGPD, cuya consulta puede realizarse
accediendo al apartado de Ficheros inscritos en la página web de la Agencia (www.agpd.es).
Para cualquier consulta al respecto, no duden en ponerse en contacto con esta Agencia, en
concreto con la Subdirección General del Registro General de Protección de Datos, a través de
la dirección de correo electrónico rgpd@agpd.es
SEGUNDO: En fecha 18 de junio de 2010, el Director de la Agencia Española de
Protección de Datos remitió un segundo requerimiento a ese Centro, al no haberse
recibido contestación a la encuesta, en el que se indica lo siguiente:
“En el ejercicio de las competencias de la Agencia Española de Protección de Datos, con fecha
26 de marzo de 2010 y número de registro de salida 336097/2010, se le informaba de la iniciativa
relativa al Informe de cumplimiento de la LOPD en Hospitales y que se remitía a cada uno de los
centros públicos y privados que componen el Catálogo Nacional de Hospitales y se requería para
que se cumplimentase antes del 31 de mayo de 2010.
Una vez transcurrido el citado plazo, no se ha tenido constancia de que el Centro Hospitalario lo
haya cumplimentado por lo que, se requiere que atienda al citado Informe de cumplimiento de la
LOPD en Hospitales, se encuentra disponible en formato electrónico en http://esam-tec.com/ENQUEST-
Viewer/portalUsuario_agpd_hospitales. Se recuerda que para acceder deberá
identificarse con el nombre de usuario: B.B.B. y a continuación introducir la clave: A.A.A..
Como continuación de la iniciativa señalada anteriormente, en el ejercicio de las competencias
que el artículo 37.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
carácter personal (LOPD) confiere a esta Agencia, se reitera el requerimiento para que se
proceda a la cumplimentación del Informe de cumplimiento de la LOPD en Hospitales antes del
31 de julio de 2010.
De no hacerse así, se procederá a dar traslado de este hecho al órgano encargado de la función
inspectora y sancionadora, dado que podría incurrirse en una infracción conforme al artículo
44.2.b) de la LOPD, siendo de aplicación, en su caso, el régimen sancionador previsto en los
artículos 45 y 46.
Para cualquier consulta al respecto, no duden en ponerse en contacto con esta Agencia, en
concreto con la Subdirección General del Registro General de Protección de Datos, a través de
la dirección de correo rgpd@agpd.es.
TERCERO: Con fecha 25 de noviembre de 2010, el Director de la Agencia Española de
3/8
Protección de Datos acordó iniciar procedimiento de declaración de infracción de
Administraciones Públicas al Hospital Xeral de Lugo por la presunta infracción del
artículo 37.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el apartado b) del
artículo 44.2 de dicha norma.
CUARTO: Notificado el citado acuerdo de inicio de procedimiento de declaración de
infracción de Administraciones Públicas, el Servicio Gallego de Salud – Hospital
Locus Augusti de Lugo presentó escrito de alegaciones en el que manifestaba que el
requerimiento fue remitido dentro del correspondiente al del Complejo Hospitalario
Xeral-Calde.
QUINTO: Con fecha 21 de enero de 2011, se acordó por el Instructor del procedimiento
la apertura de un período de práctica de pruebas, acordándose practicar las siguientes:
1. Se dan por reproducidos a efectos probatorios los documentos remitidos a ese
centro hospitalario por el REGISTRO GENERAL DE PROTECCION DE DATOS
de esta Agencia y los documentos obtenidos ante Hospital Xeral de Lugo.
2. Asimismo, se da por reproducido a efectos probatorios, las alegaciones al
acuerdo de inicio AP/00090/2010 presentadas por Hospital Xeral de Lugo.
3. Se requiere a ese centro hospitalario Hospital Xeral de Lugo, para que, en el
plazo de diez días desde la recepción de este escrito, aporte cuantos
documentos crea convenientes para acreditar que los requerimientos recibidos
de la Agencia –trascritos en el acuerdo de inicio- han sido cumplimentados, o, en
caso contrario, acreditar que existían causas o motivos que hacían innecesaria
su cumplimentación.
4. Se le requiere para que, en ese mismo plazo, devuelva cumplimentado
debidamente el “Informe de cumplimiento de la LOPD en Centros Hospitalarios”
que se le remite.
Con su respuesta el Hospital Lucus Augusti remite cumplimentado el “Informe de
cumplimiento de la LOPD en Centros Hospitalarios”, sin hacer constar los datos para
saber a que hospital se refiere.
SEXTO: Con fecha 06/04/11, el Instructor del procedimiento emitió Propuesta de
Resolución, consistente en “PRIMERO: Proponer que por el Director de la Agencia
Española de Protección de Datos se declare que el Servicio Gallego de Salud – Hospital
Xeral de Lugo ha infringido lo dispuesto en el artículo 37.1.a) de la LOPD, tipificada
como leve en el artículo 44.2.b) de dicha norma.
SEGUNDO: Requerir al Servicio Gallego de Salud – Hospital Xeral de Lugo, para que
adopte las medidas de orden interno que impidan que en el futuro pueda producirse una
nueva infracción del artículo 37.1.a) de la Ley Orgánica 15/1999. En concreto se
requiere que se habilite un procedimiento para que se proporcione la información que
solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias
que tiene legalmente atribuidas.”
c. Jorge Juan 6 28001 Madrid www.agpd.es
De acuerdo con lo establecido en el artículo 19.1 del Real Decreto 1398/1993 de 4 de
agosto, Reglamento del procedimiento para el ejercicio de la potestad sancionadora, en
dicha propuesta de resolución se concedió un plazo de QUINCE DÍAS hábiles para que
las partes interesadas en el procedimiento pudieran alegar cuanto considerasen para su
defensa y presentasen los documentos e informaciones que estimasen pertinentes, así
como se detallaba, en un anexo adjunto a esa propuesta de resolución, la relación de
documentos obrantes en el procedimiento, a fin de que las partes interesadas en el
procedimiento pudieran obtener copia de los que estimasen convenientes.
Notificada la propuesta el 08/04/11 ha transcurrido el plazo sin que se formularan
alegaciones.
De las actuaciones practicadas en el procedimiento de Infracción de Administraciones
Públicas han quedado acreditados los
HECHOS PROBADOS:
1.- Con fecha 26 de marzo de 2010, el Director de la Agencia Española de
Protección de Datos envió al Hospital Xeral de Lugo el requerimiento relativo al Informe
de cumplimiento de la LOPD en Hospitales, que se remitió a cada uno de los centros públicos y
privados que componen el Catálogo Nacional de Hospitales y se requería para que se
cumplimentase antes del 31 de mayo de 2010.
2.- En fecha 18 de junio de 2010, el Director de la Agencia Española de Protección
de Datos remitió un segundo requerimiento a ese Centro, al no haberse recibido
contestación al primero, para que se procediera a la cumplimentación del Informe de
cumplimiento de la LOPD en Hospitales antes del 31 de julio de 2010.
3.- En este segundo requerimiento se advertía: “de no hacerse así, se procederá a dar
traslado de este hecho al órgano encargado de la función inspectora y sancionadora, dado que
podría incurrirse en una infracción conforme al artículo 44.2.b) de la LOPD, siendo de aplicación,
en su caso, el régimen sancionador previsto en los artículos 45 y 46”.
4.- Con fecha 25 de noviembre de 2010, el Director de la Agencia Española de
Protección de Datos acordó iniciar procedimiento de declaración de infracción de
Administraciones Públicas al Hospital Xeral de Lugo por la presunta infracción del
artículo 37.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el apartado b) del
artículo 44.2 de dicha norma.
5.- El Servicio Gallego de Salud – Hospital Locus Augusti de Lugo ha
manifestado en las alegaciones al acuerdo de inicio de este procedimiento, que la
información requerida por la Agencia fue remitida dentro del formulario correspondiente
al del Complejo Hospitalario Xeral-Calde.
6.- El Servicio Gallego de Salud – Hospital Locus Augusti de Lugo remitió en la
respuesta a la fase de pruebas, el cuestionario “Informe de cumplimiento de la LOPD en
Centros Hospitalarios” requerido por la AGENCIA ESPAÑOLA DE PROTECCION DE
DATOS.
5/8
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de
Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación
con el artículo 36 de la LOPD.
II
El artículo 37.1.a) de la LOPD, que señala que “Son funciones de la Agencia Española
de Protección de Datos: a) Velar por el cumplimiento de la legislación sobre protección
de datos y controlar su aplicación, en especial en lo relativo a los derechos de
información, acceso, rectificación, oposición y cancelación de datos”.
En el presente procedimiento de Declaración de Infracción de Administraciones
Públicas, ha quedado acreditado que el Servicio Gallego de Salud – Hospital Xeral de
Lugo, recibió dos requerimientos del Director de esta Agencia relativos al Informe de
cumplimiento de la LOPD en Hospitales con sendos plazos para su remisión una vez
cumplimentado. En el segundo requerimiento se advertía de que se daría traslado al
órgano encargado de la función inspectora y sancionadora, dado que podría incurrirse en una
infracción conforme al artículo 44.2.b) de la LOPD, siendo de aplicación, en su caso, el régimen
sancionador previsto en los artículos 45 y 46, en caso de no atender a la cumplimentación del
Informe en el plazo requerido.
Notificado el acuerdo de inicio de procedimiento de Infracción de Administraciones Públicas el
Servicio Gallego de Salud – Hospital Locus Augusti de Lugo ha manifestado que la
información requerida por la Agencia fue enviada integrada dentro del formulario del
Complejo Hospitalario Hospital Xeral-Calde, en el que estan integrados diversos
centros hospitalarios.
En la información remitida no se da ningún tipo de información sobre esa integración de
centros, ni tampoco se da ninguna información al hecho de que las comunicaciones a
esta agencia en el presente procedimiento sean suscritas y enviads por la dirección del
Servicio Gallego de Salud – Hospital Locus Augusti de Lugo.
Junto a su respuesta a la fase de pruebas remitió el Informe solicitado -una vez
cumplimentado parcialmente-, que se ha enviado al Registro General de Protección de
Datos, para su conocimiento.
III
El artículo 44.2.b) de la LOPD considera que es infracción leve “No proporcionar la
información que solicite la Agencia Española de Protección de Datos en el ejercicio de
las competencias que tiene legalmente atribuidas, en relación con aspectos no
sustantivos de la protección de datos”.
En el presente caso no se atendieron dos requerimientos enviados por el Director de
esta Agencia Española de Protección de Datos al Hospital Xeral de Lugo.. Una vez
notificado el acuerdo de inicio de este procedimiento de Declaración de Infracción de
c. Jorge Juan 6 28001 Madrid www.agpd.es
Administraciones Públicas por la entidad imputada se ha reconocido un error en la
tramitación porque la información correspondiente al Hospital Xeral de Lugo. se incluyó
en el informe remitido por el Complejo Hospitalario Hospital Xeral-Calde donde se
cumplimentaron los datos de todos los centros que integran el Complejo.
En el Catálogo Nacional de Hospitales figura el Hospital Xeral de Lugo como un centro
independiente y el Servicio Gallego de Salud debería haber expuesto los extremos
ahora manifestados, ante la apertura del presente procedimiento de Declaración de
Infracción de Administraciones Públicas, en su día, ante los requerimientos del Director
de esta Agencia.
El hecho constatado de la falta de atención a los requerimientos del Director de esta
Agencia Española de Protección de Datos al Hospital Xeral de Lugo., establece la
base de facto para fundamentar la imputación de la infracción del artículo 37.1.a) de la
LOPD.
IV
El artículo 46 de la LOPD establece:
“Infracciones de las Administraciones Públicas.
1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros
de los que sean responsables las Administraciones Públicas, el Director de la Agencia
de Protección de Datos dictará una resolución estableciendo las medidas que procede
adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se
notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los
afectados si los hubiera.
2. El Director de la Agencia podrá proponer también la iniciación de actuaciones
disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las
establecidas en la legislación sobre régimen disciplinario de las Administraciones
Públicas.
3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las
medidas y actuaciones a que se refieren los apartados anteriores.
4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que
efectúe y las resoluciones que dicte al amparo de los apartados anteriores.”
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR que Servicio Gallego de Salud – Hospital Xeral de Lugo ha
infringido lo dispuesto en el artículo 37.1.a) de la LOPD, tipificada como leve en el
artículo 44.2.b) de dicha norma.
SEGUNDO: Requerir al Servicio Gallego de Salud – Hospital Xeral de Lugo, para que
adopte las medidas de orden interno que impidan que en el futuro pueda producirse una
7/8
nueva infracción del artículo 37.1.a) de la Ley Orgánica 15/1999. En concreto se
requiere que se habilite un procedimiento para que se proporcione la información que
solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias
que tiene legalmente atribuidas.
TERCERO: Notificar la Resolución al Servicio Gallego de Salud – Hospital Xeral de
Lugo.
CUARTO: Comunicar la Resolución al Defensor del Pueblo de conformidad con lo
establecido en el artículo 46.4 de la Ley Orgánica 15/1999.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la
redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas
fiscales, administrativas y del orden social, la presente Resolución se hará pública, una
vez haya sido notificada a los interesados. La publicación se realizará conforme a lo
previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de
Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto
en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el
reglamento de desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y
de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común, se podrá interponer potestativamente recurso de reposición ante
el Director de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia
Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición
adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción
Contencioso-administrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar
desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1
del referido texto legal.
Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo
44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo
ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo
dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la
LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este
acto, según lo previsto en el artículo 46.1 del referido texto legal.
Madrid, 17 de mayo de 2011
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
c. Jorge Juan 6 28001 Madrid www.agpd