PROTECCIÓN DE DATOS PERSONALES Y EL REFERENDUM CATALÁN
Se está especulando en estos días sobre el uso de listados de datos personales de ciudadanos para elaborar el censo electoral en el referéndum auspiciado por la Generalidad de Cataluña, en abierta desobediencia del Tribunal Constitucional, que ha suspendido las normas que lo sustentaban emitidas por el Parlamento de Cataluña.
Desde el punto de vista de las normativas de privacidad y protección de datos personales, actualmente la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter personal, y de su Reglamento de Desarrollo, el Real Decreto 1720/2007 de 21 de diciembre, es necesario separar dos ámbitos de aplicación: el institucional o de la Administración Pública catalana, o sea, de la Generalidad, y el ámbito privado, en el que se podrían encuadrar a los entes y personas que apoyan, organizan, animan, facilitan, colaboran, hacen campaña.
En el ámbito de las AAPP, los datos de los ciudadanos no pueden utilizarse con finalidades incompatibles para las que fueran recabadas, es decir, los datos para generar censos electorales se podrían generan con los datos del Padrón, pero solamente para aquellas elecciones legalmente convocadas y que cumplieran todos los requisitos y garantías para celebrarse: ley electoral, convocatoria, Junta Electoral, censo electoral, confección de mesas, garantías en los recuentos, mecanismos de impugnación, etc…
Cualquier otra utilización del Padrón sería ilegal e ilegítima, susceptible de ser considerada delito. En el caso de la presente convocatoria se aúnan varias circunstancias que hacen ilegal la convocatoria del referéndum: la suspensión por el Tribunal Constitucional, la disolución de la Junta Electoral, y, como consecuencia, la ilegalidad de todas las actuaciones tendentes a hacer efectivo el referéndum: confección de censo electoral, su cesión a entidades privadas propulsoras, convocatorias a los miembros de las mesas, utilización de los listados para anotar a los votantes, etc…
¿Qué se puede hacer desde la perspectiva de la normativa de Protección de Datos?
En relación con las AAPP catalanas el órgano competente para todas ellas es la Autoridad Catalana de Protección de Datos, que, hasta la fecha, que se sepa, NO HA HECHO NADA para intervenir en esta situación de ilegalidad manifiesta, lo que, al parecer, desdibuja su papel como Órgano independiente cuya misión es proteger el derecho fundamental de los ciudadanos a su privacidad y a la protección de sus datos personales.
Cabe destacar que, entre otras posibles actuaciones, la Autoridad Catalana de Protección de Datos podría haber inmovilizado las bases de datos de personas utilizadas de manera ilegal, para al menos dificultar la comisión de los delitos de desobediencia y de conculcación flagrante de la normativa de protección de datos.
¿La Agencia Española de Protección de Datos podría actuar ante las Administraciones Públicas catalanas?
Según el ordenamiento vigente esta competencia corresponde a la Autoridad Catalana de P.D., no obstante, ante la inacción de la misma ¿podría actuar la Agencia Española de P.D. como Órgano estatal de protección de los derechos de los todos los ciudadanos, en este caso catalanes?
Quizás podría hacerlo subsidiariamente, pero estamos seguros que desencadenaría un conflicto de competencias de difícil resolución, al menos en el escaso tiempo disponible para actuar antes de que se consume el delito.
¿Qué está haciendo la Agencia Española de Protección de Datos en relación con este grave asunto?
Acertadamente en nuestra opinión, la AEPD está haciendo lo que es posible desde el Ámbito de sus competencias: La AEPD es competente en TODO el territorio del Estado para proteger los derechos de los ciudadanos por las infracciones que cometan personas y entes privados.
La Agencia Española de Protección de Datos ha recibido varias denuncias de particulares por la ilegítima utilización de sus datos en todo el tinglado montado en torno al suspendido referéndum, utilización ilegítima tanto por las AAPP catalanas como por entes y personas privadas, por lo que el 29-septiembre-2017 ha emitido una nota de prensa:
La AEPD previene sobre la posible infracción de la normativa en la que podrían incurrir los ciudadanos designados para las denominadas mesas electorales del 1 de octubre
Cuyo resumen sustancial sería este: estando suspendidas las leyes que convocan el referéndum, los componentes de las mesas electorales estarían actuando a título particular y, por tanto, no estarían legitimados para la utilización y tratamiento de listados de votantes, anotación de votos emitidos, envío a centros de recuento, etc…
La AEPD califica las infracciones de esta manera:
El tratamiento y la cesión de datos sin consentimiento suponen una vulneración de los artículos 6 y 11 de la LOPD. En el caso de que se produjeran estas infracciones, los miembros de las mesas podrían ser sancionados, por cada una de ellas, -tipificadas en las letras b) y k) del artículo 44.3 de la LOPD- con multas de 40.001 a 300.000 euros, según el artículo 45.2 de la LOPD.
En nuestra opinión, esta resolución es correcta y acertada en el fondo y en la forma, es una manera de informar a los componentes de las mesas electorales que pueden enfrentarse a un expediente sancionador cuya cuantía es muy significativa.
Para más información se puede consultar el Informe 262/2017 del Gabinete Jurídico de la AEPD:
¿Cómo ha reaccionado la Autoridad Catalana de Protección de Datos ante esta toma de posición de la AEPD?
Curiosamente, habiendo estado totalmente inactiva en todo el proceso previo, en cuanto ha conocido la nota de prensa y el informe del Gabinete Jurídico de la AEPD, la ACPD se ha apresurado a emitir una nota de prensa:
en la que rebate las afirmaciones de la AEPD sobre las responsabilidades de los componentes de las mesas electorales, con el siguiente argumento:
Las personas que forman parte de las mesas electorales no son responsables del tratamiento de los datos personales, ya que tal condición la ostenta la administración electoral correspondiente. Por lo tanto, las eventuales responsabilidades derivadas del tratamiento de datos personales llevado a cabo por las personas que integran las mesas no recaería nunca en estas personas, sino en la administración electoral, si procede.
En nuestra opinión, este argumento es inválido de origen dado que, estando suspendido el referéndum por el TC, no pueden constituirse de manera válida las mesas electorales y, por tanto, todas las actuaciones se efectuarían a título personal, consecuentemente, la AEPD sería la competente para determinar y perseguir las infracciones de la normativa de protección de datos, pudiendo aplicar las sanciones previstas en la LOPD.
En nuestra opinión, resulta lamentable que la Autoridad Catalana de Protección de Datos se haya puesto de manera tan irreflexiva de parte de la Generalidad, relevando de responsabilidad a los particulares que, infringiendo la ley, este obedeciendo las indicaciones del gobierno catalán. Deslegitima y quita autoridad y rebate la exigible independencia a la ACPD con estas posiciones partidistas en detrimento de los derechos de los ciudadanos en general y de los catalanes en particular.
Para finalizar estas reflexiones, indicar que: las actuaciones de la Agencia Española de Protección de Datos serían Expedientes Sancionadores con todos los trámites de audiencia, alegaciones, transparencia, y posibilidad de recurso ante instancias superiores, por lo que, en el mejor de los casos, las resoluciones de dichos expedientes estarían completadas y publicadas no antes de varios meses, quizás a primeros de 2018.
Y como comentario final, indicar que en la normativa actual, LOPD, las Administraciones Públicas no están sujetas a sanciones económicas por las infracciones cometidas en la utilización de los datos personales, solamente apertura de expediente administrativo en la propia administración infractora (en los 18 años que está vigente la LOPD no conozco ninguna consecuencia punitiva para nadie), y comunicación al Defensor del Pueblo, por cierto ¿dónde está el Defensor del Pueblo en todo esto?
Siendo que en estos momentos se está tramitando la modificación de la LOPD para adaptarla al Reglamento General de Protección de Datos-RGPD, que entrará en vigor el 25-mayo-2018, sería el momento para que en el Congreso de los Diputados se establezcan sanciones económicas a las administraciones infractoras y, al mismo tiempo, responsabilidad patrimonial personal por los daños y perjuicios causado por los funcionarios-políticos que sean responsables del ente público sancionado, aplicación de sanciones de tipo suspensión de empleo y/o sueldo, y/o inhabilitación temporal de los responsables de las infracciones, sea por negligencia, por inhibición, o sea intencionadamente.
En el Congreso de los Diputados ESTAN A TIEMPO DE HACER RELAMENTE EFECTIVA Y EFICAZ LA APLICACIÓN DE LAS NORMATIVA EN LAS AAPP, y esta situación de infracciones flagrantes en Cataluña lo ejemplariza suficientemente para tomar nota e introducir los cambios pertinentes en el articulado de la nueva LOPD para su entrada en vigor el 25-mayo-2018.
Autor: Vicente Moncholi Cebrián – Mentor Senior con 15 años de experiencia en el asesoramiento a entidades privadas y Administraciones Públicas en la aplicación de las normativas de privacidad-protección de datos.
https://www.linkedin.com/in/vicentemoncholi/
Twitter: @VMoncholi