Resolución
Judicial Que Penaliza Al Opus Dei
1/14
Procedimiento Nº PS/00213/2005
RESOLUCIÓN:
R/00869/2006
En el procedimiento sancionador PS/00213/2005, instruido por
la Agencia Española de Protección de Datos a la entidad PRELATURA DEL OPUS
DEI ESPAÑA, vista la denuncia presentada por Dña. E.P.A., y en base
a los siguientes,
PRIMERO:
Con fecha 23/12/2004, tuvo entrada en
esta Agencia un escrito de Dña. E.P.A. (en lo sucesivo la denunciante), en el
que denuncia a la Prelatura del Opus Dei, Región de España (en lo sucesivo Opus
Dei) por haberle remitido, al domicilio de su madre sito en la calle
(............................) en el que no reside desde hace más de 20 años,
un envío conteniendo un escrito, datado el 02/10/2004, y una publicación del
Opus Dei correspondiente al mes de octubre de 2004. Señala que no tiene ninguna
relación con la citada entidad y que desconoce cómo ha obtenido sus datos personales.
Posteriormente,
mediante escrito de fecha de registro de entrada en esta Agencia de 23/06/2005,
la denunciante puso también de manifiesto que había recibido la misma
publicación del Opus Dei correspondiente al mes de mayo de 2005.
SEGUNDO:
En el marco de las actuaciones previas
de investigación realizadas por la Inspección de Datos, se realizó, con fecha
12/07/2005, una visita de Inspección a la empresa Fonimas, S.L., que gestiona
el fichero del Opus Dei denominado “Vode”, que contiene los datos de los
suscriptores de sus publicaciones.
En el
curso de la citada Inspección, el representante del Opus Dei manifestó que se
recaban los datos de los suscriptores a través de un formulario de inscripción,
que se encuentra a disposición de los interesados en parroquias y centros del
Opus Dei, así como
2/14
por
medio de escritos de suscripción que se remiten por los propios interesados.
La publicación remitida a la denunciante, se edita con
periodicidad mensual y se remite a todos los suscriptores.
En el mes de octubre de 2004, se remitió a los suscriptores
junto con la publicación un escrito en el que se indicaba que “si le parece
bien, se la seguiríamos enviando a no ser que usted no desee recibirla. En este
caso, agradeceremos que nos lo indique para que se proceda a darle de baja en
el fichero de Suscriptores”.
En la misma visita de Inspección, se comprobó que los datos
de la denunciante, con domicilio en la calle (............................), se
encuentran registrados en el fichero “Vode” desde 1989 y que ninguna de
las publicaciones que le fue enviada, ha sido devuelta.
En cuanto al origen de los datos de la denunciante, el representante del Opus Dei manifestó que dada la antigüedad de los datos no se dispone del formulario de inscripción suscrito por aquélla. Añade que semestralmente le han sido remitidas todas las publicaciones y que la denunciante no ha solicitado la cancelación de sus datos.
TERCERO:
Con fecha 26/04/2006, se recibió un
nuevo escrito de la denunciante, en el que denuncia que ha recibido la
publicación del Opus Dei correspondiente al mes de marzo de 2006.
CUARTO:
Con fecha 23/05/2006, el Director de
la Agencia Española de Protección de Datos acordó iniciar procedimiento
sancionador a la Prelatura del Opus Dei, Región de España, con arreglo a lo
dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por
el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que
continua en vigor de conformidad con lo establecido en la disposición
transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD), por la presunta
infracción del artículo 6.1 de la citada Ley Orgánica, tipificada como grave en
el artículo 44.3.d), pudiendo ser sancionada con multa de 60.101,21 € a
300.506,05 €, de acuerdo con el artículo 45.2 de la LOPD.
QUINTO: Notificado el citado acuerdo de inicio del
procedimiento sancionador, Opus Dei formuló alegaciones en las que adujo lo
siguiente:
• El acuerdo
de inicio del presente procedimiento sancionador adolece de falta de
motivación.
3/14
• Todos los
datos personales contenidos en el fichero “ Vode” se han obtenido de los
suscriptores.
• Los datos
de la denunciante únicamente pudieron tener acceso al citado fichero a través
del formulario de inscripción.
• La
denunciante facilitó su consentimiento expreso para el tratamiento de sus datos
personales cuando cumplimentó el citado formulario de inscripción, y su
consentimiento tácito para el mantenimiento de dicho tratamiento al no haber
sido devuelta ninguna de la publicaciones que se le han remitido.
• La
denunciante no ha ejercido el derecho de cancelación, no se ha opuesto al
tratamiento y no ha devuelto ninguna de las publicaciones. La devolución de las
publicaciones puede realizarse marcando la opción “rehusado” en el
casillero que figura en el dorso de los sobres en los que se remiten éstas.
SEXTO: En fecha 30/06/2006,
se acordó por la instructora la apertura de un período de práctica de pruebas,
cuyos resultados obran en el procedimiento.
SÉPTIMO:
Concluido el período probatorio se
inició el trámite de audiencia, de conformidad con lo establecido en el
artículo 18.4 del citado Real Decreto 1332/1994, en el que Opus Dei obtuvo
copia de la documentación obrante en el procedimiento y no formuló alegaciones
al respecto.
OCTAVO:
Con fecha 17/10/2006, se formuló
propuesta de resolución en el sentido de que por el Director de la Agencia
Española de Protección de Datos se sancione a la Prelatura del Opus Dei, Región
de España, con multa de 60.101,21 € (sesenta mil ciento un euros con veintiún
céntimos) por la infracción del artículo 6.1 de la LOPD, tipificada como grave
en el artículo 44.3.d) de dicha norma, dándose traslado para alegaciones, sin
que éstas se hayan formulado en el plazo concedido a tal efecto.
PRIMERO:
Dña. E.P.A. recibió en el domicilio de
su madre, sito en la calle (............................), una publicación de
la Prelatura del Opus Dei, Región de España correspondiente a los meses de
octubre de 2004, mayo de 2005 y marzo de 2006 (folios 2 a 15, 19 a 27 y 64 a
81).
4/14
SEGUNDO:
Los datos de Dña. E.P.A. figuran
inscritos en el fichero “Vode” de la Prelatura del Opus Dei, Región de
España, que contiene los datos de los suscriptores de las publicaciones, desde
1989 (folios 30 a 32 y 40).
TERCERO:
Dña. E.P.A. ha manifestado que no
tiene ninguna relación con la Prelatura del Opus Dei, Región de España y que
desconoce cómo esta entidad ha obtenido sus datos personales (folio 1).
CUARTO:
La Prelatura del Opus Dei, Región de
España, no dispone del formulario de inscripción de Dña. E.P.A. (folios 30 a
32).
Es competente para resolver este procedimiento
el Director de la Agencia Española de Protección de Datos, de conformidad con
lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.
Con carácter
previo procede analizar la alegación vertida en el procedimiento por Opus Dei
acerca de que el acuerdo de inicio del procedimiento sancionador no se
encuentra motivado.
El
procedimiento sancionador previsto en el artículo 48 de la LOPD se encuentra
desarrollado en el artículo 18 del citado Real Decreto 1332/1994 que, como se
indicó anteriormente, continúa en vigor de conformidad con lo establecido en la
disposición transitoria tercera de la LOPD.
El
citado artículo 18 estipula que en sus apartados 1 y 2 lo siguiente:
“1. El procedimiento sancionador(...), se iniciará siempre
de oficio, bien por propia iniciativa o en virtud de denuncia de un afectado o
afectados, por acuerdo del Director de la Agencia Española de Protección de
Datos, en el cual se designará instructor y, en su caso, secretario, con
expresa indicación del régimen de recusación de los mismos.
5/14
En el referido acuerdo se identificará a la persona o
personas presuntamente responsables y se concretarán los hechos imputados, con
expresión de la infracción presuntamente cometida y de la sanción o sanciones
que pudieran imponerse, así como de las medidas provisionales que, en su caso,
se adopten.
2. El acuerdo de incoación del expediente se notificará al
presunto responsable y en el mismo se informará a éste de su derecho a formular
alegaciones y utilizar los medios de defensa procedentes y que la autoridad
competente para imponer, en su caso, la sanción es el Director de la Agencia
Española de Protección de Datos, con cita expresa del presente artículo y del
artículo 36. g), en relación con el artículo 35, ambos de la Ley Orgánica
5/1992.” (artículos 37.g) y 36,
respectivamente, de la LOPD).
El citado precepto no es sino concreción del principio
general en materia sancionadora contenido en el artículo 135 de la Ley 30/1992,
de 26 de noviembre, de régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común (en lo sucesivo LRJPAC). Se trata de un
precepto que pretende garantizar el derecho a la defensa del presunto
responsable, de aquí que se establezca la garantía de notificación de los
hechos imputados, pues sólo cuando se tiene conocimiento de los mismos es
posible el ejercicio del legítimo derecho a la defensa.
En este caso, el procedimiento sancionador se inició por
Acuerdo del Director de la Agencia Española de Protección de Datos, de fecha
23/05/2006. En dicho acuerdo se designó Instructor y Secretario con indicación
de la posibilidad de recusación, conforme a lo establecido en el artículo 29 de
la LRJPAC. Asimismo se identificó a la entidad presuntamente responsable, que
fue informada de los hechos imputados, de su calificación jurídica, de la
posible sanción que pudiera imponerse, de la autoridad competente para
imponerla, en su caso, y de su derecho a formular alegaciones y proponer
prueba. Por ello ha de entenderse que el acuerdo de inicio del presente
procedimiento cumple las exigencias del artículo 18 del citado Real Decreto
1332/1994, sin que se observe ningún defecto en el mismo.
Frente al citado acuerdo, Opus Dei ha formulado
alegaciones, sin que se le haya generado indefensión alguna en esta materia. En
conclusión, el acuerdo de inicio del procedimiento sancionador cumple con los
requisitos exigidos por la normativa expuesta y cumple con la finalidad que
persigue el artículo 18 del mencionado Real Decreto 1332/1994, de que el
presunto responsable sea informado de la imputación que se le hace.
6/14
Se imputa a Opus Dei en el presente procedimiento
sancionador una infracción del artículo 6.1 de la LOPD que dispone que “El
tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa”.
El apartado 2 del mismo
artículo añade que “no será preciso el consentimiento cuando los datos de carácter
personal se recojan para el ejercicio de las funciones propias de las
Administraciones Públicas en el ámbito de sus competencias; cuando se refieran
a las partes de un contrato o precontrato de una relación negocial, laboral o
administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando
el tratamiento de los datos tenga por finalidad proteger un interés vital del
interesado en los términos del artículo 7, apartado 6, de la presente Ley, o
cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos,
siempre que no se vulneren los derechos y libertades fundamentales del interesado”.
El tratamiento de datos de carácter personal tiene que contar con
el consentimiento del afectado o, en su defecto, debe acreditarse que los datos
provienen de fuentes accesibles al público, que existe una Ley que ampara ese
tratamiento o una relación contractual o negocial entre el titular de los datos
y el responsable del tratamiento que sea necesaria para el mantenimiento del
contrato.
El tratamiento de datos sin consentimiento de los afectados
constituye un límite al derecho fundamental a la protección de datos. Este
derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de
30 de noviembre (F.J. 7 primer párrafo) “... consiste en un poder de
disposición y de control sobre los datos personales que faculta a la persona
para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un
particular, o cuáles puede este tercero recabar, y que también permite al
individuo saber quién posee esos datos personales y para qué, pudiendo oponerse
a esa posesión o uso. Estos poderes de disposición y control sobre los datos
personales, que constituyen parte del contenido del derecho fundamental a la
protección de datos se concretan jurídicamente en la facultad de consentir la recogida,
la obtención y el acceso a los datos personales, su posterior almacenamiento y
tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o
un particular (...)”.
Son
pues elementos característicos del derecho fundamental a la protección de datos
personales los derechos del afectado a consentir sobre la recogida y uso de sus
datos personales y a saber de los mismos.
7/14
En el presente caso, ha quedado acreditado que Opus Dei trató los
datos de la denunciante para remitirle las publicaciones correspondientes a los
meses de octubre de 2004, mayo de 2005 y marzo de 2006.
Opus Dei no ha acreditado en el procedimiento que cuente
con el consentimiento de la denunciante para el tratamiento de sus datos, ni
que cuente con habilitación legal para ello. Este tratamiento de datos vulnera
el principio de consentimiento, recogido en el artículo 6 de la LOPD, por
cuanto dicho tratamiento ni se realizó con el consentimiento de la denunciante
ni concurre en el supuesto examinado ninguna de las circunstancias previstas en
el artículo 6.2 de la LOPD que permitirían a Opus Dei tratar los datos de la
denunciantes sin su consentimiento.
Manifiesta Opus Dei en su defensa, en primer lugar, que
cuenta con el consentimiento expreso de la denunciante para el tratamiento de
sus datos de carácter personal, al haber facilitado sus datos a través del
formulario de inscripción, y, en segundo lugar, que existe consentimiento
tácito al no haber sido devuelta ninguna de las publicaciones que se le han
enviado ni haberse opuesto la denunciante al tratamiento.
En lo referente a la primera de las cuestiones planteadas,
relativa a la obtención del consentimiento expreso de la denunciante por parte
de Opus Dei, cabe señalar que es criterio mantenido por la Audiencia Nacional
que el que trata los datos debe acreditar que el tratamiento se realiza de
acuerdo con los dictados de la LOPD. Entre otras cabe destacar la Sentencia de
la Audiencia Nacional, de fecha 11/05/2001, en la que sostiene que “el
argumento de la prestación del consentimiento debe, por lo tanto rechazarse, al
no constar acreditado el mismo. Repárese, por lo demás, que quien gestiona
la base de datos, debe estar en condiciones de acreditar el consentimiento del
afectado, siendo carga de la prueba del mismo su justificación, y la
entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente
a la acreditación del consentimiento de las personas en las que se basa la
sanción” (el Subrayado es de la Agencia Española de Protección de datos).
En este caso,
Opus Dei no ha acreditado el consentimiento de la denunciante, ya que la
descripción del procedimiento, utilizado por Opus Dei para obtener los datos de
los suscriptores de sus publicaciones, no resulta suficiente para acreditar el
consentimiento inequívoco prestado por la denunciante.
La Sentencia de la Audiencia Nacional de 11/02/2004 se
refiere a un supuesto en el que la empresa imputada efectúa un planteamiento
similar al de Opus Dei y señala que “...
8/14
si bien alega que obtuvo los datos de los denunciantes a
través de la cumplimentación de impresos postales que envía sin dirección (lo
que constituye una práctica muy habitual de tal empresa), sin embargo no aporta
impreso alguno conteniendo dichos datos de los mismos, por lo que no existe
prueba que pueda desvirtuar la manifestación de los Sres. ..., que en todo
momento niegan haber facilitado los datos a dicha entidad, sin que dicha
explicación de cuál era el sistema general utilizado por tal actora para
obtener datos personales, sea suficiente para acreditar la existencia del
consentimiento de los denunciantes (máxime cuando dicho consentimiento ha de
ser inequívoco).
En definitiva, la reiterada negativa de tales denunciantes,
en el sentido de no haber cumplimentado ninguna tarjeta o cupón de la empresa
actora, traslada a tal recurrente la carga de la prueba.
Como tal carga de prueba no ha sido cumplida por dicha
entidad, de ello esta Sala concluye que la referida conducta de la recurrente,
relatada en la declaración de hechos probados de la resolución combatida que
figura en el fundamento jurídico primero que antecede, supone un claro
quebranto de lo dispuesto en el artículo 6.1 de la Ley Orgánica 15/1999 según
el cual el tratamiento automatizado de los datos de carácter personal requiere
–salvo excepciones que no son de aplicación en este caso- el consentimiento
inequívoco del afectado” (el subrayado es
de la Agencia Española de Protección de Datos).
En este mismo sentido se pronuncia la Audiencia Nacional,
en Sentencia de 25/05/2006, en la que afirma que <<la entidad actora,
si bien alega que obtuvo los datos del denunciante a través de la
cumplimentación de una fichas utilizadas en su día por la antecesora de la Sala
de fiestas de la que recibió la publicidad, sin embargo no aporta impreso
alguno conteniendo dichos datos del denunciante, y reconoce expresamente en
la demanda que dicho extremo no se puede probar por no disponer “físicamente”
de la ficha correspondiente al afectado. No existe, por tanto, prueba
desvirtuadora de la manifestación del Sr. (...), que en todo momento niega
haber facilitado los datos a dicha recurrente, sin que la mera exposición
del sistema general utilizado por tal entidad actora para obtener datos
personales (cumplimentación de fichas utilizadas en su día por ...) sea
suficiente para acreditar la existencia del consentimiento del denunciante,
máxime cuando dicho consentimiento ha de ser inequívoco>> (el
subrayado es de la Agencia Española de Protección de Datos).
En lo referente a la segunda cuestión, relativa a la
existencia de consentimiento tácito, debe señalarse que el artículo 3.h) de la
LOPD define el consentimiento del interesado como “toda manifestación de
voluntad, libre, inequívoca, específica e
9/14
informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.”
La Audiencia Nacional en Sentencia de 7/07/2000, señaló que
“este tema del consentimiento tácito ha de ser tratado con una gran
delicadeza cuando están en juego derechos constitucionales básicos del art.
18.4 C.E.) y a ello tiende toda la regulación legal contenida en el articulado
de la L.O. 5/92 y su explicación y filosofía recogida en la Exposición de
Motivos. En la vida de relación es muy posible reconocer formas de tácita
aceptación, pero siempre en aspectos no trascendentales o cuando se está
operando sobre situaciones consolidadas y que están en la común consideración a
modo de valores entendidos. No es el caso cuando lo que está en juego es la privacidad
de las personas de ahí todas las cautelas normativas tendentes a proteger esa
privacidad, sin que quepan interpretaciones de laxitud del art. 11.1 de la Ley
a menos que el titular de la intimidad se haya situado voluntariamente en
situación de abandono de la defensa de ese derecho, en cuyo caso sí podría
hablarse de una forma de consentimiento tácito”.
En términos similares se pronuncia la Sentencia del
Tribunal Superior de Justicia de Madrid, de 23/04/2003, cuando señala que “Pese
a que la prestación del consentimiento consciente e informado no parece
mostrarse en el tráfico ordinario sino, por lo común, en su forma expresa, la
hipotética admisión del consentimiento tácito, que es lo que propugna la
recurrente, requeriría en todo caso su manifestación a través de actos
concluyentes”.
Ahora bien, aún admitiendo la prestación de un
consentimiento tácito, éste debe, en todo caso, cumplir los requisitos de la
definición recogida en el artículo 3.h) de la LOPD –“manifestación de
voluntad, libre, inequívoca, específica e informada”- para que el
consentimiento pueda considerarse prestado válidamente.
La LOPD concreta el elemento informativo
para la prestación del consentimiento en la regla general del artículo 5.1
conforme al cual “Los interesados a los que se soliciten datos personales
deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o
tratamiento de datos de carácter personal, de la finalidad de la recogida de
éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a
las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de
los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso,
rectificación, cancelación
10/14
y
oposición.
e) De la identidad y dirección del
responsable del tratamiento o, en su caso, de su representante”.
La letra a) del artículo transcrito menciona
específicamente que debe informarse de la finalidad de la recogida de los
datos, la cual, según el artículo 4.1 de la misma norma debe ser “determinada,
explícita y legítima”.
En resumen, debe acreditarse que es una
manifestación de voluntad libre, inequívoca y específica que se presta previo
el conocimiento de una concreta información, entre la que necesariamente ha de
constar la finalidad determinada y explícita del tratamiento de que sean objeto
los datos personales del afectado. Lógicamente, la concurrencia de los extremos
expuestos deberá constatarse en cada caso concreto.
Por lo que aquí interesa, Opus Dei basa la existencia de un
consentimiento tácito de la denunciante, en la falta de oposición de la misma
al tratamiento de sus datos personales.
La Audiencia Nacional en Sentencia de 01/02/2006, señaló,
en cuanto a la prueba de la existencia de un consentimiento inequívoco, lo
siguiente:
“Es necesario tomar en consideración que lo que la Ley
Orgánica 15/99 exige es que el consentimiento para el tratamiento de datos sea
prestado de modo inequívoco,
adjetivo que debe predicarse tanto de la forma de prestarse (que se preste de forma inequívoca y que no existan dudas
sobre que el titular de los datos ha consentido en el tratamiento de los mismos)
como de la acreditación de que se ha prestado (que no existan dudas de que el
interesado ha consentido en la prestación de su consentimiento).
A la hora de valorar si dicho consentimiento ha sido prestado
de modo inequívoco resulta que no consta aportada la prueba documental de que
XXX dio su consentimiento y ello pues la parte recurrente no ha podido aportar
la parte baja de la hoja de pedido en la que debían constar los datos bancarios
y la autorización de la cliente. Sin embargo, a juicio de esta Sala, esta falta
no impide llegar al convencimiento de que la denunciante prestó su
consentimiento para el tratamiento de sus datos bancarios y que debió ser ella
la que proporcionó a la empresa ahora recurrente dichos datos para facilitar el
cobro de los recibos que se debían girar por la venta de libros. Esta
conclusión se apoya en los siguientes elementos de prueba:
- En la Hoja de pedido constan datos que hacen referencia a
la voluntad de pagar mediante domiciliación bancaria: se hace referencia a 40
recibos de 5.000 pesetas, que se
11/14
pagaría por banco y que se pasaría el primer recibo en el
mes de Noviembre.
- El que se incluya el nombre y teléfono del comercial en
la hoja de pedido se puede interpretar como que se acordó que la cliente lo
llamaría mas tarde para facilitar los datos bancarios.
- No se olvide que la compra se realizó en el Colegio en el
que trabajaba la denunciante y que es muy razonable entender que esta no
llevará consigo la documentación precisa para conocer el numero de su cuenta
corriente.
- El hecho de que la parte baja de la hoja de pedido no
esté junto al resto de la hoja hace pensar que se separó en el momento de
suscribir dicha hoja con el fin de que la guardara el comercial de la editorial
para terminar de rellenar los datos que faltaban.
- El mecanismo de la compra en el colegio y la firma
inicial pero dejando a falta el rellenar la parte de la hoja de pedido de la
domiciliación bancaria resulta coherente con la forma habitual de
funcionamiento de esta clase de empresas.
La parte recurrente insiste en que los datos bancarios
debieron ser suministrados, forzosamente, por la propia denunciante pero la
realidad es que tal cosa no puede entenderse probada con absoluta certeza y
resulta necesario efectuar una valoración del conjunto de la prueba aportada.
De dicha valoración conjunta y atendiendo a los indicios obrantes en el
expediente cabe entender acreditado que se prestó el consentimiento y que este
fue prestado de modo inequívoco.“
Aplicando la citada doctrina al presente caso, cabría
entender que existe un consentimiento tácito prestado por la denunciante de
forma inequívoca, pues desde el año 1989 ha estado recibiendo las publicaciones
de Opus Dei en el domicilio de su madre sin que se haya opuesto al tratamiento
de sus datos personales. Sin embargo, aún admitiendo, en este caso, a la vista
de las circunstancias concurrentes, la existencia de consentimiento, Opus Dei
continuó tratando sus datos personales después da haber tenido conocimiento, en
la visita de inspección realizada, con fecha 12/07/2005, de su oposición al
tratamiento, remitiéndole la publicación correspondiente al mes de marzo de
2006, por lo que se ha producido una infracción del artículo 6 de la LOPD.
12/14
El artículo 44.3.d) de la LOPD tipifica como infracción
grave: “Tratar los datos de carácter personal o usarlos posteriormente con
conculcación de los principios y garantías establecidos en la presente Ley o
con incumplimiento de los preceptos de protección que impongan las
disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy
grave”.
La Audiencia
Nacional ha manifestado en su Sentencia de 22/10/2003 que “la descripción de
conductas que establece el artículo 44.3d) de la Ley Orgánica 15/1999 cumple
las exigencias derivadas del principio de tipicidad, a juicio de esta Sala,
toda vez que del expresado precepto se desprende con claridad cual es la
conducta prohibida. En efecto, el tipo aplicable considera infracción grave
<<tratar de forma automatizada los datos de carácter personal o usarlos
posteriormente con conculcación de los principios y garantías establecidos en
la Ley>>, por tanto, se está describiendo una conducta –el tratamiento
automatizado de datos personales o su uso posterior- que precisa, para
configurar el tipo, que dicha conducta haya vulnerado los principios que
establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que
deben inferirse de dicha regulación legal, sino que aparecen claramente
determinados y relacionados en el título II de la Ley, concretamente, por lo
que ahora interesa, en el artículo 6 se recoge un principio que resulta
elemental en la materia, que es la necesidad de consentimiento del afectado
para que puedan tratarse automatizadamente datos de carácter personal. Por
tanto, la conducta ilícita por la que se sanciona a la parte recurrente como
responsable del tratamiento consiste en usar datos sin consentimiento de los
titulares de los mismos, realizando envíos publicitarios.”
Opus Dei es responsable de la infracción descrita, toda vez
que vulneró el principio de consentimiento, consagrado en el artículo 6 de la
LOPD, cuando trató los datos de la denunciante sin contar con su consentimiento
y sin que concurriera ninguna de las causas de exclusión del consentimiento
recogidas en el apartado 2 del mencionado artículo 6, lo que encuentra su
tipificación en el citado artículo 44.3.d) de la citada Ley Orgánica
El
artículo 45 de la LOPD señala en sus apartados 2 y 4:
“2. las infracciones graves serán sancionadas con multa de
60.101,21 € a 300.506,05 €”.
“4. La cuantía de las sanciones se graduará atendiendo a la
naturaleza de los derechos personales afectados, al volumen de los tratamientos
efectuados, a los beneficios
13/14
obtenidos, al grado de intencionalidad, a la reincidencia,
a los daños y perjuicios causados a las personas interesadas y a terceras
personas, y a cualquier otra circunstancia que sea relevante para determinar el
grado de antijuridicidad y de culpabilidad presentes en la concreta actuación
infractora”.
En el supuesto examinado, en relación a los criterios de
graduación de las sanciones recogidos en el artículo 45.4 de la LOPD y, en
especial, en relación a la falta de intencionalidad acreditada en el presente
procedimiento, procede imponer la sanción en su cuantía mínima.
Vistos los preceptos citados y demás de general aplicación,
El
Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO:
IMPONER a la PRELATURA DEL OPUS DEI, REGIÓN DE ESPAÑA, por una infracción
del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de
dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún
céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la
citada Ley Orgánica.
SEGUNDO:
NOTIFICAR la presente resolución a la PRELATURA DEL OPUS DEI,
REGIÓN DE ESPAÑA, (C/..................................................), y
a Dña. E.P.A., (C/..................................................).
TERCERO:
Advertir al sancionado que la sanción
impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el
artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto
939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17
de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00
0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el
Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su
recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y
15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la
notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo
del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el
apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82
de la Ley 62/2003, de 30 de diciembre, de medidas
14/14
fiscales, administrativas y del orden
social, la presente Resolución se hará pública, una vez haya sido notificada a
los interesados. La publicación se realizará conforme a lo previsto en la
Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de
Datos sobre publicación de sus Resoluciones.
Contra esta resolución, que pone fin a la
vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo
establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de
Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común, los interesados podrán interponer, potestativamente,
recurso de reposición ante el Director de la Agencia Española de Protección de
Datos en el plazo de un mes a contar desde el día siguiente a la notificación
de esta resolución, o, directamente recurso contencioso administrativo ante la
Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a
lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional
cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción
Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente
a la notificación de este acto, según lo previsto en el artículo 46.1 del
referido texto legal.
Madrid, 20 de noviembre de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Suscripción Al Boletín Mensual
«ExOpus: Los Otros Del Opus Dei»