ASPECTOS SOBRE LA LEGITIMACIÓN ACTIVA Y PASIVA DE LAS PERSONAS JURÍDICAS EN MATERIA DE PROTECCIÓN DE DATOS (Por Rebeca Sánchez, Abogado Colaboradora de Iuris Corporate S.A.)
Desde hace tiempo, son muchas las empresas que acuden a nuestro despacho planteándonos la problemática que se desencadena cuando, tras el despido de un trabajador o su salida de la empresa, el ex trabajador en cuestión utiliza indebidamente los datos de carácter personal de trabajadores y clientes a los que tuvo acceso con ocasión de su cargo.
En este sentido, nos ha resultado
especialmente curioso el caso de una conocida “Asociación de Enfermedades Raras
Sin Ánimo Lucro” (en adelante, “La
Asociación”) cuyo Presidente nos relataba los siguientes hechos:
"-Hace unos meses, tras múltiples disputas y desavenencias con uno
de los dirigentes de La Asociación, los asociados tomaron la difícil decisión de
cesarle.
Acto seguido, se tomaron todas las precauciones necesarias para proteger
los datos de carácter personal de sus asociados: bloqueo informático a las
bases de datos, requerimiento de devolución de todos los dispositivos y
soportes físicos que almacenaban datos de carácter personal de los asociados,
etc.
A pesar de la agilidad de nuestra actuación –continuaba el
Presidente- pasados unos días varios asociados recibieron mensajes en sus
teléfonos en los que se les invitaba a abandonar La Asociación y a constituir una nueva asociación con idéntico
objeto."
Lo cierto es que el Presidente contaba
con abundantes indicios que demostraban que el autor de esos mensajes era el ex
dirigente cesado (en adelante, “El Ex
Dirigente”).
Con todo este material, lo primero que
verificamos desde el departamento legal de IURIS
CORPORATE es que La Asociación
efectivamente cumplía con la Ley Orgánica de Protección de Datos de Carácter
Personal y el Reglamento que la desarrolla. Después de un minucioso análisis de
todos los aspectos que actualmente se exigen por parte de la Agencia Española
de Protección de Datos (en adelante, “La
AEPD”) en esta materia (documento de seguridad, formularios de
consentimiento, compromisos de confidencialidad, etc.) concluimos que el nivel
de cumplimiento de la normativa de protección de datos por parte de La Asociación estaba muy por encima de
la media.
Sin embargo, y a pesar de contar con
abundantes indicios que apuntaban a que el autor del uso no consentido de los
datos de carácter personal de los asociados era el Ex Dirigente (recordemos en este punto que la prueba por indicios está
admitida en nuestro ordenamiento jurídico cuando, como ocurría en el presente
caso, se cumplen una serie de requisitos), nos vimos en el contrasentido de no poder interponer ante la AEPD una
denuncia contra el Ex Dirigente
por dos razones:
- 1. Las personas jurídicas (empresas, asociaciones, etc.) carecen de legitimación activa, esto es, de la posibilidad de presentar denuncias ante la AEPD por el uso no consentido de los datos de carácter personal de las personas que las integran (artículos 3.e) y 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).
- 2. Las personas físicas integradas en una persona jurídica (ya sea empresa, asociación o cualquier otro ente de similares características) carecen de legitimación pasiva, esto es, de la posibilidad de ser denunciadas ante la AEPD, precisamente porque en estos casos el responsable del fichero es la propia persona jurídica (artículo 3.d) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).
Efectuadas diversas consultas a la AEPD, la única solución que nos
proponían era instar a alguno de los asociados afectados a que denunciara a La Asociación para que La Asociación, una vez denunciada,
tuviera ocasión de demostrar su inocencia como medio de defensa (lo que, en Derecho
Penal, se conoce como “prueba diabólica” y cuya exigencia, por supuesto, está
prohibida en un Estado Democrático y de Derecho como el nuestro).
No conformes con la respuesta dada por
parte de la AEPD, nos planteamos la
posibilidad de interponer una demanda ante la jurisdicción civil al amparo de
lo previsto en el artículo 7.4 de la Ley Orgánica 1/1982, de 5 de mayo, sobre
protección civil del derecho al honor, a la intimidad personal y familiar y a
la propia imagen, que
establece lo siguiente:
“Artículo 7
Tendrán la consideración de
intromisiones ilegítimas en el ámbito de protección delimitado por el artículo
2 de esta ley:
4. La revelación de datos privados de una persona o
familia conocidos a través de la actividad profesional u oficial de quien los
revela.”
A pesar del
encaje que, desde nuestro punto de vista, tenía la conducta del Ex Dirigente
en el tenor de dicho artículo, éramos conscientes de que, no contando con una
prueba concluyente sobre la autoría de los mensajes, nos arriesgábamos no sólo
a que el Juez desestimara la demanda, sino además a que
condenara a nuestro cliente al pago de las costas procesales.
Por ello,
finalmente decidimos interponer una denuncia ante la jurisdicción penal
poniendo en conocimiento del Juzgado de Instrucción la existencia de los hechos
relatados y solicitando su auxilio para realizar la oportuna investigación.
A fecha
actual seguimos a la espera de tener noticias del Juzgado de Instrucción donde
ha sido turnada la denuncia, pero la anómala situación en la que se ha visto
envuelta La Asociación nos ha llevado a la siguiente reflexión crítica
que queremos compartir con nuestros clientes:
El hecho de que las personas jurídicas
no puedan presentar denuncias ante la AEPD
parte de una concepción equivocada, en la que se cree que todos los datos de
las empresas y demás personas jurídicas son públicos, y en la que se desconoce
que, siendo tantas las obligaciones que impone esta normativa a empresas y
asociaciones, también se les debería reconocer algún tipo de derecho (como, por
ejemplo, la posibilidad de denunciar ante la AEPD a un ex trabajador que, sintiéndose indignado por haber sido
despedido, use indebidamente los datos de carácter personal a los que tuvo
acceso con ocasión de su relación laboral con la empresa).
No es justo para las empresas de
nuestro país que se les exija el cumplimiento de numerosos requisitos legales
para proteger datos de carácter personal (cuyo incumplimiento acarrea
cuantiosas multas y un inherente desprestigio profesional) y, sin embargo, no
se permita denunciar posibles usos indebidos de los datos personales de las
personas físicas que las integran ante la propia AEPD (donde las denuncias, además, son gratuitas).
De la lectura del nuevo Reglamento General de Protección de Datos
(que entrará en vigor en mayo del próximo año) no parece que esta situación
vaya a cambiar, por lo que todo parece indicar que las empresas y asociaciones de
nuestro país se verán obligadas a seguir acudiendo a los cauces de la justicia
ordinaria a fin de denunciar o demandar los usos indebidos de los datos de
carácter personal de las personas físicas que las integran (con el inherente
coste que ello conlleva…).
Rebeca Sánchez es Abogado Colaboradora de Iuris Corporate S.A.
Comentarios
Publicar un comentario