ASPECTOS SOBRE LA LEGITIMACIÓN ACTIVA Y PASIVA DE LAS PERSONAS JURÍDICAS EN MATERIA DE PROTECCIÓN DE DATOS (Por Rebeca Sánchez, Abogado Colaboradora de Iuris Corporate S.A.)

Desde hace tiempo, son muchas las empresas que acuden a nuestro despacho planteándonos la problemática que se desencadena cuando, tras el despido de un trabajador o su salida de la empresa, el ex trabajador en cuestión utiliza indebidamente los datos de carácter personal de trabajadores y clientes a los que tuvo acceso con ocasión de su cargo.

En este sentido, nos ha resultado especialmente curioso el caso de una conocida “Asociación de Enfermedades Raras Sin Ánimo Lucro” (en adelante, “La Asociación”) cuyo Presidente nos relataba los siguientes hechos:

"-Hace unos meses, tras múltiples disputas y desavenencias con uno de los dirigentes de La Asociación, los asociados tomaron la difícil decisión de cesarle.

Acto seguido, se tomaron todas las precauciones necesarias para proteger los datos de carácter personal de sus asociados: bloqueo informático a las bases de datos, requerimiento de devolución de todos los dispositivos y soportes físicos que almacenaban datos de carácter personal de los asociados, etc.

A pesar de la agilidad de nuestra actuación –continuaba el Presidente- pasados unos días varios asociados recibieron mensajes en sus teléfonos en los que se les invitaba a abandonar La Asociación y a constituir una nueva asociación con idéntico objeto."

Lo cierto es que el Presidente contaba con abundantes indicios que demostraban que el autor de esos mensajes era el ex dirigente cesado (en adelante, “El Ex Dirigente”).

Con todo este material, lo primero que verificamos desde el departamento legal de IURIS CORPORATE es que La Asociación efectivamente cumplía con la Ley Orgánica de Protección de Datos de Carácter Personal y el Reglamento que la desarrolla. Después de un minucioso análisis de todos los aspectos que actualmente se exigen por parte de la Agencia Española de Protección de Datos (en adelante, “La AEPD”) en esta materia (documento de seguridad, formularios de consentimiento, compromisos de confidencialidad, etc.) concluimos que el nivel de cumplimiento de la normativa de protección de datos por parte de La Asociación estaba muy por encima de la media.

Sin embargo, y a pesar de contar con abundantes indicios que apuntaban a que el autor del uso no consentido de los datos de carácter personal de los asociados era el Ex Dirigente (recordemos en este punto que la prueba por indicios está admitida en nuestro ordenamiento jurídico cuando, como ocurría en el presente caso, se cumplen una serie de requisitos), nos vimos en el contrasentido de no poder interponer ante la AEPD una denuncia contra el Ex Dirigente por dos razones:

• 1.       Las personas jurídicas (empresas, asociaciones, etc.) carecen de legitimación activa, esto es, de la posibilidad de presentar denuncias ante la AEPD por el uso no consentido de los datos de carácter personal de las personas que las integran (artículos 3.e) y 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).
• 2.       Las personas físicas integradas en una persona jurídica (ya sea empresa, asociación o cualquier otro ente de similares características) carecen de legitimación pasiva, esto es, de la posibilidad de ser denunciadas ante la AEPD, precisamente porque en estos casos el responsable del fichero es la propia persona jurídica (artículo 3.d) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).

Efectuadas diversas consultas a la AEPD, la única solución que nos proponían era instar a alguno de los asociados afectados a que denunciara a La Asociación para que La Asociación, una vez denunciada, tuviera ocasión de demostrar su inocencia como medio de defensa (lo que, en Derecho Penal, se conoce como “prueba diabólica” y cuya exigencia, por supuesto, está prohibida en un Estado Democrático y de Derecho como el nuestro).

No conformes con la respuesta dada por parte de la AEPD, nos planteamos la posibilidad de interponer una demanda ante la jurisdicción civil al amparo de lo previsto en el artículo 7.4 de la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, que establece lo siguiente:

“Artículo 7

Tendrán la consideración de intromisiones ilegítimas en el ámbito de protección delimitado por el artículo 2 de esta ley:

4. La revelación de datos privados de una persona o familia conocidos a través de la actividad profesional u oficial de quien los revela.”

A pesar del encaje que, desde nuestro punto de vista, tenía la conducta del Ex Dirigente en el tenor de dicho artículo, éramos conscientes de que, no contando con una prueba concluyente sobre la autoría de los mensajes, nos arriesgábamos no sólo a que el Juez desestimara la demanda, sino además a que condenara a nuestro cliente al pago de las costas procesales.

Por ello, finalmente decidimos interponer una denuncia ante la jurisdicción penal poniendo en conocimiento del Juzgado de Instrucción la existencia de los hechos relatados y solicitando su auxilio para realizar la oportuna investigación.

A fecha actual seguimos a la espera de tener noticias del Juzgado de Instrucción donde ha sido turnada la denuncia, pero la anómala situación en la que se ha visto envuelta La Asociación nos ha llevado a la siguiente reflexión crítica que queremos compartir con nuestros clientes:

El hecho de que las personas jurídicas no puedan presentar denuncias ante la AEPD parte de una concepción equivocada, en la que se cree que todos los datos de las empresas y demás personas jurídicas son públicos, y en la que se desconoce que, siendo tantas las obligaciones que impone esta normativa a empresas y asociaciones, también se les debería reconocer algún tipo de derecho (como, por ejemplo, la posibilidad de denunciar ante la AEPD a un ex trabajador que, sintiéndose indignado por haber sido despedido, use indebidamente los datos de carácter personal a los que tuvo acceso con ocasión de su relación laboral con la empresa).

No es justo para las empresas de nuestro país que se les exija el cumplimiento de numerosos requisitos legales para proteger datos de carácter personal (cuyo incumplimiento acarrea cuantiosas multas y un inherente desprestigio profesional) y, sin embargo, no se permita denunciar posibles usos indebidos de los datos personales de las personas físicas que las integran ante la propia AEPD (donde las denuncias, además, son gratuitas).

De la lectura del nuevo Reglamento General de Protección de Datos (que entrará en vigor en mayo del próximo año) no parece que esta situación vaya a cambiar, por lo que todo parece indicar que las empresas y asociaciones de nuestro país se verán obligadas a seguir acudiendo a los cauces de la justicia ordinaria a fin de denunciar o demandar los usos indebidos de los datos de carácter personal de las personas físicas que las integran (con el inherente coste que ello conlleva…). 

Rebeca Sánchez es Abogado Colaboradora de Iuris Corporate S.A.