En esta tercera entrega, haremos referencia a la importancia del CONTRATO DE TRATAMIENTO DE DATOS entre la Comunidad y el Administrador de Fincas.
Sanción a responsable de fichero y encargado de tratamiento (Administradores de Fincas)
En relación a la importancia que da la ley a dicho contrato, vamos a centrarnos en resoluciones y sanciones de la Agencia Española de Protección de Datos (AGPD) impuesta
al responsable del fichero y el encargado del tratamiento por falta del deber de información recogido en el artículo 5.5 Ley Orgánica de Protección de Datos.
No obstante, es conveniente tener conceptos claros y la jurisprudencia define lo que es responsable del fichero y encargado del tratamiento. En concreto, la Audiencia Nacional en Sentencia de 3 Marzo 2004 “Entendemos, por tanto, por responsable del fichero o del tratamiento la persona, física o jurídica, que decida sobre la finalidad, contenido y uso del tratamiento; (La comunidad) y por encargado del tratamiento quien trate datos personales por cuenta del responsable del tratamiento, (el AAFF) según define el artículo 3, apartados d) y g), respectivamente, de la Ley Orgánica 15/1999”. (LOPD).
En el informe de la Agencia nº PS005182008 la Sala aplica la siguiente doctrina: “Lo típico del encargo de tratamiento es que un sujeto externo o ajeno al responsable del fichero va a tratar datos de carácter personal pertenecientes a los tratamientos efectuados por aquél con el objeto de prestarle un servicio en un ámbito concreto. Habría por tanto encargo de tratamiento en los supuestos de outsourcing o en los de prestación derivada de un contrato de obra o arrendamiento de servicios con un fin concreto. Siendo esencial, para no desnaturalizar la figura, que el encargado del tratamiento se limite a realizar el acto material de tratamiento encargado, y no siendo supuestos de encargo de tratamiento aquellos en los que el objeto del contrato fuese el ejercicio de una función o actividad independiente del encargo…”
Una vez definido conceptos básicos, ponemos de relieve la sanción de la AGPD en el informe nº PS003552014 en que se señala la importancia que tiene el responsable del fichero de facilitar las instrucciones precisas al encargado del tratamiento sobre la información a los afectados por grabaciones realizadas mediante un Call Center. Así el responsable del fichero debe adoptar las cautelas suficientes para el cumplimiento de la LOPD, observar la diligencia debida independientemente que tenga un encargado del tratamiento.
En la Sentencia de la Audiencia Nacional de 3 Marzo 2004 anteriormente mencionada se señala que: “Pues bien, la conducta que configura el ilícito administrativo -artículo 44.3.d) de la Ley Orgánica 15/1999- requiere la existencia de culpa, que se concreta, por lo que ahora interesa, en la falta de diligencia observada por la entidad recurrente para hacer coincidir los datos del fichero con la realidad que debe reflejar.
Por lo tanto, los responsables de ficheros junto con los encargados de tratamiento deben tener una especial diligencia en el ejercicio de su actividad cuando entran en contacto y manejan un volumen alto de datos personales.
En la resolución de la Agencia analizada se impone tanto al responsable del fichero como encargado del tratamiento una multa de 2.300 euros, por infracción del art. 5 LOPD, tipificada como leve en el art. 44.2 c), de conformidad con lo establecido en el art. 45.1 y 4 de la LOPD. En este caso la infracción es imputable a una entidad bancaria, en su condición de responsable del tratamiento, de conformidad con lo dispuesto en el art. 12.4, y 43 de la LOPD. Y, también, dicha infracción es imputable a un prestador de servicios puesto quedó acreditado que actuó en contra de la LOPD a su propia iniciativa.
A mayor abundamiento en la sentencia de 13 de abril de 2005 rec. 241/2003 se desarrolla la responsabilidad conjunta entre el responsable y encargado del tratamiento en el cumplimiento del artículo 12.4 LOPD cuando destine los datos a una finalidad distinta a la indicada, los comunique o los utilice incumpliendo las estipulaciones del contrato:
«…será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente». El término «también» que utiliza el precepto deja claro que no se establece allí un mecanismo de sustitución ni de derivación de responsabilidades sino de agregación, pues el responsable del fichero no pierde su condición de tal ni queda exonerado de responsabilidad por el hecho de que al encargado del tratamiento que incumpla lo estipulado se le atribuya «también» la consideración de responsable del tratamiento”.
Principalmente por la inexistencia de CONTRATO DE TRATAMIENTO de datos entre el responsable (la comunidad de propietarios) y el encargado (el Adninistrador de Fincas) . conforme al art. 12 LOPD, y porque el encargado del tratamiento decidió no informar a las personas que llamaban que sus conversaciones eran grabadas de acuerdo con el art. 5.5 de la LOPD |
Respecto a la importancia del contrato y el consentimiento recabado a los titulares de datos la Sentencia de 14 Marzo de 2007, rec. 280/2005 estableció una sanción a una operadora de telefonía por inclusión indebida del denunciante en los ficheros de morosidad ya que fue dado de alta en la compañía telefónica sin que hubiera suscrito contrato ni documento alguno autorizando dicho alta, y por tanto sin consentimiento del mismo.
Y respecto al consentimiento recientemente en la Sentencia de 17 abril de 2013 dispone que “Es tal responsable del fichero a quien corresponde asegurarse de que aquel a quien se solicita consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la Ley”.
En definitiva, podemos extraer que el responsable del fichero debe velar por el cumplimiento de la normativa en protección de datos, siendo especialmente diligente en el proceso de recogida del consentimiento de los titulares de datos, y pudiendo cometer culpa “in vigilando” cuando no sea especialmente diligente en la observación de las actuaciones del encargado.
Así mismo, el encargado del tratamiento debe disponer de CONTRATO DE ENCARGADO conforme al art. 12 LOPD. informar al titular de los datos de la recogida de datos de acuerdo con el art. 5.5 LOPD, y no recabar datos que estén fuera de las directrices estipuladas por el responsable del fichero.
José Alberto Rueda Olmo Dpto. Jurídico Mediter Consultora Jurídica SL www.mediterjuridico.es