Almacenamiento de datos de carácter personal y su cesión a terceros. El caso de Google Street View. (Incluye Modelo de Requerimiento)
Almacenamiento de datos de carácter personal y su cesión a terceros. El caso de Google Street View. (Incluye Modelo de Requerimiento)
Joan Martínez. (Imagen: E&J)
Por Joaquín Muñoz Rodríguez. Socio de Abanlex Abogados.
EN BREVE: «La puesta en conocimiento público de la presunción de que la empresa estadounidense Google habría podido aprovechar los desplazamientos de sus coches de recolección de imágenes para el servicio Street View con la finalidad de recabar datos de localización de redes WI-FI y datos personales de sus titulares, derivando en el inicio de un procedimiento sancionador por la AEPD y una posterior denuncia penal, han hecho replantear la vulnerabilidad de este tipo de redes y cuestiona, desde el punto de vista procedimental, el alcance del non bis in idem para sanciones penales y administrativas.»
1.- Introducción.
En los últimos meses se ha hablado y escrito en abundancia sobre la apertura por la Agencia Española de Protección de Datos de un procedimiento sancionador a Google por la captación de datos de localización de redes WI-FI con identificación de sus titulares y de datos personales de diversa naturaleza del contenido de comunicaciones. Estas noticias han puesto de actualidad, por un lado, la vulnerabilidad de este tipo de redes y, por otro, el interés de las grandes compañías de Internet en acumular la mayor información posible de sus usuarios sin respetar, ni siquiera mínimamente, su privacidad.
En el caso referido, se acusa a la multinacional con sede en Mountain View (California), de haber aprovechado las rutas realizadas por los vehículos de su filial en España -con la finalidad de fotografiar las calles españolas de cara a actualizar el banco de imágenes de su popular servicio «Street View»- para identificar y captar datos de localización, identificación y tráfico de redes WI-FI abiertas, tales como correos electrónicos con nombre y apellidos, accesos a cuentas de redes sociales y sitios web, direcciones y cuentas asociadas a mensajes de correo o chat e, incluso, nombres de usuario y contraseñas que identificaban a sus titulares y que, en algunos casos, permitían el acceso a datos especialmente protegidos de los mismos, con el agravante de que estos datos recogidos hayan podido ser transferidos a la matriz con sede en Estados Unidos, lo que supondría una transferencia internacional de datos sin cumplir con las garantías mínimas establecidas por la LOPD.
Las autoridades españolas ya estaban sobre aviso de que este tipo de práctica se podría producir, ya que había indicios también en otros países europeos como Reino Unido, Alemania, Francia e Italia y países del resto del mundo como Canadá, Estados Unidos, Brasil o la región de Hong-Kong.
Cuando se publicó la noticia y se daban los primeros pasos en las investigaciones, Google se apresuró a comunicar que los datos habían sido recabados por un error en el software -según la compañía, un ingeniero introdujo sin permiso las instrucciones de recopilación de datos en el software de los coches- y que se comprometía al borrado de los mismos de inmediato, anunciando además cambios en su estructura, formación de empleados y procedimientos internos de cumplimiento normativo.
Actualmente, el procedimiento administrativo sancionador iniciado por la AEPD se encuentra suspendido debido a que se ha abierto paralelamente, en el Juzgado de Instrucción Nº 45 de Madrid, una causa penal por presunta violación del artículo 197 del Código Penal.
La Fiscalía de Guipúzcoa, que cuenta con uno de los doce fiscales especializados en delincuencia informática de España, ya realizó investigaciones en el mismo sentido, decidiendo archivar el asunto mediante un decreto, en el que señalaba que «el carácter aleatorio, indiscriminado y fragmentario de la técnica utilizada por los automóviles de Google Street View, impide que se haya obtenido información que, «per se» suponga el descubrimiento de secretos o la vulneración de la intimidad que exige el artículo 197″.
2.- Almacenamiento de datos de carácter personal sin consentimiento del interesado. Transferencias internacionales de datos.
El derecho fundamental a la intimidad personal y familiar, recogido en el artículo 18 de la Constitución, y en concreto el artículo 18.4, que indica que la ley limitará el uso de la informática para garantizar este derecho, son la base del desarrollo normativo en materia de protección de datos personales. Como se indicaba en la Exposición de Motivos de la ya derogada LORTAD, el concepto de privacidad es aún más amplio que el de intimidad, puesto que «en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona (…), la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado.». Es por ello por lo que, aunque pueda parecer que del almacenamiento de datos inconexos no se puede sacar beneficio alguno, en el momento que esos datos se organizan mediante procesos o aplicaciones informáticas pasando a formar parte de un fichero son susceptibles, relacionados entre sí, de configurar el perfil personal de cada afectado, sí que se puede rentabilizar su almacenamiento.
En el ámbito de la Protección de Datos personales, la ilegalidad de este tipo de prácticas de almacenamiento de datos y su posterior cesión a terceros tiene su origen fundamentalmente en la ausencia de consentimiento de los afectados, quienes, al no ser informados de este acceso a su información personal, no tienen ni siquiera ocasión de prestarlo. La Ley Orgánica 15/1999 (LOPD) define, en su artículo 3.h), el consentimiento del interesado como «toda manifestación de voluntad, libre -es decir, sin vicio alguno-, inequívoca -esto es, que exista expresamente una acción u omisión que implique un consentimiento-, específica -para un tratamiento y una finalidad determinada- e informada -es decir, que el afectado sea consciente a priori de todas las implicaciones del tratamiento-, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen». En el caso que nos ocupa, como los datos recogidos y almacenados pueden permitir el acceso a datos especialmente protegidos de sus titulares, se exige que el consentimiento sea además expreso, no sirviendo un consentimiento tácito.
Como agravante de la presunta actividad ilícita habría de ser considerado el hecho de que la empresa, matriz de la española, a la que se realiza la cesión no consentida de los datos personales se encuentra en un país diferente, estando estas transferencias, con carácter general, sometidas a previa autorización del Director de la Agencia Española de Protección de Datos, ya que la normativa vigente en Estados Unidos no proporciona un nivel de protección equivalente al de la LOPD. El hecho de que, como hemos comentado, la cesión se produzca entre dos sociedades del mismo grupo empresarial, incluso en el caso de que contaran con el consentimiento de los afectados, no exime de este cumplimiento, al tratarse de dos sociedades jurídicamente diferentes.
En el ámbito penal, la denuncia fue presentada por la asociación APEDANICA, alegando una presunta infracción del artículo 197 del Código Penal que establece como delito que «el que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación (…)».
3.- Sanciones.
En el propio artículo 197 del Código Penal se establecen diferentes graduaciones de la pena en función del uso que a posteriori se haga, teniendo en cuenta las cesiones de datos entre particulares o empresas, que los hechos se realicen con fines lucrativos, que afecten a datos de carácter personal de los considerados especialmente protegidos (ideología, religión, creencias, salud, origen racial o vida sexual), o que la víctima fuere un menor de edad o un incapaz. Asimismo, se remite al artículo 31 bis del Código Penal para el supuesto de que el responsable, como es el caso comentado, sea una persona jurídica. Se podrán imponer penas de uno a cinco años de prisión y multas de entre doce y veinticuatro meses.
Las sanciones que, una vez resuelto el procedimiento penal, pueda imponer la AEPD dependerán de la pena que eventualmente decida dicho organismo en observancia del principio non bis in idem, al que más adelante haré referencia. En este sentido, el acuerdo de inicio del procedimiento sancionador de la AEPD, tras las diligencias previas realizadas en el marco de la investigación, imputa a Google Spain y Google Inc. la comisión de sendas infracciones muy graves -sancionables, cada una de ellas, con multas de 300.506,05 a 601.012,10 euros- por captar datos que permitían el acceso a datos especialmente protegidos sin contar con el consentimiento expreso de sus titulares, ni habilitación legal para ello. Por otro lado, se le imputa a Google Spain otra sanción tipificada como muy grave por la transferencia internacional de datos a Estados Unidos sin contar con las garantías previstas en la LOPD. Además, se imputa a ambas compañías la comisión de infracciones graves -sancionables, cada una de ellas, con multa de entre 60.101,21 y 300.506,05 Euros- por la recogida y almacenamiento de datos personales (excluidos los especialmente protegidos) sin consentimiento de sus titulares.
4.- Non bis in idem.
Como ya se comentó anteriormente, el procedimiento administrativo se inició previamente al procedimiento judicial penal por lo que, en función de lo estipulado por el artículo 7 del RD 1398/1993, recibida la comunicación de que se estaba desarrollando un proceso penal, se procedió por la AEPD a la suspensión del procedimiento administrativo sancionador.
De acuerdo con el criterio de reiterada jurisprudencia constitucional, el principio non bis in idem se ha considerado integrado en el derecho fundamental a la legalidad penal, consagrado en el artículo 25.1 CE. Según la STS 2/1981: «(…).el principio general de derecho conocido por non bis in idem supone, en una de sus más conocidas manifestaciones, que no recaiga duplicidad de sanciones -administrativa y penal- en los casos en que se aprecie la identidad del sujeto, hecho y fundamento sin existencia de una relación de supremacía especial de la Administración -relación de funcionario, servicio público, concesionario, etc(…)- que justificase el ejercicio del ius puniendi por los Tribunales y a su vez de la potestad sancionadora de la Administración (…)».
Como también se establece en la STC 188/2005, este principio tiene una doble dimensión:
» a) la material o sustantiva, que impide sancionar al mismo sujeto «en más de una ocasión por el mismo hecho con el mismo fundamento», y que «tiene como finalidad evitar una reacción punitiva desproporcionada (…), en cuanto dicho exceso punitivo hace quebrar la garantía del ciudadano de previsibilidad de las sanciones, pues la suma de la pluralidad de sanciones crea una sanción ajena al juicio de proporcionalidad realizado por el legislador y materializa la imposición de una sanción no prevista legalmente» (…)
b) la procesal o formal, que proscribe la duplicidad de procedimientos sancionadores en caso de que exista una triple identidad de sujeto, hecho y fundamento, y que tiene como primera concreción «la regla de la preferencia o precedencia de la autoridad judicial penal sobre la Administración respecto de su actuación en materia sancionadora en aquellos casos en los que los hechos a sancionar puedan ser, no sólo constitutivos de infracción administrativa, sino también de delito o falta según el Código Penal».
Esto es, el principio non bis in idem opera, tanto en su vertiente sustantiva como en la procesal, para regular las relaciones entre el Ordenamiento Penal y el Derecho Administrativo sancionador, y actúa también de manera interna dentro de cada uno de estos ordenamientos en sí mismos considerados, proscribiendo, cuando exista una triple identidad de sujeto, hechos y fundamento, la duplicidad de penas y de procesos penales y la pluralidad de sanciones administrativas y de procedimientos sancionadores, respectivamente.
Si desea leer el artículo en formato PDF puede hacerlo abriendo el documento adjunto. (Modelo de Requerimiento incluido en el PDF).
...