ANÁLISIS DE LAS PRINCIPALES REPERCUSIONES DE LA LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL EN LOS SERVICIOS DE “CALL CENTER”. (44/2015)

 In Blog

02/10/2015

ETIQUETAS: CALL CENTER -PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL -LOPD -SEGURIDAD-GRABACIÓN DE LLAMADAS -CONFIDENCIALIDAD-SECRETO PROFESIONAL.

Es muy frecuente que las empresas en general, externalicen (outsourcing) el servicio de “Centro de Llamadas o Call Center” con algún proveedor de referencia, al cual ceden sus bases de datos de clientes para una correcta provisión del servicio. El “Call Center” es un área donde agentes, asesores, supervisores, realizan llamadas (llamadas salientes o outbound) y/o reciben llamadas (llamadas entrantes o inbound) desde o hacia, clientes (externos o internos), socios comerciales, compañías asociadas u otros. Debe tenerse en cuenta que, en atención a criterios de reducción de costes, en ocasiones, la ubicación de las empresas de Call Center” cuyos servicios se contratan, se encuentra en territorio extranjero (offshoring), incluso fuera de la Unión Europea. El uso de los Call Center” está dominado por grandes empresas que requieren establecer un contacto permanente con sus clientes, tales como entidades financieras, aseguradoras y compañías de telefonía y telecomunicaciones.

Principales repercusiones de la Ley de protección de datos en los servicios de “Call Center” y el deber de adecuación de los mismos a los principios de la Ley:

I.- Medidas de seguridad:

Son de necesario cumplimiento las previsiones del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, esto es, adoptar las medidas de seguridad adecuadas al nivel de protección (básico, medio y alto) que requieran los datos consignados en los ficheros o tratamientos de datos de carácter personal, así como elaborar el documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes al nivel de seguridad que resulte de aplicación (artículos 79 y ss. del Reglamento de desarrollo de la LOPD).

II.- Ejercicio de los derechos de acceso, rectificación, cancelación y oposición:

El Reglamento de desarrollo de la LOPD prevé en su artículo 24.4, que cuando el responsable del fichero o tratamiento disponga de servicios de atención al público o tramitación de reclamaciones (caso de los “Call Centers”), pueda posibilitar a los afectados el ejercicio de tales derechos a través de dichos “Call Centers”. En tal caso, la identidad del interesado se considerará acreditada por los medios establecidos para la identificación de los clientes del responsable en la prestación de sus servicios o contratación de sus productos, esto es, por los medios de identificación de los clientes en el propio servicio del “Call Center”, como puede ser una contraseña, el contraste de los datos de la factura anterior, o preguntas de seguridad.

III.- Información sobre grabación de la llamada:

Es práctica habitual por parte de los “Call Centers”, la grabación de llamadas en formato digital, grabaciones que serán conservadas y organizadas en ficheros, en muchas ocasiones como prueba de la contratación de un servicio. Por ello, debe advertirse al interesado de que se va a proceder a la grabación, aduciéndose los motivos de la misma, normalmente, razones de seguridad.

Los archivos digitales de voz tienen el carácter de soportes de datos de carácter personal almacenados en ficheros, suponiendo además, el tratamiento de datos de carácter personal. En este sentido debe tenerse en cuenta las definiciones del artículo 5 del Reglamento de desarrollo de la LOPD:

5.1 f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

5.1 k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

5.1 t) Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

5.2 ñ) Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos.

Es de resaltar en este punto, el Informe 0190/2009 de la Agencia Española de Protección de Datos, que en su expositivo II dice:

“En cuanto a la grabación de las conversaciones telefónicas mantenidas con la teleoperadora consultante, y que efectuaría la empresa cliente al llevar a cabo su llamada, se hace preciso determinar si el contenido de las grabaciones telefónicas entre los empleados de ambas empresas, la principal y la subcontratista, en la medida en que incorporen los datos de nombre y apellidos de la consultante o de ambos interlocutores, los números de teléfono y la voz de las personas intervinientes y la posibilidad de que contengan otros datos personales de terceros identificables, estarían amparadas por la LOPD y su Reglamento.

(…)

Debe en este sentido partirse de que tales grabaciones tienen trascendencia y entran dentro del ámbito de aplicación de la Ley desde el momento en que en las mismas puedan recogerse datos personales de los clientes que contactan con el servicio. Ello determina la plena aplicación de los preceptos de dicha norma en relación con el tratamiento de datos de carácter personal que implica tal grabación, considerando a estos efectos lo establecido en el artículo 3 c) de la Ley Orgánica 15/1999, que define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automatizado o no que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. De ello resulta que la grabación de dichas conversaciones implica someter los datos personales de los interlocutores y de posibles terceros a procesos de tratamiento de datos.

Aun cuando nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero, definido como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, por el artículo 3 b) de la Ley. Ello supone que en el supuesto en que las grabaciones de voz no sean objeto de una organización sistemática, con arreglo a criterios que permitan la búsqueda de las mismas a partir de los datos personales de sus clientes, el archivo en que se contuvieran las cintas referidas a dichas personas no será considerado fichero a los efectos de la Ley.

Además, en el caso de las grabaciones telefónicas, será necesario informar al que contacte con la teleoperadora de la empresa consultante de que la conversación va a ser objeto de grabación, no pudiendo efectuarse la misma en caso de que el afectado se oponga a ello.

Por otro lado, si como nos indican guardarían el número de teléfono del cliente, conviene señalar que, el artículo 5.1 f) del Real Decreto 1720/2007 de 21 de diciembre por el que se desarrolla la Ley Orgánica, considera datos de carácter personal a “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de recogida, registro, tratamiento o transmisión concerniente a personas físicas identificadas o identificables”.

El artículo 5.1 o) del Real Decreto citado cierra el concepto definiendo como afectado o interesado como “toda persona cuya identidad pueda determinarse, directa o indirectamente mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.”

A su vez, el artículo 2.a) de la Directiva 95/46/CE considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. El Considerando 26 de la propia Directiva advierte que para determinar si una persona es identificable, hay que considerar el conjunto de medios que puedan ser razonablemente utilizados por el responsable del tratamiento, o por cualquier otra persona, para identificar al interesado.

Atendiendo a lo que acabamos de indicar, aunque en principio es criterio de esta Agencia de Protección de Datos que el número de teléfono, por sí solo, no constituye un dato de carácter personal, si lo será en cuanto resulte adscrito al concreto titular del mismo, como parece ocurrir en el supuesto que nos ocupa.

En este sentido, la Audiencia Nacional se ha pronunciado recientemente en sentencia de 8 de marzo de 2002. Según se cita en la misma, “para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados” y “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”.

En consecuencia, cualquier conjunto de datos de carácter personal, debidamente estructurado, se encontrará sujeto a las disposiciones de la Ley Orgánica 15/1999 y sus normas de desarrollo, especialmente las contenidas en el Reglamento 1720/2007.”

IV.- No deberán efectuarse contactos con ciudadanos que hayan mostrado su deseo de no recibir contactos telefónicos:

-Tanto en el caso de que el interesado haya ejercitado el derecho de oposición mediante solicitud dirigida al responsable del tratamiento (arts. 34 y ss. del Reglamento de desarrollo de la LOPD) y no se haya denegado motivadamente su solicitud.

-Como en el caso de que el interesado se haya inscrito en un fichero de exclusión del envío de comunicaciones comerciales (conocidos como “listas Robinson”), conforme los artículos 48 y 49 del Reglamento de desarrollo de la LOPD. Los ficheros a los que se refiere el artículo 49 del Reglamento, consisten en ficheros comunes especialmente creados para el tratamiento de los datos de carácter personal necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad. De este modo, el apartado 4 del artículo 49 del Reglamento exige: Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento.”

Por otra parte, el artículo 48 del Reglamento de desarrollo de la LOPD, prevé la posibilidad de que el interesado manifieste a responsables de ficheros, su negativa a recibir publicidad, pudiendo en tal caso conservarse únicamente los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.

V.- Obtención legítima de datos personales:

Los datos personales que los “Call Centers” emplean en sus campañas de tele-marketing (emisión de llamadas o “Outbound”)  deben ser obtenidos de fuentes accesibles al público, en cuyo caso no se requiere el consentimiento de los interesados, o bien, a partir de las propias bases de datos de las empresas para las que prestan servicios, siempre y cuando los propios clientes hayan otorgado su consentimiento al tratamiento con fines comerciales para unos determinados sectores de actividad.

Así, el artículo 8.1 del Reglamento de desarrollo de la LOPD, prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. Y por su parte, el artículo 44.4, apartado a) LOPD, tipifica como infracción muy grave, la recogida de datos en forma engañosa o fraudulenta.

VI.- Realización de tratamientos de datos por cuenta de terceros:

Dado que es práctica habitual que las empresas externalicen (“outsourcing”) los centros de llamadas con un proveedor especializado, al que ceden sus bases de datos de clientes para la correcta provisión del servicio, es necesaria, de acuerdo con el artículo 12.2 LOPD, la suscripción de un contrato entre el responsable del fichero y el encargado del tratamiento que regule el contenido del tratamiento y las medidas de seguridad a implementar por el encargado del tratamiento, así como las condiciones de uso de los datos, los criterios de confidencialidad y los acuerdos de devolución o destrucción de los datos al finalizar el servicio. En estos casos el proveedor de “Call Center” asume el rol de “encargado del tratamiento” frente a la empresa que lo ha contratado, cuyo rol es el de “responsable del fichero”. En el caso de que no se suscriba el preceptivo contrato o el mismo no cumpla con solvencia los requisitos que marca la LOPD y se tratase de datos de especial protección de los previstos en el artículo 7, apartados 2 y 3 de la LOPD (los referentes a ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual) se produciría un supuesto de cesión ilegítima de datos -pues no existiría el consentimiento expreso de los afectados-, pudiendo incurrirse en una infracción tipificada como muy grave conforme el artículo 44.4 b) del Reglamento de desarrollo de la LOPD, sancionada con multa de 300.001 a 600.000 euros, de acuerdo con el artículo 45.3 del Reglamento.

Por otra parte, si la empresa prestadora de servicios de “Call Center” contratada, efectúa una campaña de tele-marketing seleccionando a los destinatarios a partir de criterios definidos por la propia empresa, ésta se convierte automáticamente en “responsable del tratamiento”, con todas las implicaciones del incumplimiento de la obligación que ello conlleva, según el artículo 12.4 LOPD: “En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

VII. Transferencia internacional de datos:

En muchas ocasiones, se contratan los servicios de empresas especializadas de “Call Center” ubicadas fuera de las fronteras españolas (offshoring), emplazadas incluso fuera de la Unión Europea, como es el caso de Latinoamérica, obedeciendo tal decisión a criterios de reducción de costes en recursos humanos. En tales supuestos, se han de transferir a tales países las bases de datos de las empresas contratantes del servicio. En el caso de que la transferencia tenga por destino un Estado respecto del que no se haya declarado por la Comisión Europea o no se haya considerado por el Director de la Agencia Española de Protección de Datos que existe un nivel adecuado de protección, resulta preceptivo la obtención de la autorización mediante resolución administrativa del Director de la Agencia Española de Protección de Datos (artículos 33 y 34 LOPD y, artículos 65 y ss. del RLOPD). Dicha autorización se otorgará en caso de que el exportador aporte las garantías a las que se refiere el artículo 70.2 del RLOPD, es decir, que el responsable del fichero o tratamiento aporte un contrato celebrado por escrito entre el exportador y el importador, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

Según el párrafo segundo del artículo 70.2 del Reglamento: “A tal efecto, se considerará que establecen las adecuadas garantías los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisión Europea 2001/497/CE, de 15 de Junio de 2001, 2002/16/CE, de 27 de diciembre de 2001, y 2004/915/CE, de 27 de diciembre de 2004 o de lo que dispongan las Decisiones de la Comisión que den cumplimiento a lo establecido en el artículo 26.4 de la Directiva 95/46/CE.”

Actualmente, se considera que reúnen las garantías adecuadas los contratos que, celebrados de conformidad con lo previsto en la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010, incluyan las cláusulas contractuales estipuladas en dicha Decisión.

Sin embargo, no se requiere dicha autorización cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección a juicio del Director de la Agencia Española de Protección de Datos, esto es, los supuestos en que el país de destino ofrezca un nivel de protección de datos equivalente al fijado en la LOPD. Tal es el caso de los Estados considerados con un nivel adecuado de protección incluidos en las listas publicadas en la propia página web de la AEPD, como por ejemplo Andorra, Canadá, Suiza y Argentina. Debe tenerse en cuenta que, la transferencia internacional de datos se refiere a aquella transmisión efectuada a países no integrantes del Espacio económico Europeo, de acuerdo con el artículo 5.1 s) del RLOPD: “Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español”.

Tampoco será necesaria la autorización del Director de la Agencia Española de Protección de Datos para la realización de una transferencia internacional de datos a aquel Estado respecto del que se haya declarado por la Comisión Europea la existencia de un nivel adecuado de protección.

Existen multitud de resoluciones de la AEPD que autorizan esta transferencia internacional de datos. Entre ellas, mencionaremos a título de ejemplo, la dictada en el expediente nº TI/00018/2015, que en sus antecedentes primero y segundo dice:

“Primero.- D. A.A.A., en nombre y representación de la entidad BOFROST, S.A.U. (en adelante, el exportador de datos), solicita, mediante escrito con registro de entrada en esta Agencia Española de Protección de Datos el 25/02/2015, autorización conforme a lo establecido en el artículo 33 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) para la transferencia internacional de datos de carácter personal a la entidad TINGIS GROUP CALL CENTER, S.A.R.L. (en adelante, el importador de datos), domiciliada en Marruecos, relativa al fichero de nombre “PROMOCIÓN COMERCIAL” con código de inscripción ***CÓD.1.

Segundo.- Con la solicitud se aporta el documento “Cláusulas contractuales tipo, encargados del tratamiento” (en adelante, el contrato) firmado por los representantes legales de BOFROST, S.A.U., como exportador de datos, y TINGIS GROUP CALL CENTER, S.A.R.L., como importador de datos, que incluye las cláusulas contractuales tipo previstas en la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia internacional de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE (en adelante, Decisión 2010/87/UE).”

Y en su fundamentación jurídica dice:

“Segundo.- De conformidad con lo dispuesto en el artículo 33 de la LOPD, la autorización de transferencia internacional de datos a un país que no ha sido declarado como país con un nivel adecuado de protección sólo podrá otorgarse si se obtienen garantías suficientes. Así, podrá ser otorgada si el responsable del fichero aporta un contrato escrito, celebrado entre el exportador y el importador de datos, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

A estos efectos, se considerará que reúnen las garantías adecuadas los contratos que, celebrados de conformidad con lo previsto en la Decisión 2010/87/UE, incluyan las cláusulas contractuales estipuladas en dicha Decisión.

Tercero.- El contrato aportado es el medio que permite al responsable de los ficheros, en el caso que nos ocupa BOFROST, S.A.U., ofrecer garantías adecuadas al transmitir los datos a Marruecos, país respecto del que no se ha declarado la existencia de un nivel adecuado de protección y que no pertenece al Espacio Económico Europeo.

Cuarto.- El importador de los datos garantiza que ha puesto en práctica las medidas de seguridad técnicas y organizativas exigidas por la LOPD, y que se indican en el contrato, antes de efectuar el tratamiento de los datos personales transferidos.

Quinto.- En el supuesto objeto de la solicitud de transferencia internacional, el contrato cumple los requisitos establecidos en la LOPD, su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007 y en la Decisión de la Comisión Europea 2010/87/UE”.

VIII- Confidencialidad. Deber de Secreto:

El Usuario, que accede y trata información de carácter personal en el desempeño de las funciones y tareas, deberá atender la obligación de guardar el necesario secreto respecto a cualquier tipo de información de carácter personal, conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la empresa responsable del fichero.

Merece especial mención el artículo 10 LOPD: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

Se exige, por tanto, la máxima confidencialidad de los datos de carácter personal a todas las personas que accedan o traten los datos personales. Debe tenerse en cuenta a este respecto, que, se da la circunstancia de que el tele-marketing es una actividad con un alto factor de rotación, lo que requiere una atención especial en la formación del personal en los criterios de confidencialidad y secreto profesional, para evitar fugas de información, incluso, cuando se haya finalizado la prestación de servicios en las plataformas de los “Call Centers”.

De conformidad con el artículo 44.3 d) LOPD, se considera infracción grave: “La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.” Las sanciones previstas en el artículo 45 LOPD para infracciones graves es de multa de 40.001 a 300.000 euros. Por tanto, el propio legislador da una gran importancia a la confidencialidad de los datos de carácter personal al tipificar su infracción como grave. Ello es lógico, si se tiene en cuenta que la finalidad de la Ley es la de establecer mecanismos, medidas y herramientas que protejan los datos de carácter personal de las personas físicas en salvaguarda de los derechos fundamentales al honor y a la intimidad personal y familiar.

Así se pronuncia el artículo 1 LOPD: “La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.”

Debemos en este punto contrastar el régimen sancionador de la LOPD en cuanto a la vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal, con la reforma del Código Penal efectuada mediante la L.O. 1/2015, de 30 de marzo, por la que se ha modificado el artículo 197 del Código Penal relativo al descubrimiento y revelación de secretos, y que, así mismo, ha introducido los artículos 197 bis, ter, quater y quinquies del mismo cuerpo legal.

Pues bien, el artículo 197 quinquies del Código Penal prevé:

Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los artículos 197, 197 bis y 197 ter, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33”.

Y el artículo 197 del Código Penal, indica:

“1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

  1. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero. (…)
  2. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:
  3. a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o
  4. b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior.

  1. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se impondrán las penas previstas en su mitad superior (…).”

Se observa por tanto, cómo ha aumentado la preocupación del legislador en cuanto a la confidencialidad de los datos de carácter personal, en aras a la protección del derecho a la intimidad y a la propia imagen, al tipificar como delito imputable a una persona jurídica la revelación de secretos cometida por el responsable del fichero o el encargado del tratamiento de datos de carácter personal.

Corresponde ahora esperar a la articulación de los tribunales del principio “non bis in idem” que rige en los supuestos de hecho que conllevan tanto una sanción administrativa como penal, -dado que tiene preferencia la sanción penal sobre la administrativa-, en aquellas situaciones fácticas en las que el incumplimiento de la obligación del deber de guardar secreto sea susceptible, tanto de subsunción en el tipo penal, como en la infracción administrativa, así como el establecimiento de los criterios diferenciadores para su categorización como delito o como infracción administrativa. A salvo quedan, lógicamente, aquellos supuestos de concurrencia de la eximente de responsabilidad penal de las personas jurídicas, que comporta, de acuerdo con el artículo 31 bis, apartados 2 y 4 del Código Penal, la previa y efectiva implementación antes de la comisión del delito, del modelo de organización y gestión de prevención de riesgos penales, así como de las medidas de vigilancia y control que resulten idóneas.

maximo_luis

Máximo Luis Barrientos Fernández

Abogado y socio fundador del despacho de abogados de León BGYC Abogados.

 

Silvia Judith Álvarez González

Abogada y colaboradora del despacho de abogados de León BGYC Abogados

 

Leave a Comment

Start typing and press Enter to search