El tribunal establece que publicar en el Boletín Oficial del Estado las sanciones de la CNMV a empresarios revelando su identidad y cuantía de la multa no vulnera el derecho a la protección de datos. Los magistrados consideran que publicitar las irregularidades protege al inversor.

La identificación, con nombres y apellidos, de los consejeros de empresas sancionados por las autoridades de control de los mercados mediante su publicación en el Boletín Oficial del Estado (BOE) no solo no vulnera el derecho a la protección de datos, sino que es una práctica constitucionalmente protegida y que cumple la función de alertar a los inversores de las irregularidades cometidas. Así lo acaba de decretar el Tribunal Constitucional en un reciente fallo que blinda el señalamiento público de los infractores.

El fallo emitido por la Sala Segunda del Tribunal Constitucional, de la que ha sido ponente el magistrado Cándido Conde-Pumpido Tourón, abordaba el recurso de amparo presentado por el consejero y secretario del consejo de administración de una sociedad anónima contra una resolución de la Comisión Nacional del Mercado de Valores (CNMV) que ordenó publicar en el Boletín Oficial del Estado la imposición de una sanción contra él por la comisión de una infracción muy grave. En concreto, por el hecho de haber adquirido por cuenta de un tercero acciones de la sociedad disponiendo de información privilegiada sobre la misma. La publicación en el BOE revelaba la identidad del consejero sancionado y la magnitud de la multa, que ascendió a 30.000 euros, lo que el interesado sostenía que vulneraba su derecho a la protección de datos.

El Constitucional ha terminado desestimando el recurso tras analizar tanto la regulación española en esta materia como la europea. En su análisis, concretamente, los magistrados tienen en cuenta la legislación en materia de protección de datos; la normativa de supervisión y prevención de casos de manipulación de los mercados de servicios financieros, así como la que persigue el uso de información privilegiada; el régimen jurídico de publicaciones en el BOE. Así, de una parte, el tribunal concluye que la decisión de la Comisión Nacional del Mercado de Valores se adoptó "con pleno respeto a las garantías que rigen el ejercicio de la potestad administrativa sancionadora", recogida en los artículos 24.2 y 25 de la Constitución Española.

Es más, el Constitucional aclara que la publicación en el BOE de la sanción "constituye una consecuencia anudada a la imposición de las sanciones graves prevista por la ley, que tiene como finalidad primordial advertir a los inversores de una actuación que puede afectar al buen funcionamiento del mercado financiero", en este caso al producirse un caso de abuso de mercado y uso de información privilegiada. El fallo argumenta que esta publicidad de las resoluciones de la CNMV supone una garantía de transparencia y eficacia en las labores de supervisión que llevan a cabo este tipo de organismos públicos.

Los magistrados subrayan, además, que tanto la comunicación de la resolución de la CNMV a la Agencia Estatal Boletín Oficial del Estado como su publicación resolución en el diario oficial estatal, "constituyen supuestos de tratamiento de datos personales protegidos" por el artículo 18.4 de la Constitución Española.

A partir de ahí, la Sala Segunda del Tribunal Constitucional pasa a analizar si la publicación de la identidad del sancionado, su infracción y cuantía de la multa en el BOE cumple los principios de proporcionalidad y temporalidad. En este sentido, los magistrados destacan que la decisión de dar publicidad oficial a la sanción impuesta "cuenta con expresa habilitación legal" que respeta además el contenido esencial del derecho a la protección de datos personales en el artículo 18.4 de la Carta Magna. La decisión responde, además, "a fines directamente relacionados con las funciones legítimas de la CNMV y del BOE", por lo que la Sala termina dictaminando que la decisión es "idónea, necesaria y proporcionada".

Finalmente, el tribunal acaba estudiando si la aparición de estos datos en el Boletín Oficial del Estado atiende al principio de temporalidad que rige sobre el tratamiento de los datos personales. En este aspecto, los magistrados entienden que no hay incumplimiento, puesto que el mantenimiento y disponibilidad de acceso a estos datos queda sujeto a las exigencias de supresión que impone el llamado derecho al olvido, contemplado en la jurisprudencia del propio Tribunal Constitucional, y reconocido en la normativa que desarrolla el derecho a la protección de los datos personales.

En consecuencia, el dictamen del Constitucional blinda la publicidad que las autoridades supervisoras del mercado vienen haciendo sobre los infractores sancionados.

LA JUSTICIA LIMITA LA RESPONSABILIDAD DE LAS EMPRESAS EN LAS FILTRACIONES DE DATOS

El Tribunal Supremo estableció un dique de contención ayer en la responsabilidad de las empresas en casos de filtración de datos, dictaminando que su obligación no atiende a los resultados conseguidos sino a los medios puestos en marcha para evitar este tipo de brechas.

En concreto, la Sala III del Tribunal Supremo ha concluido que la obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes exige "la adopción de medidas necesarias para garantizar la seguridad de los datos de carácter personal", pero "no es una obligación de resultado sino de medios, sin que sea exigible la infalibilidad de las medidas adoptadas". Eso sí, el fallo matiza que "es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado".

El fallo confirma de hecho una sanción de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).

La Audiencia Nacional confirmó la sanción, y el Supremo admitió el recurso de casación de la empresa para responder a la cuestión de si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar. Los magistrados concluyen que la obligación de la empresa pasa por implementar los medios adecuados para evitar fugas de datos, pero limitan su responsabilidad cuando acaben produciéndose una vez desplegadas estas medidas.

Fuente Expansión