El tribunal establece que publicar en el Boletín
Oficial del Estado las sanciones de la CNMV a empresarios revelando su
identidad y cuantía de la multa no vulnera el derecho a la protección de datos.
Los magistrados consideran que publicitar las irregularidades protege al
inversor.
La identificación, con nombres y apellidos, de los
consejeros de empresas sancionados por las autoridades de control de los
mercados mediante su publicación en el Boletín Oficial del Estado (BOE) no solo
no vulnera el derecho a la protección de datos, sino que es una práctica
constitucionalmente protegida y que cumple la función de alertar a los
inversores de las irregularidades cometidas. Así lo acaba de decretar el
Tribunal Constitucional en un reciente fallo que blinda el señalamiento público
de los infractores.
El fallo emitido por la Sala Segunda del Tribunal
Constitucional, de la que ha sido
ponente el magistrado Cándido Conde-Pumpido Tourón, abordaba el recurso de
amparo presentado por el consejero y secretario del consejo de administración
de una sociedad anónima contra una resolución de la Comisión Nacional del
Mercado de Valores (CNMV) que ordenó publicar en el Boletín Oficial del Estado
la imposición de una sanción contra él por la comisión de una infracción muy
grave. En concreto, por el hecho de haber adquirido por cuenta de un tercero
acciones de la sociedad disponiendo de información privilegiada sobre la misma.
La publicación en el BOE revelaba la identidad del consejero sancionado y la
magnitud de la multa, que ascendió a 30.000 euros, lo que el interesado
sostenía que vulneraba su derecho a la protección de datos.
El Constitucional ha terminado desestimando el
recurso tras analizar tanto la regulación española en esta materia como la
europea. En su análisis,
concretamente, los magistrados tienen en cuenta la legislación en materia de
protección de datos; la normativa de supervisión y prevención de casos de
manipulación de los mercados de servicios financieros, así como la que persigue
el uso de información privilegiada; el régimen jurídico de publicaciones en el
BOE. Así, de una parte, el tribunal concluye que la decisión de la Comisión
Nacional del Mercado de Valores se adoptó "con pleno respeto a las
garantías que rigen el ejercicio de la potestad administrativa sancionadora",
recogida en los artículos 24.2 y 25 de la Constitución Española.
Es más, el Constitucional aclara que la
publicación en el BOE de la sanción "constituye una consecuencia anudada a
la imposición de las sanciones graves prevista por la ley, que tiene como
finalidad primordial advertir a los inversores de una actuación que puede
afectar al buen funcionamiento del mercado financiero", en este caso al
producirse un caso de abuso de mercado y uso de información privilegiada. El
fallo argumenta que esta publicidad de las resoluciones de la CNMV supone una
garantía de transparencia y eficacia en las labores de supervisión que llevan a
cabo este tipo de organismos públicos.
Los magistrados subrayan, además, que tanto la comunicación de la
resolución de la CNMV a la Agencia Estatal Boletín Oficial del Estado como su
publicación resolución en el diario oficial estatal, "constituyen
supuestos de tratamiento de datos personales protegidos" por el artículo
18.4 de la Constitución Española.
A partir de ahí, la Sala Segunda del Tribunal
Constitucional pasa a analizar si la publicación de la identidad del
sancionado, su infracción y cuantía de la multa en el BOE cumple los principios
de proporcionalidad y temporalidad. En este sentido, los magistrados destacan
que la decisión de dar publicidad oficial a la sanción impuesta "cuenta
con expresa habilitación legal" que respeta además el contenido esencial
del derecho a la protección de datos personales en el artículo 18.4 de la Carta
Magna. La decisión responde, además, "a fines directamente relacionados
con las funciones legítimas de la CNMV y del BOE", por lo que la Sala
termina dictaminando que la decisión es "idónea, necesaria y
proporcionada".
Finalmente, el tribunal acaba estudiando si la
aparición de estos datos en el Boletín Oficial del Estado atiende al principio
de temporalidad que rige sobre el tratamiento de los datos personales. En este
aspecto, los magistrados entienden que no hay incumplimiento, puesto que el
mantenimiento y disponibilidad de acceso a estos datos queda sujeto a las
exigencias de supresión que impone el llamado derecho al olvido, contemplado en
la jurisprudencia del propio Tribunal Constitucional, y reconocido en la
normativa que desarrolla el derecho a la protección de los datos personales.
En consecuencia, el dictamen del Constitucional
blinda la publicidad que las autoridades supervisoras del mercado vienen
haciendo sobre los infractores sancionados.
LA JUSTICIA LIMITA LA RESPONSABILIDAD DE LAS
EMPRESAS EN LAS FILTRACIONES DE DATOS
El Tribunal Supremo estableció un dique de
contención ayer en la responsabilidad de las empresas en casos de filtración de
datos, dictaminando que su obligación no atiende a los resultados conseguidos
sino a los medios puestos en marcha para evitar este tipo de brechas.
En concreto, la Sala III del Tribunal Supremo ha
concluido que la obligación de las empresas de garantizar la seguridad de los
ficheros que contengan datos personales de sus clientes exige "la adopción
de medidas necesarias para garantizar la seguridad de los datos de carácter
personal", pero "no es una obligación de resultado sino de medios,
sin que sea exigible la infalibilidad de las medidas adoptadas". Eso sí,
el fallo matiza que "es exigible la adopción e implantación de medidas
técnicas y organizativas, que conforme al estado de la tecnología y en relación
con la naturaleza del tratamiento realizado y los datos personales en cuestión,
permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no
autorizado".
El fallo confirma de hecho una sanción de 40.000
euros impuesta por la Agencia de Protección de Datos a una empresa
distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no
autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en
la que figuraban datos personales de los clientes (nombre y apellidos, datos
económicos, de domiciliación bancaria y firma).
La Audiencia Nacional confirmó la sanción, y el
Supremo admitió el recurso de casación de la empresa para responder a la
cuestión de si las infracciones de la Ley de Protección de Datos por fallos de
las medidas de seguridad que puedan cometer los empleados de una persona
jurídica deben examinarse en atención al resultado y, por lo tanto, imputarse a
la persona jurídica de la que dependa el empleado, con independencia de los
medios y medidas de prevención que hubiera podido adoptar. Los magistrados
concluyen que la obligación de la empresa pasa por implementar los medios
adecuados para evitar fugas de datos, pero limitan su responsabilidad cuando
acaben produciéndose una vez desplegadas estas medidas.
Fuente Expansión