LOPD-ARTÍCULOS

    Este ha sido y será uno de los motivos fundamentales para las organizaciones en su decisión de proceder a adecuar los tratamientos de datos que viene realizando a las exigencias legales: muchas empresas ante la imposición de una sanción por parte de la Agencia Española de Protección de Datos se verían obligados a cesar su negocio o cuando menos, tendría un fuerte impacto en las mismas.  La LOPD regula tanto los tratamientos de datos por entes privados como por entes públicos (ficheros privados-ficheros públicos). La diferencia más importante entre ambos tipos de ficheros es en el ámbito de las consecuencias de las infracciones: si bien se mantienen las mismas conductas antijurídicas, lo que cambia es la sanción sobre las mismas. Veamos lo que dispone el artículo 46 de la LOPD:

“1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia Española de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas.”

    Es decir, mientras que un responsable de un fichero privado puede estar enfrentándose a una sanción de 600.000 € en el ámbito de un tratamiento para una Administración la Agencia lo que hace en primera instancia es dictar “una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción” o como mucho la proposición de “iniciación de actuaciones disciplinarias”. La verdad es que las consecuencias de los incumplimientos de la norma son radicalmente diferentes y entiendo yo, que injustos, puesto que la espada de Damocles debe de estar sobre la cabeza de todos los responsables de tratamiento, con independencia de si la titularidad sea pública o privada.

    De lo contrario, entiendo que el derecho a al autodeterminación informativa no está del todo garantizado. Como muestra un botón: leemos en El correo Digital que “Protección de Datos insta al San Millán a facilitar el historial médico de un paciente fallecido. La Agencia Española de Protección de Datos ha emitido una resolución por la que insta al Complejo Hospitalario San Millán-San Pedro de Logroño a que en el plazo de diez días entregue a la familia de un paciente fallecido el 5 de noviembre de 2004 todo su historial médico.” . El dato curioso y ciertamente preocupante es que  la Agencia de Protección de Datos ya había requerido al centro hospitalario para que facilitara el historial médico, cosa que se había incumplido totalmente, no facilitando el hospital absolutamente nada. 

    Y digo yo que si las Administraciones Públicas contemplaran un escenario con la posibilidad de sanciones económicas la cosa  pintaría de otra forma: no es posible que una Administración como responsable de un fichero tenga a una empresa que le preste un servicio (a efectos de la legislación de protección de datos sea considerado encargado de tratamiento) incurran el responsable y el encargado  en una conducta antijurídica y las consecuencias sean tan dispares para cada uno.