Funcionario cotilla vs Protección de datos
Indice
Ayer hablamos del “funcionario cotilla” en #OjoAlDato en Hoy por Hoy: El enlace al podcast (a partir del minuto 1:03:00).
Puedes encontrar aquí todos los audios de Ojo al Dato).
No hay multas para la administración pública que incumple la normativa de protección de datos: sólo se prevé la sanción de apercibimiento (que es algo así como un tirón de orejas público).
Ni la propia administración, ni el empleado público que infringe pueden ser castigados con el pago de sanciones económicas como las que afrontan las empresas, que como ya sabemos, en este ámbito pueden ser muy sustanciales.
Esta es una de las cosas que más sorprenden al ciudadano lego en protección de datos.
Hay razones objetivas que justifican esto: al final, el único resultado de imponer una sanción económica a una administración, es que parte de su presupuesto, se redirige a otro sitio. Pero por otro lado, se pierde un elemento incuestionable, que es el incentivo a cumplir la norma o lo que es lo mismo, a proteger eficazmente los datos de los administrados, es decir de todos nosotros.
Entonces:
¿Qué le puede pasar al funcionario cotilla?
(Sí, la nomenclatura técnica es “empleado público”, como siempre me corrige el amigo Javier Sempere, pero yo no sé nada del régimen de la función pública y creo que así me se entiende mejor).
En una interesante sentencia del Tribunal Supremo de la semana pasada, se condena a una enfermera (“la enfermera cotilla”) que accedió en Medina del Campo porque le dio la gana, a la historia clínica de una compañera con la que, por lo visto, no se llevaba muy bien, y a la de sus dos hijos, “por mera curiosidad”. Recalco este tema porque es importante.
La enfermera cotilleada, al acceder al historial de uno de sus hijos, vio el registro del acceso de la enfermera cotilla y la denunció, no ante la Agencia de Protección de Datos sino ante los tribunales de lo penal.
Pues bien, las dos primeras instancias judiciales declararon que no existió delito.
El Tribunal Supremo condena con dos años y seis meses de prisión por el delito de “acceso no autorizado a información reservada de carácter personal o familiar” (197.2 del Código Penal).
¿Por qué las dos primeras instancias no condenan y el Supremo sí?
Sin meternos en profundidades jurídico penales, la jurisprudencia venía exigiendo dos requisitos que últimamente han cambiado:
- Por una parte, que hubiera una intención específica de perjudicar. En la práctica eso significa que hay que probar que la enfermera fisgó para causar un daño, y si no puedes, no hay delito. Y asumo que por eso la defensa de la enfermera cotilla insistía en el elemento de que lo hacía por “curiosidad”. Pero últimamente el Supremo ha cambiado su jurisprudencia y ahora dice que la protección de un derecho fundamental no puede depender de que el delincuente quiera o no dañarlo específicamente. Así que ya no hace falta probar específicamente esto.
- Por otro lado, el delito exigía que se produjera un perjuicio. En cuanto a esto último el Supremo dice ahora que en la medida en que los datos fisgados, son datos de salud, o sea datos de categoría especial especialmente sensibles, esto ya constituye ese perjuicio que exige el código penal, y no hace falta indagar más.
¿La cárcel soluciona algo?
Por supuesto que no: la solución para evitar que los empleados públicos cotilleen no pueden ser las sanciones penales.
Por un lado tiene todo el sentido del mundo que el derecho penal tenga un alcance limitado: sólo las conductas más graves deben ser objeto de sanción penal. (Principio de intervención mínima penal, recordemos).
¿Qué está fallando aquí?
Uno: El nivel de cumplimiento en materia de protección de datos en la administración pública es lamentable.
Dos: Hace dos años en un curso de formación a un ayuntamiento, una enfermera me preguntaba sorprendida por qué no podía acceder a otras historias clínicas distintas de sus pacientes.
Peor aún: me dijo que cualquier enfermera o médico tenía acceso a cualquier historia clínica de cualquier castellano leonés con tarjeta del Sacyl, algo demencial desde el punto de vista del RGPD y la privacidad desde el diseño.
Aquí hay un problema de formación del personal, que hice todo lo posible por solucionar allí mismo, y otro de organización y procedimientos, sobre el que no soy muy optimista.
Conozco otros terribles ejemplos en la Junta de Castilla y León pero no puedo denunciarlos aquí sin que un montón de gentuza se aproveche inmediatamente. Sí los he comunicado a las personas competentes en administración y su respuesta por decir lo menos, no ha sido ni receptiva ni eficaz.
Y la culpa de todo esto no suele ser de los empleados, (públicos o no), sino de la organización.
En mi experiencia, a la gente no le gusta meterse en problemas, y si tiene claro que algo no se puede hacer, no lo hace.
Formación y concienciación
Por eso la clave es informar y formar.
Y es un hecho que la administración no tiene ni suficiente presupuesto ni suficiente personal, ni el personal tiene los incentivos adecuados para cumplir la normativa.
Es decir que, hablando en plata, si tú o yo fisgamos unos datos que no nos corresponde ver en el seno de nuestra empresa, y nos pillan, nos pueden hacer un despido procedente y además meter una buena sanción a nuestra empresa.
Y sin embargo: (i) la Agencia de Protección de Datos no puede castigar ni a la administración ni al funcionario que incumple la normativa, (ii) el Tribunal Supremo dice que para apreciar delito los datos objeto de acceso ilícito tienen que ser especialmente protegidos, y (iii) apenas se impone responsabilidad disciplinaria (que es la otra vía).
Y entre medias, los pobriños ciudadanos de a pie nos quedamos con los datos al aire como siempre, y parece que cualquier funcionario puede echar un ojo a nuestros datos siempre que sea “por mera curiosidad” y no sean datos expresamente sensibles.
¡Muy buena semana!
Jorge García Herrero
Abogado y Delegado de Protección de Datos