El referéndum del 1 de octubre celebrado en Cataluña no fue sólo polémico por realizarse contra la voluntad del Gobierno estatal o por las cargas policiales sucedidas durante la jornada. La discusión no sólo jurídica, sino también mediática, sobre la legitimidad del mencionado referéndum comenzó tiempo antes de celebrarse, con constantes mensajes cruzados y contradictorios entre ambas administraciones dirigidos a defender cada uno su postura.
¿Posible incumplimiento de la LOPD?
Entre estos mensajes hubo uno realmente polémico, que fue el posible incumplimiento de la LOPD ( Ley Orgánica de Protección de Datos) por la utilización del censo electoral para un referéndum presuntamente ilegal por estar recurrido ante el Tribunal Constitucional.
Si bien en un primer momento se cuestionaba la eventual responsabilidad de la Generalitat de Catalunya por la utilización de dicho censo, los principales medios se hacían eco el día 29 de septiembre, dos días antes de la celebración del referéndum, de que la Agencia Española de Protección de Datos advertía a quienes tuvieran pensado participar en las mesas del referéndum soberanista del 1-O en Catalunya podían incurrir en una infracción sancionada con hasta 300.000 euros. Este órgano estatal cimentó su tesis en que la ley del referéndum fue suspendida cautelarmente por el Tribunal Constitucional “dejando previamente sin efecto las resoluciones y los acuerdos adoptados”.
Así pues, este uso (desde contabilizar quiénes han ejercido el sufragio y quiénes no a trasladar a una tercera parte esta lista individualizada) se estaría llevando a cabo a título particular, realizándose en nombre propio tratamientos de datos de más de 5,5 millones de personas (según datos de 2015) sin la legitimación necesaria.
El tratamiento y la cesión de datos sin consentimiento suponen una vulneración de los artículos 6 y 11 de la Ley de Protección de Datos (LOPD)”, explicó la Agencia Española.
En el caso de que se produjeran estas infracciones -recordó el organismo-, los miembros de las mesas podrían ser sancionados, con multas de 40.001 a 300.000 euros, según el artículo 45.2 de la LOPD”.
Como es lógico, esta noticia alarmó a multitud de personas que, como ciudadanos de Cataluña, habían sido llamados a participar en las mesas electorales. Se multiplicaron las consultas durante esas 48 horas previas al referéndum para saber si por el hecho de participar podían ser sancionados directamente con multas por incumplimiento de la LOPD.
Pocas horas después de que la AGPD emitiera este comunicado, la Autoritat Catalana de Protecció de Dades replicó a la AGPD: según su versión, la competencia está en manos de la administración catalana, por lo que “las eventuales responsabilidades” del tratamiento de los datos personales por los miembros de las mesas también se traspasaría a la administración electoral catalana, pero en ningún caso a los ciudadanos participantes en las mesas como responsables directos.
¿Se puede sancionar entonces a los miembros de las mesas electorales que participaron en el referéndum del 1-O por un incumplimiento de la LOPD?
En este caso, y atendiendo a la literalidad de la Ley, nuestro criterio coincide al 100% con el criterio de la Agencia Catalana y consideramos que las advertencias de la AEPD carecen de fundamento. Más allá de las sanciones que se puedan imponer a la administración electoral (la responsable última del tratamiento de datos), tema que podríamos abordar en otra publicación, creemos que no tiene cabida en la Ley de Protección de Datos una sanción directa a los ciudadanos participantes en las mesas.
Si atendemos al literal de la Ley, los responsables del tratamiento de datos son, en todo caso, los únicos susceptibles de ser sancionados directamente por incumplimiento de la LOPD. Según el literal de la misma, el “Responsable del fichero o tratamiento es la persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento.”. Sin duda, en el supuesto que nos ocupa, quien decide sobre la finalidad, el contenido y uso del tratamiento es la administración electoral, en ningún caso el ciudadano que participa en las mesas que sólo cumple con las instrucciones que le facilita la primera.
Por su parte, el Real Decreto 1720/2007, de desarrollo de la LOPD, distingue del “responsable del tratamiento” al “usuario”, y dice que el usuario es el sujeto o proceso autorizado para acceder a datos o recursos. El usuario, según la Ley, accede a la información bajo las instrucciones o directrices del responsable del tratamiento, y no puede ser sancionado directamente por la Administración.
Bajo este criterio, que permanece prácticamente invariable desde la primera redacción de la Ley de Protección de Datos de 1992 (LORTAD), la AEPD, en caso de acreditarse un incumplimiento de la LOPD en el uso del censo electoral, debería sancionar al responsable del tratamiento (la administración electoral), que es la que decide sobre el tratamiento que se va a realizar, pero nunca al ciudadano participante en la mesa (que sería el usuario, y que es el que ejecuta las órdenes y actúa bajo las directrices e instrucciones de la administración electoral).
Otra cosa es que el participante en la mesa desoyera las instrucciones de la administración electoral e hiciera un mal uso de los datos, como por ejemplo, cediendo a un medio de comunicación la lista de participantes sin autorización de la administración electoral. En ese caso, este ciudadano sí podría ser responsable directo.
Xavi Saula
Procesal Civil y Mercantil
Concursal
Nuevas Tecnologías
Gestión de impagados y Morosidad