Lo que plantea el caso es si para la obtención de una dirección IP directamente de eMule se exige autorización judicial, cuando este dato lo hace público el usuario por el mero uso del programa. No obstante, hay algo más, no sólo se trata de la dirección IP, sino también de su vinculación con un identificador de fichero (hash) como fuente del mismo. En este asunto se trataba de imputar un delito de facilitación de difusión de pornografía infantil, pues la acusada compartió material de este tipo mientras se lo descargaba en su equipo. Aún cuando se eliminen dichos ficheros, el identificador del usuario de eMule y la IP de su equipo quedan asociados a los mismos, al menos durante un tiempo en el servidor. Se le puede seguir la pista, lo que no significa necesariamente que exista un acceso o intromisión en el ordenador de dicha persona para recabar esta información.

Por un lado, podría discutirse la validez en juicio de la información que proporciona el servidor de eMule en cuanto a las fuentes de los ficheros y sus direcciones IP (cuestión que también pregunta David Maeztu), así como si, al identificar la IP a un equipo informático, realmente el titular de la conexión a Internet es el responsable de los actos que se hagan con el mismo. El primer punto me parece más interesante, pero lo último no se suele discutir, aceptándose que el uso del equipo se realiza bajo la responsabilidad de dicha persona.

El Tribunal Supremo cita la doctrina del caso Malone del Tribunal Europeo de Derechos Humanos de 1984, reconocida también por el Tribunal Constitucional en una sentencia de 20 de mayo de 2002, según la cual los números de abonado en las comunicaciones telefónicas también están protegidos por el secreto de las comunicaciones. Aún cuando no se entrara en el contenido de las comunicaciones, la obtención de la información relativa a la existencia y momento de la comunicación telefónica requeriría autorización judicial. Se argumenta conforme a dicha doctrina en el sentido de que en realidad haría falta, para que se considerara una injerencia ilegítima, que se llegara a averiguar la identidad de las personas en concreto, no simplemente el número de teléfono. La actuación policial en este supuesto no es, por tanto, contraria a lo anterior, ya que en el momento en que se quiso averiguar la identidad de los titulares de la conexión a Intenet sí se solicitó autorización judicial.

La exclusión de la dirección IP del secreto de las comunicaciones quedaba clara con el artículo 12 de la LSSI en su redacción anterior a la vigente y, posteriormente, por la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (ésta no aplicable al momento de los hechos), así que entiendo que la sentencia es conforme con el marco legal en este punto. La autorización a la que se refiere la Ley 25/2007 habría que exigirla cuando los datos estén en poder de los prestadores de servicios de la sociedad de la información, y parece absurdo solicitarla cuando el usuario los hace accesibles y no se requiere ninguna injerencia para su obtención.

Se señala en su Fundamento Segundo:

Visto el panorama jurisprudencial y legislativo y trasponiéndolo al caso que nos ocupa se puede concluir lo siguiente: […]

b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.

Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3º C.E.

En cualquier caso, la postura oficial de la Agencia y el Supervisor Europeo de Protección de Datos es considerar que las direcciones IP son un dato personal, quedando protegidas por dicha regulación. Voy a pensar que la sentencia tiene incoherencias y que realmente también lo cree.

Lo que no puedo compartir es que el hecho de que el usuario haga público ese dato permita o justifique su captación y cualquier uso posterior, lo que parece deducirse del texto, por las peligrosas consecuencias que podría tener. De todos modos, como bien señala Sergio Carrasco, deben aplicarse a este caso las previsiones del artículo 22 de la LOPD para la recogida y tratamiento de datos para fines policiales por las Fuerzas y Cuerpos de Seguridad del Estado, que evitan solicitar el consentimiento de los afectados.

En conclusión, comparto la fundamentación de la sentencia en su mayor parte, con la advertencia de que la justificación del procedimiento seguido no puede extrapolarse a otros supuestos en los que se trate de investigar la comisión de otros ilícitos a partir de una dirección IP.

ACTUALIZACIÓN (11-06-2008): La sentencia del Supremo ya está disponible para todos los públicos en la web del CGPJ.

Algunas asociaciones de empresarios hosteleros de Madrid y Barcelona no estaban conformes con que la tarifa por remuneración de derechos de autor exigida por actos de comunicación pública no tuviera en cuenta en absoluto los actos de comunicación pública que se llevaban a cabo, así que decidieron ir a pleito. Los parámetros para la fijación de la cuantía correspondiente se basaban en el aforo o capacidad máxima de los salones, siendo irrelevante que los actos de comunicación cuya remuneración se pretende se lleven a cabo o no. No les sorprenda, también se puede fijar por metros de barra de bar, sobre un porcentaje de la recaudación de dicha barra, o sobre los ingresos por publicidad en televisión y radio.

Las sociedades de gestión están obligadas por ley a conceder autorizaciones no exclusivas de los derechos que gestionan -salvo causa justificada- en condiciones razonables y a cambio de remuneración. El mismo artículo 157.1.a) de la LPI establece que, a falta de acuerdo entre las partes, se aplicarán las tarifas generales establecidas unilateralmente por la sociedad de gestión, por lo que si la entidad correspondiente consigna judicialmente el importe fijado en las mismas, podrá hacer uso del repertorio. Estas tarifas tienen, por tanto, aplicación supletoria, y constituyen una garantía al usuario, además de utilizarse como parámetro para valorar los daños y perjuicios causados.

Según la sentencia, la propia ley alude, en los artículos 108.2 y 116.2, al carácter “equitativo” de las remuneraciones que deben pagarse por dichos usos, concepto que supone un límite en la determinación de los importes anteriores, ya sea por acuerdo o por medio de tarifas generales, en el sentido de que dicha cuantía debe tener su correlato en la actividad que se permite llevar a cabo al usuario del repertorio y en los ingresos que, por consiguiente, obtenga.

Nótese que los artículos 108.4 TRLPI y 116.2 TRLPI aparecen epigrafíados con la denominación “comunicación pública” lo cual demuestra que lo realmente relevante para el nacimiento del derecho a percibir la retribución es precisamente tal comunicación pública. Cualquier criterio que hubiera tenido en consideración, de manera directa o indirecta, los actos de comunicación pública hubiera podido considerarse equitativo desde el punto de vista que estamos contemplando. Sin embargo, el consistente sólo en el aforo o capacidad máxima de los salones en los que eventualmente se llevan a cabo actos de comunicación, se encuentra absolutamente desligado del número de actos de comunicación pública que en aquel se realicen así como de los ingresos que como consecuencia de tales actos se puedan obtener.

La nulidad supone que las entidades de gestión deben establecer otras tarifas sobre la base del criterio de equidad anterior, pasando el testigo el tribunal a la Comisión Mediadora y Arbitral de la Propiedad Intelectual.

Creo que es una sentencia muy interesante, no sólo por lo bien fundamentada que está, sino porque reconoce que la actividad de las entidades de gestión está sujeta a control. Abierta la veda, al margen de que la revisión de las tarifas deberían atenderla todas las entidades de gestión, y no esperar a que les demanden porque el número de pistas de una bolera poco tiene que ver a efectos de comunicación pública (véanse las tarifas de SGAE), debería extrapolarse este razonamiento a la fijación del canon compensatorio por copia privada, que también debe ser equitativo aunque parezca olvidarse.

ACTUALIZACIÓN (8-02-2008): Descubro hoy que la Comisión Nacional de la Competencia, a raíz de una denuncia de Gestevisión Telecinco, está investigando las tarifas de AIE por supuesto abuso de posición de dominio (nota de prensa (pdf)), considerando que su fijación en función de los ingresos del usuario puede no ser razonable ni equitativo.

Al margen de lo anterior, me parece oportuno señalar la necesidad, que recoge la sentencia, de que la empresa regule internamente el uso de los medios informáticos que se ponen al alcance del trabajador a fin de prevenir la utilización abusiva de los mismos con fines personales y regular dicho control por parte del empresario.

En este sentido, la empresa debería documentar una política interna, que comprendieran y firmaran los trabajadores, cuyos puntos podrían ser los siguientes:

1. Objeto y finalidad del documento
2. Definiciones
3. Propiedad y especificaciones del sistema informático (hardware y software)
4. Posición de la empresa en cuanto al uso de herramientas informáticas. Riesgos y ventajas
5. Acceso a los equipos y medidas de seguridad
• Asignación de claves y política de contraseñas
• Gestión de incidencias
• Gestión de copias de seguridad y respaldo
• Seguridad, confidencialidad y protección de datos personales
6. Correo electrónico
• Uso del correo personal y del correo de empresa
• Status legal de los mensajes
• Información que debe incluirse en el mensaje y firma
• Gestión de los mensajes
• Corrección y tono de los mensajes. Tratamiento de mensajes inapropiados
7. Restricciones a la navegación por Internet
8. Programas y dispositivos de control y monitorización
9. Procedimiento para el control y registro de equipos y transmisiones de datos por la red
10. Uso de soportes y dispositivos portátiles de almacenamiento
11. Uso de equipos informáticos fuera de la empresa
12. Deberes y responsabilidades del usuario
13. Consecuencias derivadas del incumplimiento de la Política
14. Implantación de la Política y medidas de seguimiento

Hay muchas posibilidades de regular el régimen económico-matrimonial (existe libertad de pacto), y en determinadas Comunidades Autónomas existen derechos forales o especiales que tienen sus peculiaridades, pero para resumir y ya que no quiero entreterme en cuestiones de Derecho de Familia, al final se trata de distinguir entre bienes privativos (de cada uno de los cónyuges) o bienes de la sociedad conyugal (del conjunto, ya se llamen gananciales, comunes, de conquista,…).

La propiedad intelectual la constituyen los derechos morales y de explotación sobre obras creativas. En tanto bienes -aunque inmateriales- habrá que ubicarlos en un caso u otro para poder adjudicarlos. Para no extenderme demasiado me centraré sólo en el Código Civil, aunque el planteamiento viene a ser similar en las demás regulaciones.

Nadie duda de que los derechos sobre las obras creadas con anterioridad al matrimonio pertenecen exclusivamente al autor, ni que los derechos morales, en tanto irrenunciables (por tanto intransmisibles), son siempre privativos, incluso los correspondientes a las obras creadas durante el matrimonio. Lo conflictivo son los derechos de explotación generados a partir de entonces.

No les voy a engañar, la mayoría de la doctrina y la jurisprudencia (aunque escasas ambas) consideran que igualmente son bienes privativos. Para ello se apoyan en el art. 1346.5 del Código Civil que establece que serán privativos “los bienes y derechos patrimoniales inherentes a la persona y los no transmisibles inter vivos”. Según la perspectiva romántica del derecho de autor, en el que la obra es el resultado de una creación individual y personalísima, parece imposible separar la vertiente económica de los derechos morales (entre otras, la sentencia 147/2007 de la Audiencia Provincial de Madrid). Me estoy refieriendo a la titularidad, cosa distinta serán los rendimientos de estos derechos de explotación, que no se discute sean gananciales.

No obstante, no estoy de acuerdo con ese criterio, y creo que es una interpretación forzada de una norma que en realidad no está pensada para la propiedad intelectual sino para otro tipo de percepciones que se obtienen en interés la persona y no derivan de su trabajo (determinadas indemnizaciones y pensiones), y que es consecuencia de un planteamiento de la propiedad intelectual centrado excesivamente en el autor y no en la explotación de los derechos. Y esta concepción, teniendo en cuenta la progresiva extensión del derecho anglosajón, está más bien en crisis.

La propia Ley de Propiedad Intelectual ya distingue la vertiente personalísima de la propiedad intelectual en los derechos morales, siendo los derechos de explotación perfectamente transmisibles y sin duda fruto del trabajo del artista. Desde ese punto de vista, los derechos con contenido económico generados durante el matrimonio entiendo deberían ser gananciales.

La Orden PRE/2740/2007, de 19 de septiembre, aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, y regula el Organismo de Certificación que permitirá la acreditación de laboratorios y la certificación la seguridad de los productos y sistemas de Tecnologías de la Información.

Los criterios de evaluación serán los recogidos en las siguientes normas:

1. Common Criteria for Information Technology Security Evaluation (abreviado, CC).
2. ISO/IEC 15408, Evaluation Criteria for IT Security.
3. Information Technology Security Evaluation Criteria (abreviado, ITSEC). Office for Official Publications of the European Communities.

La conclusiones que saco de la sentencia (pdf) son:

• La omisión de la información a que obliga el art. 10 de la LSSI, que dificulta la localización del titular de la web, implica asumir, colaborar y prolongar la difusión de los contenidos de terceros. Dicha falta de diligencia en cuanto a la identificación del titular de la web impide que entre en juego lo dispuesto en el art. 16 de la LSSI, debiendo asumir la correspondiente responsabilidad.
• No basta con ofrecer la dirección de correo electrónico como medio para ponerse en contacto con el titular de una web, debiendo acreditarse con pruebas objetivas que se puede acceder a dicha persona con facilidad y de modo efectivo. Curioso.

Personalmente creo que esa dificultad, que no imposibilidad, podría tenerse en cuenta para graduar el alcance del daño, una vez declarado, en el sentido de que pone trabas a los afectados y permite prolongar la lesión al honor, pero no me parece suficiente para excluir la aplicación de la limitación de responsabilidad del art. 16 de la LSSI.

Aunque, en todo caso, creo que hay que preguntarse antes si realmente debería aplicarse esa norma, porque estamos hablando de un foro, que no es un servicio que ofrece un proveedor de forma unilateral sino un espacio que se crea con las aportaciones de los usuarios (¿obra colectiva?), lo que excluiría la condición de terceros de éstos. Con esto retomo el tema que en un interesante cruce de emails comentamos Andy Ramos, David Maeztu y yo.

El efecto que va a tener, al menos, será que al fin se cumplirá con el deber de información que impone la LSSI.

El Juzgado de lo Mercantil entiende fundamentada la posición de Telefónica, pero quizá la norma española no sea compatible con las Directivas europeas sobre protección de datos, protección de los derechos de autor y sociedad de la información, planteando por tanto una cuestión prejudicial al Tribunal de Justicia de las Comunidades Europeas.

La conclusión general de la Abogado General (opinión que no condiciona el fallo) es que no existe tal incompatibilidad. Sobre esto volveré cuando termine el asunto. No obstante, al hilo creo interesante entresacar otras consideraciones:

Cabe dudar de que la conservación de los datos de tráfico de todos los usuarios [a propósito del art. 12.3 de la LSSI], en cierto modo como medida de precaución, sea compatible con los derechos fundamentales, en particular, porque se produce sin existir sospechas concretas. No obstante, como el régimen español es compatible con el tenor del artículo 15, apartado 1, de la Directiva 2002/58, puede presumirse que la conservación es legal, al menos a efectos del presente asunto. No cabe examinar, al hilo de estas dudas, una eventual injerencia en los derechos fundamentales en el marco del presente procedimiento, ya que éste no se refiere a la validez del artículo 15, apartado 1. Es posible que esta cuestión deba tratarse algún día por motivo de la Directiva 2006/24, que establece una obligación de Derecho comunitario de conservar datos. […]

La protección de los derechos de autor constituye un interés social, cuya importancia se ha subrayado reiteradamente, en particular por la Comunidad. Por tanto, puede reconocerse que este objetivo constituye un interés social fundamental, a pesar de que el interés de los titulares de los derechos no es, en primer lugar, de naturaleza pública sino privada. El filesharing ilícito efectivamente pone en peligro la protección de los derechos de autor. Sin embargo, no es indubitable que el filesharing privado, en particular cuando se produce sin ánimo de lucro, ponga en peligro la protección de los derechos de autor de forma tan grave que justifique la invocación de dicha excepción, ya que es discutible en qué medida el filesharing privado causa un perjuicio real. […]

El deber de protección del Estado no tiene un alcance tal que tengan que ponerse a disposición del titular del derecho medios ilimitados para esclarecer las infracciones. Al contrario, nada cabe objetar a que determinados medios de averiguación queden reservados a las autoridades estatales o no estén disponibles.

Texto íntegro, para quienes quieran entretenerse un rato.

La sanción se interpuso por vulneración del artículo 21 de la LSSI, infracción tipificada como grave en el artículo 38.3 b) de la misma Ley, considerando por tanto la Agencia que los mensajes de correo electrónico constituían comunicaciones comerciales (lo que no negó la denunciada) masivas, no existiendo autorización previa ni relación comercial entre las partes que justifique su envío (artículo 6 de la LOPD).

El dato significativo es que la recogida de los datos se produjo en el contexto de una feria comercial, entendiendo la sentencia que no reconocer que un intercambio de tarjetas comerciales supone una autorización expresa para el envío de comunicaciones resulta alejado de la vida comercial.

Es de reseñar, frente a lo señalado en la resolución recurrida, que la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico, en un contexto como es la feria del SIMO, a la que para promocionar su producto acudió el denunciado, con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta del consentimiento. Además, con posterioridad se ha constatado la remisión de un email aludiendo a la conversación mantenida en dicha feria, lo que abona la conclusión de que, en el caso concreto atendiendo a las circunstancias existentes, existe un consentimiento previo o autorización expresa, que no es necesario que figure por escrito, para la remisión de una comunicación comercial relacionada con el producto promocionado en la citada feria.

En cualquier caso, hubiera sido de interés haber contado con la versión de los hechos ofrecida por el afectado, versión que no puede ser suplida por el denunciante por no tener conocimiento ni de la entrega de la tarjeta de visita ni de la remisión del email en cuestión, no pudiendo perjudicar al denunciado la ausencia de dicha versión ya que es la Administración demandada la encargada de probar la infracción apreciada.

Por otro lado, la LSSI no define lo que sería un “envío masivo”, así que teniendo en cuenta el concepto de “masivo” de la Real Academia Española, está claro que el número de mensajes no constituye una gran cantidad, por lo que tampoco sería aplicable.
Es interesante además la reflexión acerca de la carga de la prueba que correspondía a la Agencia.

Cuando el denunciado manifiesta que cuenta con el consentimiento de los afectados para la remisión de los citados envíos comerciales y explica como lo ha obtenido (en la citada feria del Simo), es la Administración la que, ante la ausencia de denuncia de los afectados en cuestión, tiene la carga de traerlos al procedimiento para que den su versión de los hechos al objeto de poder acreditar de esa forma la falta de consentimiento que les atribuye. En caso de que los afectados hubieran negado haber otorgado dicho consentimiento, que la Ley no exige que sea escrito, correspondería al denunciado probar su existencia, como ha reiterado esta Sala en relación con el tratamiento inconsentido de datos.

Sin embargo, en este caso, que cabe reiterar no se trata de un envío masivo, se desconoce la versión de los hechos de los “afectados” que no han denunciado los hechos, o lo que es igual, si consintieron o no la remisión del envío en cuestión. Por tanto, al no haberse oído a los citados “afectados” no denunciantes (o a alguno de ellos) y haber manifestado el denunciado que contaba con su autorización para remitirles las citadas comunicaciones, explicando de forma razonable en que contexto obtuvo las citadas autorizaciones, no puede entenderse acreditada ni la infracción grave apreciada ni tampoco la leve del artículo 38.4 d) de la citada Ley, lo que conlleva dejar sin efecto la sanción impuesta y la consiguiente estimación del recurso interpuesto.

Cuantos más casos veo más difícil me parece ver un criterio uniforme y proporcionado en las sanciones de la Agencia.

Resulta llamativo además que en el texto de la propia sentencia once de las trece direcciones de correo vengan sin ocultar por parte del Centro de Documentación Judicial.

EGEDA presentó una demanda contra un hotel en reclamación de las cantidades dejadas de abonar en concepto de derechos de comunicación pública de obras audiovisuales y cinematográficas cuya gestión tenía encomendada. El hotel alegó que ya pagaba regularmente por estos conceptos a SGAE, no acreditándose que EGEDA gestionara intereses distintos de la primera, que además no había sido llamada al juicio a pesar de que podría verse afectada por la resolución (falta de litisconsorcio pasivo necesario). Se añadían otros argumentos como el clásico referente al carácter doméstico de las habitaciones de hotel.

Tanto en primera instancia como en apelación se estiman los argumentos del hotel, absolviéndole de pagar a la demandante.

“No aparece suficientemente probado en autos que la gestión de derechos cuyo importe viene satisfaciendo la demandada a la Sociedad General de Autores de España se refiera solamente a los de los autores, y no a los de los productores, y que, para el éxito de la acción ejercitada, la actora debería haber demostrado, no sólo su comisión de gestión de los derechos de los productores cinematográficos en cuya defensa dice actuar, sino también que estos derechos -de orden económico- no vienen siendo gestionados por la S.G.A.E. en lo que respecta a la comunicación pública llevada a cabo por la sociedad demandada”.

“Esta prueba no puede hacerse recaer sobre la demandada que razonablemente entiende que con el abono de los cuotas que le exige la S.G.A.E. tiene satisfechas sus obligaciones derivadas de los derechos que para los autores -en términos generales- generan la comunicación pública por medio de radio o televisión de las obras de aquéllos; y aún cuando la Ley autoriza la gestión por distintas entidades, de los derechos de naturaleza distinta, ello no permite que al deudor se le pueda exigir dos veces el cobro de derechos de explotación por un mismo concepto.”

En el contrato entre el hotel y SGAE expresamente se contemplaban las obras cinematográficas y audiovisuales, por lo que el hotel razonablemente podría pensar que efectivamente no tenía por qué pagar a EGEDA por el mismo concepto.

El caso es no es el mismo concepto, ya que EGEDA representa a los productores y SGAE no, cuyos derechos son distintos y tampoco son gratuitos. Así que finalmente se estima el recurso de EGEDA, aunque parcialmente y sólo en relación con las obras audiovisuales, salvándose el hotel en cuanto al pago por la comunicación pública de obras cinematográficas dado que no se acredita la cesión de derechos a los productores (tampoco respecto a las audiovisuales, si bien no es necesario ya que se presume realizada según la regulación del contrato de producción).

Si a esto añadimos las consideraciones de la Sentencia del Tribunal de Justicia de las Comunidades Europeas de 7 de diciembre de 2006 (Asunto prejudicial C-306/05), que establece que el carácter privado de los dormitorios de un establecimiento hostelero no impide que se considere que la comunicación de una obra en tales habitaciones, efectuada por medio de televisores, constituye un acto de comunicación al público en el sentido del art. 3, apartado 1, de la Directiva 2001/29, está claro que las entidades de gestión tendrán que renegociar el pago por estos derechos con los hoteles, cuyo coste se incrementará aún más al tener que satisfacer a todos los titulares de la cadena de producción.

No se ha hablado demasiado de este caso (Terra, aunque con gran imprecisión). En el año 2005, la OCU decidió hacer un estudio para evaluar la profesionalidad de médicos y farmacéuticos en la prescripción y dispensa de medicamentos. Unos encuestadores se hicieron pasar por pacientes y visitaron determinados centros médicos públicos y privados elegidos al azar, y a partir de las conclusiones obtenidas se elaboró un artículo que se publicó en la revista y en Internet. En dicho artículo se incluía un cuadro con los nombres de los médicos visitados, centro de trabajo y Comunidad Autónoma, junto con las valoraciones correspondientes.

El Consejo General de Colegios Oficiales de Médicos presentó una reclamación ante la Agencia Española de Protección de Datos que, tras la instrucción correspondiente, sancionó a OCU Ediciones con una multa de 6.010,12 euros por la comisión de la infracción prevista en el artículo 44.3.d) de la Ley, consistiendo en tratar datos personales o usarlos posteriormente con conculcación de los principios y garantías establecidos en dicha ley, siendo uno de esos principios fundamentales el del consentimiento.

La defensa de OCU en este recurso se basó en que la publicación de la lista de médicos no suponía un tratamiento sino una recogida, que en cualquier caso dichos datos se encuentran en fuentes accesibles al público, y que el derecho de información del artículo 20 de la Constitución prevalece sobre los derechos a la intimidad y a la protección de datos, argumentos que se desestiman en su totalidad porque a todas luces existió un tratamiento de datos (recogida, elaboración de encuestas y conclusiones, su valoración y posterior publicación), obteniéndose los datos de los afectados (y no de fuentes accesibles al público). Sobre el derecho a la información, es conjugable con la intimidad y protección de datos, pudiendo perfectamente la revista publicar los resultados del estudio omitiendo cualquier posible identificación de los encuestados.

Volviendo a la sanción, se impone porque ha habido un tratamiento de datos que conculca los principios y garantías de la LOPD, infracción que vendría a englobar desde la recogida de datos sin facilitar información alguna ni solicitar el consentimiento hasta su posterior publicación, constituyendo todo ello una unidad de acción que hace que se considere como una única infracción a pesar de haber varios afectados y varias actuaciones contrarias a la ley que individualmente constituyen auténticas infracciones.

Me parece una tomadura de pelo.

Del relato de los hechos se me ocurren las siguientes infracciones:

1. Recogida de datos incumpliendo el deber de información previa del artículo 5 de la LOPD.

2. Recogida y tratamiento de datos sin consentimiento de los afectados (artículo 6 de la LOPD), y además de forma engañosa o fraudulenta.

3. Cesión inconsentida de datos (artículo 11 de la LOPD), por la publicación de los mismos tanto en la revista como por Internet.

4. Falta de inscripción del correspondiente fichero en el Registro de la AEPD, aunque aquí me la juego porque podría existir un fichero general para la realización de estos estudios/encuestas.

Si consideramos que, en otras ocasiones, la AEPD ha considerado que un acto o tratamiento constituye una infracción, habría que entender que se han cometido tantas infracciones (salvo la última) como personas afectadas. La cosa sale algo más cara.

No obstante, no sólo se agrupa todo ello en una infracción (que además no está pensando en estas conductas), sino que a pesar de ser ésta grave, se sanciona como leve (y a la baja) sin explicación alguna.

Saquen sus propias conclusiones.