La Audiencia Nacional confirma que el Colegio de Arquitectos de Castilla y León cometió una infracción grave de la Ley de Protección de Datos
La Audiencia Nacional confirma en una sentencia que el Colegio de Arquitectos de Castilla y León (Coacyle) cometió una infracción grave al publicar en su web los nombres y apellidos de dos colegiados, cónyuges entre sí, a los que se había abierto un expediente que se iba a tramitar por la Comisión Deontológica. Según el artículo 49.1 de Real Decreto 327/2 que aprueba los estatutos de los colegios de arquitectos, las sanciones no pueden hacerse públicas hasta que no sean firmes. El documento, que formaba parte del orden del día de una asamblea estuvo accesible en el servidor desde el 25 de abril al 7 de mayo de 2014 y se consultó en 366 ocasiones. La publicación de los datos sensibles se produjo en el marco de las elecciones a la Junta Directiva, a las que concurría uno de los denunciantes.
La presunta infracción se denunció ante la Agencia Española de Protección de datos, que el 1 de junio de 2015 comprobó que en la página web del Coacyle, en abierto, en el área de noticias figuraba una fechada el 7 de abril de 2015 en la que se veían los datos de la denunciante incluidos su NIF, relacionados con un expediente disciplinario y un archivo pdf con la resolución del Consejo Superior de los Colegios de Arquitectos. Es decir, en dos ocasiones el Colegio facilitó datos sensibles de dos de sus colegiados. Sin embargo, resolvió que, a pesar de que se habían cometido dos infracciones graves, se podía sustituir la multa por un apercibimiento. El fallo no fue del agrado del Coacyle, que recurrió a la Audiencia Nacional.
En su defensa, el Colegio argumentó que los dos denunciantes habían dado su consentimiento de trato de datos personales en una autorización y que además está obligado a hacer pública su memoria anual en los seis primeros meses de cada año, y que ello incluye además de otras cuestiones información agregada y estadística sobre procedimientos sancionadores en fase de instrucción o que hayan alcanzado firmeza.
El fallo de la Audiencia Nacional es muy claro: “Se trata de información agregada y estadística, que debe dar cumplimiento a la normativa de protección de datos y que por tanto resulta incompatible con que pueda contener datos de carácter personal con los expedientes que se van a comenzar”, dice en su sentencia. “Una cosa es el ejercicio de funciones propias en el ámbito de las competencias administrativas y otra distinta publicar en una página web de libre acceso los nombres y apellidos de dos personas respecto de las que se va a dar cuenta a la comisión deontológica”.
Para el tribunal “es clara en definitiva, la trascendencia que sobre el crédito personal de los denunciantes tiene la información facilitada en la web y no puede ser minimizada, teniendo en cuenta el número posible de destinatarios por razón del medio utilizado”. Descarta además que la ficha de ‘Autorización’ firmada por los denunciantes, sea suficiente para suplir la necesidad de consentimiento. Concluye por tanto que los hechos “vulneran el principio de tratamiento de datos sin consentimiento y son constitutivos de la infracción tipificada en el artículo 44.3.b) de la LOPD , además descartan que, como entendió la Agencia Española de Protección de Datos, concurran requisitos para sustituir la tipificación –y por tanto la multa que lleva aparejada- por un apercibimiento. Toma especialmente en consideración que los hechos sí son graves y que los perjuicios a los afectados ”son evidentes“. Aun así, sólo toma en consideración uno de los dos hechos denunciados (una de las publicaciones).
La infracción lleva aparejadas multas que irían de los 40.001 a los 300.000 euros. Los denunciantes ya han solicitado que se ejecute la sentencia y que el Coacyle sea multado con 300.000 euros.