HECHOS
Procedimiento nº.: PS/00645/2014
ASUNTO: Recurso de Reposición Nº RR/00287/2015
Examinado el recurso de reposición interpuesto por la entidad OVAVIT S.L. contra la resolución dictada por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00645/2014, y en virtud de los siguientes,
HECHOS
PRIMERO: Con fecha 24 de febrero de 2015, se dictó resolución por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00645/2014 , en virtud de la cual se imponía a la entidad OVAVIT S.L., una sanción de 20.000 €, por la vulneración de lo dispuesto en el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), infracción tipificada como grave en el artículo 44.3.k), de conformidad con lo establecido en el artículo 45 .1 .2 .4 y .5 de la citada Ley Orgánica.
Dicha resolución, que fue notificada al recurrente en fecha 3 xx xxxxx de 2015, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en el artículo 127 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00645/2014, quedó constancia de los siguientes:
<<PRIMERO: En agosto de 2014 se realizaron visitas por la Inspección de esta Agencia Española de Protección de Datos a las entidades Fiv Marbella y Ovavit en la que se pusieron de manifiesto los siguientes hechos:
La entidad FIV MARBELLA es una clínica dedicada a técnicas de reproducción asistida, fecundación in vitro, inseminación, etc., que presta estos servicios desde junio de 2012.
En el mes xx xxxxx de 2013, se crea la entidad OVAVIT, cuya actividad es la de banco de óvulos, denominación esta que cambia con fecha 31 de julio de 2013, mediante Orden del Ministerio de Sanidad, a Unidad Asistencial de Recuperación de Ovocitos.
FIV MARBELLA y XXXXXX suscribieron un contrato de colaboración y prestación de servicios el 27 xx xxxxx de 2013.
OVAVIT, ha suscrito contrato de prestación de servicios con 15 Centros Colaboradores, dedicados a las especialidades de “Obstetricia, Ginecología y Reproducción”, a quienes presta los servicios de captación y selección de donantes de ovocitos y la posterior recuperación, vitrificación y transporte de los ovocitos para su uso en el Centro Colaborador.
Ambas entidades cuentan con su respectivo fichero de datos de carácter personal de sus pacientes y de las donantes de óvulos que está inscrito en el Registro General de Protección de Datos.
SEGUNDO: Desde OVAVIT, se remite la siguiente información a los Centros Colaboradores, relativa a las donantes de los óvulos que les han sido enviados:
- Código de referencia de la donante
- País de origen
- Fecha de nacimiento
- Nivel de estudios
- Hijos previos
- Raza
- Color xx xxxx
- Color de pelo y textura
- Color de ojos
- Talla y peso
- Índice de masa corporal
- Grupo sanguíneo y Rh
- Fotografía de la donante
- Resultado de pruebas médicas realizadas a la donante.
- Resultados de visita ginecológica
- Resultado de visita psicológica
Toda la información, desde OVAVIT a los Centros Colaboradores y a la inversa, es remitida vía e-mail, comprimida mediante WINZIP y accesible mediante una clave que es proporcionada telefónicamente, que debe contener al menos ocho caracteres alfanuméricos.
TERCERO: Para la donación de óvulos se utiliza el modelo de contrato de la Sociedad Española de Fertilidad denominado “Contrato de donación de ovocitos con fines reproductivos”, suscribiendo la donante los siguientes documentos:
Modelo de contrato donde constan sus datos personales y los del Centro donde se realizará la punción de los ovarios, en este caso, FIV MARBELLA. El contrato dispone de una cláusula de Protección de Datos donde se le informa de la inclusión de sus datos en el fichero DONANTES y los derechos ARCO que le asisten.
Cláusula de Protección de Datos en la que, se le vuelve a informar de la inclusión de sus datos en los ficheros de FIV MARBELLA y de su cesión a la empresa OVAVIT y a posibles Centro Colaboradores, así como de dónde podrá ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición.
Consentimiento Donación de Ovocitos, en el que se le informa sobre aspectos médicos, así como de que su información será custodiada en el más estricto secreto. Asimismo se informa de que en circunstancias extraordinarias que comporten peligro para la salud del nacido, o cuando proceda, de acuerdo con las leyes procesales penales, podrá revelarse la identidad de las donantes, con carácter restringido y sin que ello modifique nunca la filiación establecida previamente.
También se le informa de que los óvulos, así como los datos personales e historial médico, podrán ser mandados a Centros Colaboradores de OVAVIT, S.L. (con quien FIV MARBELLA, S.L. tiene un contrato de Prestación de servicios), tanto nacionales
como internacionales dentro y fuera del Espacio Europeo.
CUARTO: En la visita de inspección llevada a cabo por esta Agencia Española de Protección de Datos en agosto de 2014 en las dependencias de las dos entidades imputadas, se accedió al Sistema informático y se pudo comprobar que la aplicación VREPRO, dispone de un procedimiento de usuario y contraseña para acceder. Se accede mediante el usuario y la contraseña del Director, verificándose que:
Existen distintos perfiles para cada tipo de usuario de ambos centros.
Existe un registro de accesos a la aplicación donde consta: Usuario, Aplicación, Fecha y Hora, Origen actividad, Tipo de actividad, Información a la que se accede, Información del registro, Máquina, Servidor y Dirección IP.
Se accedió al registro de una donante al azar y se comprueba que contiene: datos de identidad, datos médicos, fechas de visitas, una fotografía e información recogida en el test previo que cumplimenta la donante.
En la inspección se accedió la bandeja de correo electrónico donde se almacenan los e- mail remitidos a los Centros Colaboradores, se eligió uno al azar, y se comprobó que contiene cuatro ficheros adjuntos, a los que solo se accede mediante una clave.
QUINTO: En la visita de inspección se accedió al archivo de las historias clínicas en papel, comprobando que se encuentra en un despacho cerrado con llave que custodia el personal de administración, en su interior hay dos archivadores metálicos cerrados con llave. Se elige una historia al azar que contiene la siguiente documentación: cuestionario que cumplimenta la posible donante, analíticas, pruebas médicas, contrato, consentimiento, informes médicos y documento denominado “Cláusula de Protección de Datos”.
El representante de ambas entidades manifiesta, que a la Historia clínica solo acceden los profesionales con perfil sanitario: médicos, enfermeras y embriólogos. Cuentan con un registro de accesos al archivo de historias clínicas,
SEXTO: Se verifica durante la citada inspección, la existencia del Documento de Seguridad al que hace referencia el artículo 88 del Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, donde constan las medidas de seguridad establecidas por dichas entidades para asegurar la salvaguarda y confidencialidad de los datos que obran en su poder, para el servicio prestado a los pacientes.
Todos los trabajadores de ambas entidades firman la Cláusula de Confidencialidad a la firma de su contrato de trabajo, verificándose que existen todos los documentos firmados por los trabajadores de ambas entidades.>>
TERCERO: La entidad OVAVIT S.L. ha presentado en fecha 26 xx xxxxx de 2015, en
esta Agencia Española de Protección de Datos, recurso de reposición fundamentándolo, básicamente, en lo siguiente:
“… Señalar de igual forma que paralelo al presente procedimiento administrativo la Consejería de Igualdad, Salud y Políticas Sociales inició expediente sancionador n° 055/14-S, entre otros motivos por el mismo que se nos sanciona por ésta administración. (…)
dicha sanción trae causa de los siguientes hechos probados: (…)
la ruptura de las condiciones de confidencialidad de los datos de la donante, al enviar una fotografía de la misma, supone un incumplimiento de:
-Artículo 5.4 de la Ley 14/2006. de 26 xx xxxx, sobre técnicas de reproducción humana asistida: ‘La donación será anónima y deberá garantizarse la confidencialidad de los datos de identidad de los donantes por los bancos de gametos, así como, en su caso, por los registros de donantes y de actividad de los centros que se constituyan”. (…)
Se produce por lo tanto una doble imposición de sanción por los mismos hechos por normas administrativas diferentes en base a unos mismos hechos probados, extremo específicamente prohibido por la legislación tanto nacional como internacional. al encontrarnos ante un caso de los establecidos por nuestra normativa y calificado como “NON BIS IN IDEM”. (…)
Principio de proporcionalidad y no motivación del importe de la sanción: (…)
Por otra parte, la sanción impuesta de veinte mii (20.000) euros NO HA SIDO MOTIVADA la AEPD no ha indicado cuáles han sido los criterios para establecer esta sanción. Resulta absolutamente incongruente que la Junta de Andalucía haya establecido que la infracción merezca una sanción de mil (1.000) euros, y sin embargo, la Administración estatal haya fijado la sanción en veinte mil (20.000) euros. Atenta contra el principio de proporcionalidad y contra las más esenciales normas de la lógica. (…)
El volumen del negocio o actividad del infractor: OVAVIT, SL. es una empresa de reciente creación, que cuenta con escasas posibilidades económicas y financieras de subsistir en caso de que se ejecute la sanción impuesta en el presente procedimiento sancionador. (…)
A mayor abundamiento, conviene poner de relieve que OVAVIT SL tiene una facturación mínima, a la luz de las declaraciones del impuesto de sociedades de años precedentes. Una sanción de veinte mil (20.000) euros supondría el cierre inmediato de todas sus instalaciones, y el cese de su actividad comercial y mercantil. (…)
resulta excesivo que la sanción impuesta a OVAVIT SL alcance los veinte mil (20.000) euros, más aún cuando ha quedado sobradamente demostrado que se ha tratado en todo caso de una actuación imprudente, sin mala fe, motivada por el desconocimiento de la norma y con una rectificación inmediata. (…)
La sanción que se realiza, entendemos conculca el principio de orooorcionalidad de la sanción (…), pues no olvidemos que el funcionamiento de la mercantil es RECIENTE,
no se ha causado perjuicio alguno, ni consta que se haya visto afectado tercero por los hechos que se quieren sancionar, con lo cual procedería la aplicación de una sanción menor al tener la infracción el carácter de leve, cuando por su escasa significación, transcendencia o inexistencia de perjuicio ocasionado a terceros no deban ser calificadas como tales. Por tanto habría que tener en cuenta el verdadero fin de la sanción, que no es simplemente el recaudatorio, sino también el de evitar que se cometan infracciones mediante la coerción.”
Concluye el escrito de recurso solicitando que se acuerde el archivo del procedimiento eximiéndole de las responsabilidades administrativas que se le imponen, con un simple apercibimiento y de forma subsidiaria, se aplique la sanción en su grado mínimo.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC).
II
En relación con las manifestaciones efectuadas por la entidad OVAVIT S.L., reiterándose básicamente, en las alegaciones ya presentadas a lo largo del procedimiento sancionador, debe señalarse que todas ellas ya fueron analizadas y desestimadas en los Fundamentos de Derecho del III al V ambos inclusive, de la Resolución recurrida, tal como se transcribe a continuación:
<<III
Se imputa a las entidades FIV MARBELLA S.L. y OVAVIT S.L., una infracción del artículo 11 de la LOPD, que dispone en sus apartados 1 y 2 lo siguiente:
“1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no será preciso:
a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos xx xxxxxxx accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica”.
Añade el punto 3 del citado artículo 11 de la LOPD que “será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar”.
Son elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.
Por otra parte, corresponde siempre al responsable del tratamiento comprobar que tiene el consentimiento del afectado cuando realiza algún tratamiento con los datos personales de éste, así, en este sentido la Audiencia Nacional, en sentencia de fecha 31 xx xxxx de 2006 señalaba: “Por otra parte es el responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la ley”.
En el presente caso se ha acreditado, en la visita realizada por la Inspección de Datos de esta Agencia en agosto de 2014, que la entidad Fiv Marbella es una clínica dedicada a técnicas de reproducción asistida y que la actividad de la entidad Ovavit es la de banco de óvulos. Que ambas entidades suscribieron un contrato de colaboración y prestación de servicios con fecha 27 xx xxxxx de 2013.
A su vez, la entidad Ovavit ha suscrito contratos de prestación de servicios con 15 centros colaboradores dedicados a las especialidades de obstetricia, ginecología y reproducción. Ovavit presta los servicios de captación y selección de donantes de
ovocitos y la posterior recuperación, vitrificación y transporte de los ovocitos para su uso en el Centro Colaborador.
En la visita de inspección realizada por esta AEPD a las dependencias de ambas entidades se puso de manifiesto que desde Ovavit se envía a los centros colaboradores una serie de datos relativos a las donantes de los óvulos entre los que se encuentra una fotografía de la donante.
Los representantes de ambas entidades han manifestado que las donantes firman una cláusula de protección de datos en la que autorizan la cesión de sus datos personales (nombre, foto, DNI, etc) para que puedan ser cedidos a terceros que actúan como colaboradores para dar cumplimiento al servicio sanitario requerido.
La ley 14/2006, de 26 xx xxxx, sobre técnicas de reproducción humana asistida establece en su artículo 1.1 su objeto:
“a) Regular la aplicación de las técnicas de reproducción humana asistida acreditadas científicamente y clínicamente indicadas.
b) Regular la aplicación de las técnicas de reproducción humana asistida en la prevención y tratamiento de enfermedades de origen genético, siempre que existan las garantías diagnósticas y terapéuticas suficientes y sean debidamente autorizadas en los términos previstos en esta Ley.
c) La regulación de los supuestos y requisitos de utilización de gametos y preembriones humanos crioconservados.”
En esta ley son múltiples las referencias a la confidencialidad y anonimato de los donantes que han de observarse en este ámbito.
Así, en el artículo 3 sobre “Condiciones personales de la aplicación de las técnicas”, se establece en su punto 6:
“Todos los datos relativos a la utilización de estas técnicas deberán recogerse en historias clínicas individuales, que deberán ser tratadas con las debidas garantías de confidencialidad respecto de la identidad de los donantes, de los datos y condiciones de los usuarios y de las circunstancias que concurran en el origen de los hijos así nacidos. No obstante, se tratará de mantener la máxima integración posible de la documentación clínica de la persona usuaria de las técnicas”.
El artículo 5.5 de la citada Ley 14/2006, establece que:
“La donación será anónima y deberá garantizarse la confidencialidad de los datos de identidad de los donantes por los bancos de gametos, así como, en su caso, por los registros de donantes y de actividad de los centros que se constituyan.
Los hijos nacidos tienen derecho por sí o por sus representantes legales a obtener información general de los donantes que no incluya su identidad. Igual derecho corresponde a las receptoras de los gametos y de los preembriones.
Sólo excepcionalmente, en circunstancias extraordinarias que comporten un peligro cierto para la vida o la salud del hijo o cuando proceda con arreglo a las Leyes procesales penales, podrá revelarse la identidad de los donantes, siempre que dicha revelación sea indispensable para evitar el peligro o para conseguir el fin legal propuesto. Dicha revelación tendrá carácter restringido y no implicará en ningún caso publicidad de la identidad de los donantes.”
En el presente caso ha quedado acreditado que por parte de la entidad Ovavit se envía a los centros colaboradores una serie de datos relativos a las donantes de los óvulos entre los que se encuentra una fotografía de la donante.
La imagen de una persona física constituye un dato de carácter personal toda vez que puede vincularse a una persona física identificada o identificable. La información suministrada por Ovavit a los centros colaboradores, en lo relativo al dato de la fotografía de la donante, se refiere por tanto a personas identificables. El envío del dato de carácter personal de la fotografía de la donante de óvulos a los centros colaboradores, constituye una actividad que permite la identificación de la persona. Por esta razón se considera que no se cumple con la exigencia de anonimato y confidencialidad que debe regir esta práctica según lo previsto en la mencionada ley 14/2006 y en su artículo 5.5 que prevé que “La donación será anónima y deberá garantizarse la confidencialidad de los datos de identidad de los donantes por los bancos de gametos, así como, en su caso, por los registros de donantes y de actividad de los centros que se constituyan.”
El representante de las entidades denunciadas ha manifestado “que siempre se ha garantizado la confidencialidad de la identidad de la donante, ya que ésta ha autorizado de forma expresa que los datos sean facilitados a las empresas colaboradoras, como se recoge en el contrato entre la donante y el centro”. Si la cesión del dato de la fotografía permite la identificación de la donante, la confidencialidad de su identidad no puede garantizarse por el hecho de que esa persona autorice la cesión de sus datos. En este caso lo que ocurre es que al entregar la fotografía a los centros colaboradores se está identificando a la donante en contra de la exigencia de anonimato prevista en la ley y que el consentimiento recabado al respecto no permite la cesión de un dato de carácter personal que la ley prohíbe.
Por otra parte, no se acredita tampoco la concurrencia de las circunstancias excepcionales previstas en el mismo artículo 5.5 de la ley 14/2006, en las que se podrá revelar la identidad de los donantes.
En el presente caso nos encontramos ante un tratamiento de datos personales, la imagen de una persona, en su versión de cesión o comunicación a terceros: la cesión es, según el art. 3.i) LOPD, “toda revelación de datos realizada a una persona distinta del interesado” cesión que la ya citada ley 14/2006, prohíbe expresamente.
Los datos personales que se custodian en los archivos de las entidades denunciadas, son datos de carácter personal que, por lo tanto, están sujetos al ámbito de aplicación de la LOPD por ser datos de personas físicas. La LOPD atribuye la condición de responsables de las infracciones a los responsables de los ficheros (art. 43), concepto que debe integrarse con la definición que de los mismos recoge el artículo 3.d). Este precepto, innovando respecto de la Ley Orgánica 5/1992, incluye en el concepto de responsable tanto al que lo es del fichero como al del tratamiento de datos
personales. Conforme al artículo 3.d) de la LOPD, el responsable del fichero o del tratamiento es “la persona física o jurídica (...) que decida sobre la finalidad, contenido y uso del tratamiento”.
En la misma línea el artículo 5.1 q) del RDLOPD define como responsable del fichero o del tratamiento a la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.”
Por lo que debe entenderse que la expresión “responsables de los ficheros”, contenida en el precitado artículo 43.1 de la LOPD, se refiere tanto a los responsables del fichero como a los responsables de los tratamientos.
Dentro de la doctrina expuesta y de conformidad con las definiciones citadas en el presente caso, se considera que la entidad Ovavit es, según lo que establece el citado artículo 5.5 de la ley 14/2006, la responsable del fichero y del tratamiento de los datos de carácter personal de las donantes, de quienes no se garantiza la confidencialidad de su identidad según dispone el citado artículo al exponer que: los bancos de gametos garantizarán la confidencialidad de los datos de identidad de los donantes.
En este sentido cabe exonerar de responsabilidad a la entidad Fiv Marbella, toda vez que la Ley exige el requisito de la garantía de confidencialidad de la identidad de las donantes a los bancos de gametos, que en esta ocasión se identifica con la entidad Ovavit.
En este caso, la entidad Ovavit cede los datos de las donantes a los centros colaboradores sin que se garantice la confidencialidad de sus datos de identidad, por lo que debe entenderse vulnerado el artículo 11 de la LOPD.
IV
El artículo 44.3.k) de la LOPD especifica que constituye infracción de carácter grave: “La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave”.
Como ya se ha señalado, la actuación de la entidad OVAVIT es constitutiva de infracción del artículo 11.1 de la LOPD, por comunicar datos personales de las donantes de óvulos a los centros colaboradores, actuación con la que no se garantiza la confidencialidad de su identidad según lo previsto en la ley 14/2006, hecho que encuentra su tipificación en el artículo 44.3.k).
V
El artículo 45 .1 .2 .4 y .5 de la LOPD establece lo siguiente:
“1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000
euros”.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a. El carácter continuado de la infracción.
b. El volumen de los tratamientos efectuados.
c. La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d. El volumen de negocio o actividad del infractor.
e. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f. El grado de intencionalidad.
g. La reincidencia por comisión de infracciones de la misma naturaleza.
h. La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
i. La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j. Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
a. Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
b. Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c. Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d. Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e. Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.”
De conformidad con el análisis realizado se considera que se ha incurrido en la infracción grave descrita por parte de la entidad Ovavit. Así, ha quedado acreditado que esta entidad cede datos de carácter personal que identifican a las donantes de óvulos, a
los centros colaboradores, actuación que no garantiza la confidencialidad de sus datos de identidad según lo exigido en la ley 14/2006 por lo que debe entenderse vulnerado el artículo 11 de la LOPD.
El nuevo apartado 5 del artículo 45 de la LOPD deriva del principio de proporcionalidad de la sanción y permite establecer "la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate", pero para ello es necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad del imputado, o bien de la antijuridicidad del hecho, como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo, o bien de alguna otra de las circunstancias que el mismo precepto cita.
Atendidas las circunstancias del presente caso, no puede obviarse que en esta ocasión se aprecia una cualificada disminución de la culpabilidad en la actuación de la entidad imputada a efectos de la aplicación del artículo 45 .5. En este caso se considera que concurren significativamente los supuestos de los apartados b y d del punto 5 del artículo 45 porque Ovavit ha manifestado, en las alegaciones al acuerdo de iniciación de este procedimiento, tanto que reconoce su culpabilidad como que ha regularizado la situación irregular de forma diligente porque ha cesado en la citada práctica y no se remite la fotografía de las donantes y ello, según sus propias manifestaciones, con objeto de que este extremo sea valorado convenientemente.
Todo ello permite apreciar la existencia de motivos suficientes para la aplicación de la facultad contemplada en el artículo 45.5 de la LOPD y establecer la sanción en la escala de infracciones que precede inmediatamente en gravedad a la aquí imputada, las infracciones leves.
Por otra parte, el art. 45.4 recoge una serie de criterios relativos a la aplicación del principio de proporcionalidad en la graduación del importe de la sanción, según las indicaciones del art. 131.3 de la LRJPAC (Ley 30/92 de 26 de noviembre), que establece: “en la determinación normativa del régimen sancionador, así como en la imposición de sanciones por las Administraciones Públicas se deberá guardar la debida adecuación entre la gravedad del hecho constitutivo de la infracción y la sanción aplicada, considerándose especialmente los siguientes criterios para la graduación de la sanción a aplicar: a) la existencia de intencionalidad o reiteración, b) la naturaleza de los perjuicios causados, c) la reincidencia”. Pues bien la secuencia de hechos expuesta en esta resolución, valorada en aplicación de dichos criterios, permiten que en este caso se considere procedente archivar las actuaciones practicadas contra la entidad Fiv Marbella y la imposición de una sanción en la cuantía de 20.000 € a la entidad Ovavit.>>
III
En el escrito de interposición de recurso de reposición se expone que la Consejería de Igualdad, Salud y Políticas Sociales ha impuesto a la entidad Ovavit SL, una sanción de 1000 euros por el incumplimiento del artículo 5.4 de la Ley 14/2006 sobre técnicas de reproducción humana asistida, lo que, a su parecer, supone “una doble imposición de sanción por los mismos hechos por normas administrativas
diferentes en base a unos mismos hechos probados”, por lo que nos encontramos ante un caso calificado por la normativa como “non bis in ídem”.
La entidad Ovavit SL en su escrito de recurso expone que los hechos objeto del procedimiento sancionador recurrido ya han sido objeto de sanción administrativa y concurre en este caso identidad de sujeto, hecho y fundamento.
Con respecto a la posible duplicidad alegada, hay que señalar que según el principio “non bis in idem”, en su aplicación a la potestad sancionadora de la administración, no pueden sancionarse hechos que hayan sido sancionados penal o administrativamente, en los casos en que se aprecie identidad de sujeto, hecho y fundamento, recogido en la LRJ-PAC en su artículo 133, imponiendo evitar la duplicidad de sanciones por los mismos hechos.
Así el artículo 133 de la LRJPAC, dispone que “No podrán sancionarse los hechos que hayan sido sancionados penal o administrativamente, en los casos en que se aprecie identidad del sujeto, hecho y fundamento.”
Tres son por tanto las identidades que deben concurrir para que podamos hablar de vulneración del principio “non bis in idem”: sujeto, hecho y fundamento.
En este mismo sentido se pronuncia el artículo 5, Concurrencia de sanciones, del Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, aprobado por el Real Decreto 1398/1993, de 4 agosto, que dispone:
“1. El órgano competente resolverá la no exigibilidad de responsabilidad administrativa en cualquier momento de la instrucción de los procedimientos sancionadores en que quede acreditado que ha recaído sanción penal o administrativa sobre los mismos hechos, siempre que concurra, además, identidad de sujeto y fundamento.”
La Sentencia del Tribunal Supremo de 18 de julio de 1984 ya sostuvo que “el non bis in idem debe reputarse como general y común al ordenamiento sancionador y, por ende, aplicable a los casos de duplicidad de sanciones administrativas”.
La interdicción de duplicidad de sanciones se limita al caso de que se cumpla una triple identidad: de sujetos, de hechos, sin que sea suficiente la conexión de unos hechos con otros y de fundamento. Si los bienes jurídicos afectados por un mismo hecho resultan heterogéneos existirá diversidad de fundamento, mientras que si son homogéneos no procederá la doble punición aunque las normas jurídicas vulneradas sean distintas.
La Sentencia del Tribunal Constitucional 188/2005, de 7 de julio, señala en su Fundamento Jurídico, lo siguiente “5 (…) En este tipo de supuestos, este Tribunal ha permitido, como ya hemos señalado con anterioridad, el doble castigo de un mismo sujeto por la realización de unos mismos hechos. Ahora bien, hemos exigido que la doble sanción tuviese un fundamento diferente, esto es, que cada uno de los castigos impuestos a título principal estuviesen orientados a la protección de intereses o bienes jurídicos diversos, dignos de protección cada uno de ellos en el sentir del legislador o del poder reglamentario (previa cobertura legal suficiente) y tipificados en la correspondiente norma legal o reglamentaria (respetuosa con el principio de reserva xx Xxx). O, expresado en los términos de la STC 234/1991, de 10 de diciembre, no basta
«simplemente con la dualidad de normas para entender justificada la imposición de una doble sanción al mismo sujeto por los mismos hechos, pues si así fuera, el principio non bis in ídem no tendría más alcance que el que el legislador (o en su caso el Gobierno,
como titular de la potestad reglamentaria) quisieran darle. Para que la dualidad de sanciones sea constitucionalmente admisible es necesario, además, que la normativa que la impone pueda justificarse porque contempla los mismos hechos desde la perspectiva de un interés jurídicamente protegido que no es el mismo que aquel que la primera sanción intenta salvaguardar o, si se quiere, desde la perspectiva de una relación jurídica diferente entre sancionador y sancionado» (F. 2).”
En el procedimiento sancionador ahora recurrido se utiliza la Ley Orgánica de Protección de Datos que, como expone su artículo 1, tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertadas públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. En concreto en la resolución ahora recurrida se considera vulnerado el artículo 11 de la citada ley Orgánica que establece que los datos sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
En la resolución recurrida se expone: “En el presente caso nos encontramos ante un tratamiento de datos personales, la imagen de una persona, en su versión de cesión o comunicación a terceros: la cesión es, según el art. 3.i) LOPD, “toda revelación de datos realizada a una persona distinta del interesado” cesión que la ya citada ley 14/2006, prohíbe expresamente.
En este caso, la entidad Ovavit cede los datos de las donantes a los centros colaboradores sin que se garantice la confidencialidad de sus datos de identidad, por lo que debe entenderse vulnerado el artículo 11 de la LOPD”.
Por otra parte, la ley 14/2006, de 26 xx xxxx, sobre técnicas de reproducción humana asistida, según se expone en su artículo 1, tiene por objeto:
“a) Regular la aplicación de las técnicas de reproducción humana asistida acreditadas científicamente y clínicamente indicadas.
b) Regular la aplicación de las técnicas de reproducción humana asistida en la prevención y tratamiento de enfermedades de origen genético, siempre que existan las garantías diagnósticas y terapéuticas suficientes y sean debidamente autorizadas en los términos previstos en esta Ley.
c) La regulación de los supuestos y requisitos de utilización de gametos y preembriones humanos crioconservados”.
El artículo 26 de esta ley, tipifica como grave la infracción consistente en “La ruptura de las condiciones de confidencialidad de los datos de los donantes establecidas en esta Ley”. El artículo 27 establece sobre las sanciones, que las infracciones graves serán sancionadas con multa desde 1.001 euros hasta 10.000 euros.
La entidad Ovavit SL invoca este principio de non bis in idem, al considerar que los hechos objeto del procedimiento sancionador recurrido ya han sido objeto de sanción administrativa y concurre en este caso identidad de sujeto, hecho y fundamento.
Visto lo expuesto, cabe desestimar lo alegado porque se considera que estaríamos ante los mismos hechos y sujetos en ambos procedimientos, pero ante
distintos fundamentos de derecho. En este caso la resolución de la Junta de Andalucía sanciona el interés sanitario de la donante, mientras que la Agencia Española de Protección de Datos, en la resolución ahora recurrida, vela por el derecho de la persona a la confidencialidad de sus datos personales.
Por lo expuesto cabe concluir que la actuación de esta Agencia Española de Protección de Datos, en relación con lo resuelto por la Delegación Territorial de Málaga de la Consejería de Igualdad, Salud y Políticas Sociales de la Junta de Andalucía en su Resolución de 19 de diciembre de 2014, no conculca los preceptos y principios citados, estando ajustada su actuación a la legalidad vigente.
Se alega también respecto del importe de la sanción porque, a su parecer, conculca el principio de proporcionalidad al no guardar “un adecuado equilibrio entre la gravedad de la supuesta infracción cometida y la sanción pecuniaria que se ha establecido”. Se argumenta que es una entidad reciente y una sanción de ese importe supondría su cierre, que no se ha causado perjuicio alguno ni se han visto afectados terceros por los hechos, “con lo cual procedería la aplicación de una sanción menor al tener la infracción el carácter de leve, cuando por su escasa significación, trascendencia o inexistencia de perjuicio ocasionado a terceros no deban ser calificadas como tales”.
Se menciona también la incongruencia entre la sanción aplicada por la Junta de Andalucía, 1.000 euros, y la de esta Agencia, 20.000. Respecto de esta cuestión es necesario valorar la diferencia entre las distintas legislaciones que en ambos procedimientos se utilizan como ya se ha visto. La resolución de la Junta de Andalucía impone una sanción por el importe mínimo de los establecidos para la gravedad de la infracción cometida. La ley 14/2006, de 26 xx xxxx, sobre técnicas de reproducción humana asistida utilizada por la Junta, establece que las infracciones graves serán sancionadas con multa desde 1.001 euros hasta 10.000 euros. La resolución aquí recurrida, de la Agencia Española de Protección de Datos, impone una sanción aplicando la escala relativa a las infracciones precedentes en gravedad a la cometida en este caso. La LOPD establece una sanción de 40.001 a 300.000 euros para las infracciones graves, tipo en el que se encuentra la infracción del procedimiento recurrido. En este caso, la sanción mínima prevista en la LOPD es de 40.001 euros. Sin embargo en el presente caso se ha utilizado la posibilidad prevista en el artículo 45.5 de la LOPD que permite aplicar la escala precedente en gravedad y de esta forma se impone una sanción en el intervalo previsto para las infracciones leves, 900 a 40.000 euros. En este sentido resulta evidente la diferencia que existe entre las dos legislaciones aplicadas por los distintos órganos administrativos en los procedimientos tramitados.
Respecto de la alegada ausencia de perjuicio, señalar que no puede en modo alguno descartarse la ausencia de dicho perjuicio, siendo en definitiva la jurisdicción civil la que a tenor del artículo 19 LOPD debe pronunciarse sobre la existencia de daños y perjuicios derivados de la vulneración del principio del consentimiento apreciada.
Se expone en el escrito de recurso que no ha existido intencionalidad pues no hay dolo ni mala fe, sino mero desconocimiento de la Ley.
El Tribunal Supremo (Sentencias de 5 de julio de 1998 y 2 xx xxxxx de 1999) viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. Diligencia cuyo grado de exigencia se determinará en atención a las circunstancias concurrentes en cada caso, tales como el especial valor del bien jurídico protegido o la
profesionalidad exigible al infractor. En este sentido, la citada Sentencia de 5 de julio de 1998 exige a los profesionales del sector “un deber de conocer especialmente las normas aplicables”.
Aplicando la anterior doctrina, la Audiencia Nacional exige a las entidades que operan en el mercado de datos una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o la cesión a terceros. Y ello porque siendo el de la protección de datos un derecho fundamental (Sentencia del Tribunal Constitucional 292/2000), los depositarios de estos datos deben ser especialmente diligentes y cuidadosos a la hora de operar con ellos y deben optar siempre por la interpretación más favorable a la protección de los bienes jurídicos protegidos por la norma. En este sentido, entre otras, Sentencias de la Audiencia Nacional de fechas 14 de febrero de 2002, 20 de septiembre de 2002, 13 xx xxxxx de 2005 y 18 xx xxxx de 2005.
No obstante lo expuesto, cabe valorar la concurrencia de otras circunstancias de las alegadas tales como el volumen de negocio o actividad del infractor, prevista en el punto d) del artículo 45.4 LOPD. Los términos de esta alegación han sido constatados por esta Agencia en el sentido de apreciar que, por su volumen de negocio, podría calificarse a la entidad infractora de pequeña empresa. También se puede considerar la no concurrencia de denuncia por un afectado concreto así como lo previsto en el punto
b) del mismo artículo sobre el volumen de los tratamientos efectuados y ello porque no se ha acreditado que haya afectado a un número de personas que justifique una sanción de mayor cuantía.
En atención a lo expuesto la AEPD considera oportuno apreciar a favor de la recurrente las circunstancias descritas en el artículo 45.4.b) y .d) LOPD, y ello en estimación de lo alegado al presente recurso respecto del volumen de negocio de la entidad infractora y al volumen de los tratamientos efectuados.
Por cuanto antecede, efectuada una valoración conjunta de las circunstancias anteriores, se estima procedente estimar parcialmente el presente recurso de reposición en el sentido de modificar la cuantía de la sanción impuesta en la resolución recurrida y fijar una nueva sanción en la cuantía de 6.000 €
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: ESTIMAR PARCIALMENTE el recurso de reposición interpuesto por la entidad OVAVIT S.L. contra la Resolución de esta Agencia Española de Protección de Datos dictada con fecha 24 de febrero de 2015, en el procedimiento sancionador PS/00645/2014, e imponer una sanción en la cuantía de 6.000 € (seis mil euros).
SEGUNDO: NOTIFICAR la presente resolución a la entidad OVAVIT S.L.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.
Xxxx Xxxx Xxxxxxxxx Xxxxxxx
Director de la Agencia Española de Protección de Datos