Un Intrépido Funcionario y la Responsabilidad de las Administraciones Públicas ante el Reglamento Europeo de Protección de Datos


 

El uso inconsentido de los sistemas de información llevado a cabo por un funcionario público es más habitual de lo que los administrados quisiéramos. Recientemente ha habido un caso en el Ayuntamiento de Granada en el que la Fiscalía se ha querellado contra dos funcionarios por espiar las nóminas de políticos, entre ellos el alcalde, con el objetivo de evidenciar la inseguridad de los sistemas informáticos tras sus destituciones del Centro de Proceso de Datos municipal.

Acceder a documentación secreta, entrar en cuentas de correo electrónico ajenas descubriendo las contraseñas de sus titulares, acceder a información confidencial de los ciudadanos, suplantar identidades, posible tráfico de influencias o espiar nóminas son algunos de los motivos por los que los imprudentes funcionarios soslayan todo tipo de medidas de seguridad informáticas. Claro está que han de desconocer  el alcance legal de semejante intrepidez, así como las nefastas consecuencias que estos hechos acarrearán para las Entidades Locales tras la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos.

Por un lado, los Artículos 413 al 418 del Código Penal regulan el delito de infidelidad en la custodia de documentos y de la violación de secretos. Concretamente, el Artículo 413 dice que el funcionario público que sustrajere documentación cuya custodia le esté encomendada por razón de su cargo, incurrirá en las penas de prisión de uno a cuatro años.

Además, el intrépido funcionario está incurriendo en un delito de descubrimiento y revelación de secretos regulado en el Artículo 197.1 del Código Penal que señala que aquél que para descubrir los secretos o vulnerar la intimidad de otro sin su consentimiento se apodere de mensajes de correo electrónico o intercepte sus telecomunicaciones será castigado con las penas de prisión de uno a cuatro años. Esta pena está agravada y se aumenta en su mitad superior por tratarse de un funcionario que se está prevaliendo de su cargo, según dicta el Artículo 198 C.P.

Pero téngase en cuenta que no sólo delinque el funcionario infractor sino que aquellos empleados públicos que tengan conocimiento de tales hechos deberán ponerlos inmediatamente en conocimiento de las autoridades competentes toda vez que la omisión de denunciar supone una conducta omisiva punible (Artículo 11 C.P.) y un delito de infidelidad en la custodia de documentos y de la violación de secretos (Artículo 415 C.P.).

Asimismo, la recurrente práctica del uso de las redes sociales o de Whatsapp por parte de funcionarios pertenecientes a los Cuerpos y Fuerzas de Seguridad del Estado difundiendo fichas policiales, diligencias y fotos suponen la comisión de los delitos mencionados, además de una conducta encuadrada en el tipo “De las negociaciones y actividades prohibidas a los funcionarios públicos y de los abusos en el ejercicio de su función” regulada en el Artículo 442 C.P. para aquellos casos en que medie beneficio económico.

Por otro lado, con la normativa vigente de protección de datos las Administraciones Públicas no pueden ser sancionadas económicamente por lo que la legitimación del Director de la Agencia Española de Protección de Datos se limita a la iniciación de actuaciones disciplinarias contra el funcionario responsable de los hechos. Con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos se podrá sancionar a las Administraciones que deberán atenerse además a una serie de obligaciones en lo concerniente a las incidencias que afecten a la seguridad de los datos (data breach).

Por ende, la Entidad Local que albergue un intrépido funcionario debe saber que estará obligada a notificar “sin demora injustificada” a la Autoridad de Control (en el caso de España, la Agencia Española de Protección de Datos) las brechas de seguridad, y con carácter general se comunicará también a los afectados.

Además deberá designar un Delegado de Protección de Datos (Data Protection Officer: DPO) por tratar datos de más de 5.000 usuarios durante 12 meses consecutivos, al que tendrá que comunicar igualmente el incidente de seguridad.

Por último, las multas se endurecen con respecto a la legislación vigente y se expondrá a sanciones de hasta 100,000.000 euros.

Por todo ello aquellos funcionarios que se prevalen de su cargo para hacer un uso indebido de la información a la que tienen acceso tendrán que responder por la imputación de distintos delitos penales, y las Administraciones Públicas deberán ser más diligentes a la hora de salvaguardar nuestros datos personales, toda vez que se prevé se enfrenten a cuantiosas multas. ¿Asistiremos al fin de los expedientes con datos médicos o de circunstancias sociales en armarios sin llaves a la vista de terceros, la destrucción de documentación con empresas no certificadas que la amontonan en inermes naves o la contratación con empresas externas con acceso a datos sin los contratos que garanticen su seguridad? Es probable que presenciemos la mitigación del incumplimiento sistemático de la normativa de protección de datos por parte de las Administraciones Públicas dado el asedio, cual Espada de Damocles, de la fuerza punitiva por parte de las Autoridades de Control.

Ya lo dijo el ilustre Francisco  de  Quevedo  escritor de numerosas obras de  índole política: “El consejo del escarmiento las más de las veces llega tarde”.

  

MARÍA AYARRA GARCÍA DE ZÚÑIGA

DPOe Privacidad