PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS

ENTRADA EN VIGOR DE LA LEY ORGÁNICA 5/2010, DE 22 DE JUNIO, POR LA QUE SE MODIFICA LA LEY ORGÁNICA 10/1995, DE 23 DE NOVIEMBRE, DEL CÓDIGO PENAL

El 23 de diciembre de 2010 entró en vigor la Ley Orgánica 5/2010, que establece la responsabilidad penal de las personas jurídicas por la comisión, por sus representantes legales y administradores de hecho o de derecho, de determinados delitos especificados en la citada Ley, cuando éstos se cometan en su nombre o en su provecho. O cuando estos delitos sean cometidos por los empleados, si no se ejerció sobre ellos el debido control. (Ver el Artículo 31 bis que se incorpora al Código Penal)

En general, las sanciones que se aplicarán serán de multas, pero atendiendo a la gravedad de los hechos podrían venir acompañadas, entre otras, de la suspensión de actividades o el cierre. A todo esto hay que añadir el efecto reputacional negativo que sobre cualquier persona jurídica tiene una investigación penal, aún en el caso de que no termine sustanciándose en condena. (Ver Artículo 33.7 del Código Penal reformado).

Son varios los delitos que se especifican en la Ley Orgánica 5/2010, de los que pueden ser penalmente responsables las personas jurídicas:

• Trata de seres humanos (Artículo 177 bis.7)
• Relativos a la prostitución y la corrupción de menores (Artículo 189 bis)
• Descubrimiento y revelación de secretos (Artículo 197.3)
• Estafa (Artículo 251 bis)
• Insolvencias punibles (Artículos 261 bis)
• Daños informáticos (Artículo 264.4)
• Relativos a la propiedad intelectual e industrial, al mercado y a los consumidores (Artículo 288)
• Blanqueo de capitales (Artículo 302.2)
• Delitos contra la Hacienda Pública y la seguridad Social (Artículo 310 bis)
• Delitos contra los derechos de los ciudadanos extranjeros (Artículo 318 bis.4)
• Delitos contra la ordenación del territorio (Artículo 319.4)
• Delitos contra los recursos naturales y el medio ambiente (Artículo 327 y Artículo 328.6)
• Exposición a radiaciones ionizantes (Artículo 343.3)
• Delitos de riesgo provocados por explosivos y otros agentes (Artículo 348.3)
• Delitos relativos a drogas tóxicas, estupefacientes o sustancias psicotrópicas (Artículo 369 bis)
• Falsificación de tarjetas de crédito y débito y cheques de viaje (Artículo 399 bis.1.3º)
• Cohecho (Artículo 427.2)
• Tráfico de influencias (Artículo 430)
• Corrupción de funcionario público extranjero (Artículo 445.2)
• Financiación del terrorismo (Artículo 576 bis.3)

CONSECUENCIAS DE LA ENTRADA EN VIGOR DE LA LEY ORGÁNICA 5/2010, DE 22 DE JUNIO

• Las entidades han de valorar sus riesgos penales, en relación con los delitos especificados en la Ley Orgánica 5/2010.
• La valoración deberá ir acompañada de la correspondiente formación en materia penal de los administradores y trabajadores.
• Resulta conveniente implantar en las empresas, a partir del 23 de diciembre de 2010, una estructura de cumplimiento centrada en la prevención y vigilancia de los riesgos penales que hayan sido detectados.

Aunque en el Artículo 31 bis que se ha incorporado al Código Penal no se indica la forma en que han de proceder las personas jurídicas en esta materia, en su texto se ofrecen algunas claves de interés:

1. La responsabilidad penal de las personas jurídicas deriva, respecto de los delitos cometidos por sus empleados, del hecho de no haber ejercido sobre los mismos el debido control, atendidas las concretas circunstancias de cada caso.
2. Existen circunstancias atenuantes de la responsabilidad penal de las personas jurídicas, entre las que se reseña el establecimiento de medidas eficaces para prevenir y descubrir los delitos que pudieran cometerse, con los medios o bajo la cobertura de las personas jurídicas.

Estas claves que nos ofrece el Artículo 31 bis, aconsejan a cada empresa que confeccione y ponga en funcionamiento un PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS, que para simplificar llamaremos PROGRAMA PPDD, con los siguientes objetivos:

1. Análisis de los riesgos penales existentes en la empresa.
2. Elaboración de un código de conducta (CÓDIGO ÉTICO) para evitar los riesgos penales detectados.
3. Establecer un sistema de control de los riesgos penales.
4. Ofrecer a los directivos y empleados una formación penal suficiente, para evitar la comisión de aquellas operaciones detectadas como de riesgo.

Para el desarrollo del PROGRAMA PPDD, aconsejo utilizar la experiencia que ya tenemos acumulada para la prevención del blanqueo de capitales y de la financiación del terrorismo.

Al igual que sucede en la prevención del blanqueo de capitales, en el PROGRAMA PPDD deberá estar involucrada toda la empresa, y especialmente la alta dirección, porque para que funcione se han de establecer:

• Una normativa o CÓDIGO ÉTICO (FASE DE PLANIFICACIÓN ESTRATÉGICA)
• Un equipo de control que impulse el cumplimiento del CÓDIGO ÉTICO (FASE DE PLANIFICACIÓN TÁCTICA)
• Dotar a la empresa con los recursos humanos y materiales necesarios para llevar a la práctica el CÓDIGO ÉTICO (FASE DE PLANIFICACIÓN LOGÍSTICA).

Para contar con una mínima estructura para la confección y aplicación del CÓDIGO ÉTICO, aconsejo que utilicemos una parte de la que ya tenemos montada para la prevención del blanqueo de capitales, y concretamente:

EL ÓRGANO DE CONTROL INTERNO (OCI)

El ÓRGANO DE CONTROL INTERNO (OCI), en el Modelo que hemos utilizado para la prevención del blanqueo de capitales, recordemos que estaba compuesto por los máximos responsables de las áreas de negocio y lo denominamos OCI titular. Así se asegura que en el PROGRAMA PPDD esté realmente involucrada la alta dirección.

Dependiendo del jefe de cada área de negocio, había un Responsable de “Compliance”. El conjunto de todos ellos formaban el OCI delegado.

A través de este Modelo teníamos creada una estructura piramidal en materia de “compliance”, que trabajaba por delegación de la alta dirección en la planificación y control de las obligaciones de cumplimiento AML de la empresa. Esta misma estructura es la que puede servir ahora para la planificación y control de las obligaciones PPDD.

El OCI delegado se encargaría de elaborar el PROGRAMA PPDD, bajo el control directo y con la autoridad que reciben de los Jefes de Área. Llevaría a cabo, por delegación, la PLANIFICACIÓN ESTRATÉGICA, la PLANIFICACIÓN TÁCTICA y la PLANIFICACIÓN LOGÍSTICA señaladas.

El OCI delegado en materia PPDD, no estaría presidido por el REPRESENTANTE ANTE EL SEPBLAC, como sucedía para la materia AML, sino por el RESPONSABLE DEL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, con la denominación propia que tenga este departamento en cada una de las entidades.

PLANIFICACIÓN ESTRATÉGICA:

• Nombramiento del Responsable del Departamento de Prevención del Fraude, como RESPONSABLE DE CUMPLIMIENTO PENAL, que pasaría a ser Miembro de pleno derecho del OCI TITULAR, y sería el responsable del OCI delegado para las materias de cumplimiento penal. En el OCI TITULAR, por tanto, estarían representados de pleno derecho el Representante ante el SEPBLAC y el Responsable de Prevención del Fraude, entre otros responsables de cumplimiento.
• El OCI delegado se encargaría de efectuar en la empresa, el análisis de los riesgos penales existentes, y confeccionaría el borrador del CÓDIGO ÉTICO, en el que se harán constar las conductas no toleradas por la entidad y sus consecuencias.
• También el OCI delegado elaboraría un PROGRAMA DE FORMACIÓN DE CUMPLIMIENTO PENAL para todos los empleados de la empresa.

PLANIFICACIÓN TÁCTICA

El CÓDIGO ÉTICO, al igual que el MANUAL DE PROCEDIMIENTOS AML, es fundamentalmente un documento de uso interno para la alta dirección, para el OCI y para los Departamentos de “COMPLIANCE” implicados, que servirá de guía para imbricar y fundir los conceptos contenidos en el CÓDIGO dentro del MANUAL GENERAL DE PROCEDIMIENTOS DE LA EMPRESA, cuyo control está a cargo de Auditoria Interna.

Realmente el CÓDIGO ÉTICO es un documento de principios, que sólo tendrá efectos prácticos en la medida en que se consiga que pase a formar parte del MANUAL GENERAL DE PROCEDIMIENTOS DE LA EMPRESA, que puede residir en una plataforma tecnológica de uso departamental. Junto con la existencia del CÓDIGO ÉTICO, se han de adecuar los sistemas de control necesarios para su aplicación.

Ante los Tribunales, más que el CÓDIGO ÉTICO como documento de prueba, lo que se valorará realmente es la demostración de que el CÓDIGO está funcionando de forma real dentro de la empresa.

Para ello, el OCI sustituto, bajo la coordinación del RESPONSABLE DE CUMPLIMIENTO PENAL ha de trabajar para la obtención de los siguientes objetivos tácticos:

1. Adaptación de todos los procedimientos internos de la empresa a los criterios establecidos en el CÓDIGO ÉTICO.
2. Comprobación de la efectividad del CÓDIGO ÉTICO, para lo que se encargará de su revisión y puesta al día, mediante la incorporación al mismo, cuando fuere preciso, de nuevas políticas y controles que permitan una mayor efectividad en la prevención y detección de conductas no toleradas en materia PPDD, especialmente cuando:
1. a) Se inician nuevas actividades por la empresa
2. b) Aparecen nuevos riesgos en el mercado
3. c) Se producen cambios en la regulación
3. Identificación de las áreas y departamentos más sensibles al posible incumplimiento del CÓDIGO ÉTICO, abriendo las vías de información necesarias para un efectivo control.
4. Colaboración con Auditoria Interna en sus labores ordinarias de control, y con el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE en los trabajos de investigación, que se inicien a partir de las alertas obtenidas de las plataformas tecnológicas de prevención del fraude, de las denuncias, o de los informes de Auditoria Interna.
5. Reporte al OCI titular de la información de su interés en materia de cumplimiento PPDD.
6. Aprobación de los planes de formación PPDD.

EL OCI delegado, con la ayuda del DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, se encargará de aplicar de forma efectiva, dentro de las distintas áreas de negocio, el PROGRAMA PPDD y de controlar su efectividad dentro de las respectivas áreas.

Como podemos observar en el Modelo presentado, a través del OCI delegado se establece una interconexión operativa entre los departamentos de cumplimiento y las áreas de negocio que están sujetas a las distintas obligaciones, lo que ayudará a que no se produzcan roces innecesarios dentro de la empresa y a que los departamentos de cumplimiento cumplan su función, con el necesario conocimiento de la actividad real de la empresa.

PLANIFICACIÓN LOGÍSTICA

Para el cumplimiento del CÓDIGO ÉTICO, se han de implantar si no se tienen ya, o mejorar en su caso, las plataformas tecnológicas de prevención y detección del fraude interno y externo, que han de ser preparadas también para controlar los riesgos PPDD que estamos estudiando.

Estas plataformas han de estar ubicadas en los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE, para que los especialistas puedan detectar aquellas irregularidades que deban ser investigadas.

En los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE, confluirán los informes de investigación de fraude o de PPDD, procedentes de los departamentos de análisis de riesgos, recuperaciones, auditoria interna, prevención del blanqueo en aquellas materias de diligencia debida ajenas al examen especial, etc. Igualmente tendrán a su cargo los buzones de denuncias sobre fraude y sobre operaciones presuntamente delictivas o sospechosas de delito.

Igualmente el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE ha de ser dotado de herramientas tecnológicas de investigación, y del personal adecuado para poder utilizarlas. No olvidemos que, en el caso de materializarse alguno de los riesgos delictivos, el Departamento de Prevención del Fraude debe tener establecido un protocolo de investigación que permita depurar responsabilidades de forma rápida para poder hacer efectivas las circunstancias atenuantes para la empresa enumeradas en el Artículo 31, bis, a saber:

• Confesar la infracción a las Autoridades. (Ejercer la correspondiente denuncia contra los administradores o empleados responsables del delito)
• Colaborar en la investigación del hecho aportando pruebas, nuevas y decisivas para esclarecer las responsabilidades penales dimanantes del mismo.
• Proceder, con anterioridad al juicio oral, a reparar o disminuir el daño causado por el delito.

Igualmente, se ha de dotar al Departamento de Auditoria, de sistemas tecnológicos que faciliten el seguimiento de las políticas y controles implantados, mediante la segregación de funciones y detección de operaciones no toleradas, como por ejemplo la existencia de asientos contables falsos o inexactos, la manipulación de cuentas de clientes y/o de proveedores, el uso de software sin licencia, o el acceso no autorizado a información confidencial.

También conviene establecer dentro de la empresa un CANAL DE DENUNCIAS, con todas las garantías de confidencialidad, que pueda ser utilizado por los empleados, clientes, proveedores y cualquier ciudadano que quieran informar sobre posibles delitos cometidos o que se pudieran estar cometiendo dentro de la empresa.

EL PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS (PPDD)

El PROGRAMA PPDD, es, por tanto, el conjunto de medidas dirigidas a la prevención, detección y reacción, frente a los riesgos de comisión de los delitos incorporados al Código Penal por la Ley Orgánica 5/2010.

Esta nueva obligación legal, constituye una buena ocasión para potenciar dentro de la empresa la prevención del fraude interno y del fraude externo, con lo que estaremos rentabilizando desde el inicio los costes derivados del cumplimiento de esta nueva obligación legal.

Para ahorrar costes y no crear estructuras burocráticas nuevas para el cumplimiento penal, la mejor opción sería utilizar las que ya tenemos en funcionamiento, como son el ÓRGANO DE CONTROL INTERNO (OCI) y el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE.

En el Modelo que propicio, sólo estoy incluyendo el blanqueo de capitales y el cumplimiento penal. No contemplo, por tanto, otras áreas de cumplimiento que también existen dentro de las empresas, derivadas por ejemplo, de las leyes laborales, o de la legislación de protección de datos, que tienen sus centros de planificación en otros departamentos especializados, como Recursos Humanos o Asesoría Jurídica, aunque considero que también en estas materias de “compliance” se debería buscar la integración operativa de las normas en el MANUAL GENERAL DE PROCEDIMIENTOS DE LA EMPRESA, con la implicación del OCI delegado en la elaboración de las mismas, que en sus materias específicas estaría dirigido por el Responsable de Recursos Humanos (Riesgos laborales), o por el Responsable de Asesoría Jurídica (Riesgos de protección de datos de carácter personal), entre otros ejemplos.

De esta manera, una parte importante del núcleo de cumplimiento, siempre estaría ubicado en la estructura operativa y comercial de la empresa, con lo que las normas serán mucho mejor aceptadas por los obligados a su cumplimiento.

LOS DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE

La nueva Ley Orgánica penal constituye una buena razón para que las entidades potencien internamente a los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE, como estructuras independientes a la gestión de riesgos, seguridad informática, seguridad física, recuperaciones, o auditoria interna, que, como sabemos, ya tienen muy definidas sus propias funciones operativas y de gestión dentro de las empresas.

Los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE deben ser considerados estructuras de “COMPLIANCE” y no de gestión, de igual manera que lo son los DEPARTAMENTOS DE PREVENCIÓN DEL BLANQUEO, RECURSOS HUMANOS o ASESORÍA JURÍDICA.

Son departamentos especializados en la prevención y en la reacción contra el fraude, en los que aconsejo se vayan integrando de forma temporal y rotatoria, o de forma permanente en algunos casos, diferentes especialistas procedentes de la gestión operativa y de “compliance”: análisis de riesgos, seguridad informática, seguridad física, recuperaciones, prevención del blanqueo, asesoría jurídica, departamentos comerciales, etc.

No son, por tanto, estructuras burocráticas, sino verdaderas escuelas de formación en técnicas de investigación y prevención del fraude, que obligan a sus integrantes a colaborar entre si, y a integrar y compartir sus propias especializaciones técnicas con el fin de defender a las empresas contra la actividad delictiva.

Conviene que la mayoría de los que trabajen en los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE lo hagan de forma rotatoria para así no alejarse de sus respectivas especializaciones, a las que, a su vuelta, llevarán el bagaje de conocimientos recibidos en las labores de prevención e investigación del fraude, así como los contactos humanos y profesionales establecidos con el personal del resto de departamentos especializados con los que hubieren trabajado en esa etapa.

Una gran parte de la tecnología a aplicar para la prevención del fraude puede ser de uso compartido, por lo que van adquirir en el futuro una gran importancia las iniciativas tecnológicas que vayan surgiendo de las Asociaciones profesionales, que permitirán compartir costes fijos y al mismo tiempo disfrutar de herramientas de última generación, sin contar con las herramientas derivadas del análisis procedente del intercambio de información sobre fraude, imprescindibles para que las entidades puedan luchar con eficacia contra la delincuencia organizada.

Después de haber acercado a los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE la materia de prevención del blanqueo de capitales, y demostrado que existen interconexiones operativas importantes entre estos departamentos y otros de gestión, con los de PREVENCIÓN DEL BLANQUEO DE CAPITALES, mi objetivo es convencer a las entidades de la utilidad de revolucionar de una vez por todas la PREVENCIÓN DEL FRAUDE, desde una óptica científica y en beneficio de nuestras empresas, con la indicación de que para ello no necesitarán hacer grandes inversiones de forma individualizada, sino compartir el esfuerzo tecnológico que se está haciendo a través de la cooperación, tal como está sucediendo con la prevención del blanqueo de capitales.

Fabián Zambrano Viedma

Responsable del Servicio de Prevención del Fraude

 
 

SENTENCIAS DEL TRIBUNAL SUPREMO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (continuación)

Modificaciones introducidas en el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, por las Sentencias de la Sala Sexta del Tribunal Supremo (Sala de lo Contencioso-Administrativo), de fecha 15 de julio de 2010.

Esquema de Trabajo:

La Sala Sexta del Tribunal Supremo (Sala de lo Contencioso-Administrativo), con fecha 15 de julio de 2010 sentenció sobre tres recursos contenciosos administrativos interpuestos en su día contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, por la ASOCIACIÓN NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO (ASNEF), por la FEDERACIÓN DE COMERCIO ELECTRÓNICO Y MARKETING DIRECTO, y por EXPERIAN BUREAU DE CREDITO, S.A.

Las tres Sentencias indicadas han dado lugar a las siguientes modificaciones del actual Reglamento de Desarrollo de la Ley Orgánica 15/2007, de 13 de diciembre, de protección de datos de carácter personal:

• Anulación del Artículo 11
• Anulación del Artículo 18
• Anulación parcial del Apartado 1 a), del Artículo 38
• Anulación del Apartado 2 del Artículo 38
• Anulación del Apartado 2 del Artículo 123
• Dejar imprejuzgada la impugnación del Artículo 10.2 a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Artículos anulados y la valoración del Tribunal Supremo

• Artículo 11 del Reglamento (ANULADO), y que dice:

“Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.”

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

El Artículo 11, en su redacción actual no se acomoda a los Artículos 6 (Consentimiento del afectado) y 11 (Comunicación de datos) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Con este artículo se habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.

Comentario:

Bajo mi criterio este Artículo volverá a estar vigente en un próximo futuro cuando se redacte de nuevo con la fórmula propuesta en su día por el Ministerio de Administraciones Públicas instigadora del mismo, a saber:

“La formulación por medios electrónicos de solicitudes en las que el interesado declare datos personales que obren en poder de las Administraciones públicas conllevará la autorización al órgano destinatario de la solicitud para que verifique la autenticidad de tales datos.”

De esta forma, las solicitudes que se formulen a las Administraciones públicas por medios electrónicos conllevarán implícitas el consentimiento tácito de los ciudadanos para la verificación de los datos contra las bases existentes en las Administraciones.

• Artículo 18 del Reglamento (ANULADO) y que dice:

“Acreditación del cumplimiento del deber de información.

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos afectados.
2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

La disposición reglamentaria del Artículo 18 debe ser anulada porque contraviene la Ley Orgánica 15/1999, de 13 de diciembre, puesto que el legislador ha optado por la libertad de forma para ejercer el deber de informar del Art. 5 de la citada Ley, abriendo por tanto múltiples posibilidades (escrita, verbal, telemática, etc.). La obligación del Artículo 18 se establece - ex novo - y por tanto al margen de la Ley. Podría aceptarse el contenido de este articulo no como obligación sino como mera recomendación - ad cautelan - de una dificultad probatoria futura.

• Apartado 1 a), del Artículo 38 (ANULACIÓN PARCIAL) y que dice:

“Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos: a)Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.”

El Tribunal Supremo elimina la siguiente frase de la letra a) del apartado 1 del Artículo 38:

“… y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.”, por lo que la letra a), en base a esta Sentencia tendría la siguiente redacción:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación parcial

El Apartado 1.a) del Artículo 38 no responde a la previsión legal del Artículo 4.3. (Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado) , en atención a la defectuosa redacción del precepto reglamentario por una inconcreción en su texto no solo de aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos de refieren, sino también porque esa vaguedad permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero.

La aplicación de la norma anulada puede producir efectos adversos al permitir evitar la inclusión del dato relativo a la deuda en los ficheros de solvencia patrimonial, de la misma forma que cuando se incluye en un fichero de esa naturaleza la existencia de una deuda inexistente, no vencida o inexigible, lo que iría en contra del Artículo 4.3. de la Ley 15/1999 antes señalado, y del Artículo 6.1.d) de la Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 13 de abril de 2008, relativa a los contratos de crédito al consumo, que exige que los datos sean exactos y, cuando sea necesario, actualizados, así como que se tomen todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueran recogidos o para los que fueron tratados posteriormente, sean suprimidos o ratificados.

No es posible sostener con éxito que, en aquellos casos en que se hubiera entablado con respecto a la deuda un procedimiento de los expresados en el artículo 1.a), puede hablarse de una deuda cierta antes de que recaiga resolución firme o se emita el informe correspondiente, en los supuestos previstos en el Reglamento de los Comisionados para la defensa del cliente de los servicios financieros aprobado por Real Decreto 303/2004, de 20 de febrero, aprobado en desarrollo de la Ley 44/2002, de 22 de noviembre, de Reforma del Sistema Financiero.

Esta redacción defectuosa permite la existencia de un conflicto de intereses que debe resolverse a la luz de la doctrina constitucional, exigiendo una mayor concreción en el precepto reglamentario que pondere los intereses en presencia en atención a las circunstancias concretas.

• Apartado 2 del Artículo 38 (ANULADO) y que dice:

“No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”

Los requisitos anteriores a los que se refiere este apartado son los siguientes:

• El apartado 1.a) anteriormente referenciado y que ha sido anulado parcialmente por la sentencia.
• El apartado 1 b) que dice lo siguiente: “Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.
• El apartado 1 c) que dice lo siguiente: “Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.”

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

La norma, sin duda, quiere responder al principio de calidad de datos, y no tipifica <> ninguna infracción. Lo que hace es trasladar la carga de la prueba de la concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento, pero ha de reconocerse que lo hace en términos tales que origina una gran inseguridad jurídica, que puede dar lugar a la apertura de expedientes sancionadores.

Por ello ha de concluirse que no es conforme a derecho.

Cierto es que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos, y y valga al respecto la cita de la sentencia de la Sala de lo Civil de este Tribunal de 16 de septiembre de 1996, que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero ha de reconocerse que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.

Redacción final del Artículo 38 tras las anulaciones efectuadas por el Tribunal Supremo:

“Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada. (anulación parcial de texto)

b. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.

c. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. ANULADO

3. El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos, documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente.

• Apartado 2 del Artículo 123 (ANULADO) y que dice:

“Personal competente para la realización de las actuaciones previa.

1. Las actuaciones previas serán llevadas a cabo por el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.
2. En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.
3. Los funcionarios que ejerzan la inspección a los que se refieren los dos apartados anteriores tendrán la consideración de autoridad pública en el desempeño de sus cometidos.Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.”

Queda, por tanto anulado el apartado 2 del Artículo, teniendo sólo la condición de Autoridad en el desempeño de sus cometidos el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

No se contempla la facultad que al Director de la Agencia concede el precepto reglamentario, ni en ningún otro artículo de la misma y la mención en el precepto reglamentario a “supuestos excepcionales”, por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.

• La cuestión prejudicial del artículo 10.2 a) y b)

Las Sentencias a los recursos plateados sobre esta cuestión por la ASOCIACIÓN NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO (ASNEF) y la FEDERACIÓN DE CONSUMO ELECTRÓNICO Y MARKETING DIRECTO, dejan imprejuzgada la impugnación del artículo 10.2 a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Hasta el pronunciamiento del Tribunal de Justicia de las Comunidades Europeas, resulta de interés puntualizar los argumentos esgrimidos por el Tribunal Supremo para tomar esta decisión, y que, sin duda, van a pesar a partir de ahora en cualquier interpretación que se haga sobre los artículos mencionados.

Punto a) del Apartado 2 del Artículo 10: Supuestos que legitiman el tratamiento o cesión de los datos.

“Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.

El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas."

Punto b) del Apartado 2 del Artículo 10: Supuestos que legitiman el tratamiento o cesión de los datos.

“Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizados para ello por una norma con rango de ley.”

Planteamientos del Tribunal Supremo al Tribunal de Justicia de las Comunidades Europeas

1. ¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?
2. ¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?

La Directiva 95/46/CE aspira a una armonización completa de las legislaciones nacionales, al tiempo que quiere establecer un equilibrio entre los dos pilares sobre los que pivota su regulación: la libre circulación entre los Estados miembros de los datos de carácter personal sin merma alguna de los derechos y libertades fundamentales del interesado, lo que se reconoce en el punto a) del Apartado 2 del Artículo 10 reglamentario.

El derecho español añade al interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular un requisito que no está en la mencionada Directiva a juicio de los demandantes: que los datos consten en fuentes accesibles al público.

Se depende, por tanto, de la interpretación que el Tribunal dé al artículo 7, letra f) de la Directiva 95/46/CE, la posible solución de litigio planteado, toda vez que el legislador español ha cerrado el listado de las fuentes accesibles al público que para otros Estados son más amplias, lo que afecta a la armonización pretendida por la Directiva.

Si el Tribunal concluye que nada impide que los Estados miembros exijan, además de la concurrencia del repetido interés, la presencia de los datos en fuentes accesibles al público, habrá que concluir que la Ley española y el Reglamento que la desarrolla se ajustan en este punto al ordenamiento jurídico de la Unión.

Si, por el contrario, es criterio del Tribunal de Justicia que nos les cabe a los Estados miembros añadir requisitos adicionales a aquella exigencia, debería inaplicarse, para el caso de que se pueda reconocer al repetido artículo 7, apartado ñ) efecto directo, la previsión legislativa interna, quedando huérfano de cobertura el artículo 10, apartado 2, letra b) del real Decreto 1720/2007.

Fabián Zambrano Viedma

Responsable del Servicio

SERVICIO PARA LAS EVIDENCIAS ELECTRÓNICAS FINANCIERAS (SEVEF)

Dentro del Servicio de Prevención del Fraude de ASNEF hemos puesto en funcionamiento un Servicio para las Evidencias Electrónicas Financieras (SEVEF), que tiene como objetivo apoyar a nuestras entidades en la lucha contra la ciberdelincuencia que ataca al Sector Financiero a través de los servicios que éste ofrece a sus clientes a través de Internet.

Este Servicio colabora con el Instituto Nacional de Tecnologías de la Comunicación (INTECO), con el que la Asociación Nacional de Establecimientos Financieros de Crédito tiene firmado un Convenio de Colaboración para potenciar la seguridad y la e-confianza en las nuevas tecnologías de la información y la comunicación.

El Servicio para las Evidencias Electrónicas Financieras (SEVEF), será el nexo de colaborción operativa entre las entidades financieras integradas en la Comisión para la Prevención del Fraude de ASNEF y el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y los Proveedores de Seguridad que colaboran con nuestra Asociación.

Entre los instrumentos que ha puesto en funcionamiento INTECO y en cuyo desarrollo hemos colaborado desde la Asociación a través del Proyecto SEVEF, está el REPOSITORIO DE FRAUDE DE INTECO, que ya está creando inteligencia sobre el fraude electrónico y sobre los ataques que la ciberdelincuencia realiza contra nuestras plataformas tecnológicas de banca "on line" o de comercialización de productos financieros.

Este REPOSITORIO, del que adjunto información a través del correspondiente enlace, es un ejemplo de la colaboración que puede darse entre las iniciativas pública y privada y una forma operativa con la que las entidades financieras pueden ayudar para facilitar el trabajo de investigación de las Unidades de Investigación Tecnológica de los Cuerpos Policiales centrales y autonómicos.

Este Blog difundirá a partir de ahora también la cultura de la seguridad informática y dará a conocer las iniciativas y la colaboración  con el Instituto Nacional de Tecnologías de la Comunicación (INTECO), en favor de la seguridad informática y de la e-confianza de los Ciudadanos hacia las nuevas Tecnologías de la Información y la Comunicación (TIC).

Como este Blog y los restantes editados por De-fensa están siendo cada vez más visitados por especialistas de prevención del fraude y prevención del blanqueo de capitales, vamos a difundir también a través de los mismos las estadísticas mensuales de fraude electrónico de INTECO-CERT, lo que servirá para un mejor conocimiento del trabajo de seguridad que nos ofrece el Instituto y potenciar así la colaboración entre el Sector Financiero y los Ciudadanos, con el Instituto.

INTECO tiene creada la OFICINA DE SEGURIDAD DEL INTERNAUTA (OSI), orientada a los usuarios finales con escasos conocimientos técnicos en materia de seguridad, que puede ser muy útil para muchos de nuestros clientes, e INTECO-CERT, Centro de Respuesta a Incidentes de Seguridad, enfocado a profesionales y que está a disposición de nuestras entidades, portales que animo a visitar no sólo por la magnífica información que contienen, sino también por las herramientas que están a disposición de los ciudadanos y de las empresas.

• Informe mensual correspondiente al mes de julio sobre fraude electrónico de INTECO-CERT
• Informe mensual correspondiente el mes de agosto sobre fraude electrónico de INTECO-CERT

Las entidades financieras que estén interesadas en recibir una información personalizada sobre el REPOSITORIO DE FRAUDE DE INTECO, pueden remitirme un correo electrónico a spfraude@asnef.com, que yo reportaré a INTECO para que el Instituto contacte directamente con ellas.

Fabián Zambrano Viedma

Responsable del Servicio

SENTENCIAS DEL TRIBUNAL SUPREMO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Recientemente se han publicado las Sentencias del Tribunal Supremo de fecha 15 de julio de 2010, que tienen un gran interés jurídico y que por tanto resultan de obligado estudio para los interesados en la materia de protección de datos de carácter personal:

• La Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo (Sección Sexta), en el recurso contencioso administrativo nº 23/2008 interpuesto por ASNEF contra el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
• La Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo (Sección Sexta), en el recurso contencioso administrativo nº 25/2008 interpuesto por la FEDERACIÓN DE COMERCIO ELECTRÓNICO Y MARKETING DIRECTO contra el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
• La Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo (Sección Sexta), en el recurso contencioso administrativo nº 26/2008 interpuesto por EXPERIAN BUREAU DE CRÉDITO, S.A. contra el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Como adelanto a ese estudio, que ya están realizando los especialistas del derecho, y en relación con la primera de las sentencias, hay que indicar que el Tribunal Supremo estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38.2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Además de lo anterior, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Los aspectos más importantes de la Sentencia sobre los aspectos impugnados son los siguientes:

• Artículo 5. Definiciones. Del apartado 1.q), el inciso <>.

La Sentencia recoge que no hay razón para apreciar la nulidad del precepto reglamentario ni para el planteamiento de cuestión prejudicial, pues la frase “aunque no lo realizase materialmente” no supone una ampliación de las personas responsables.

• Artículo 8. Principios relativos a la calidad de los datos, en el párrafo 3º de su apartado 5.

Tampoco se aprecia razón para la nulidad de dicho precepto.

• Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos, en los apartados 2.a), supuesto primero, y 2.b), párrafo primero.

El Tribunal Supremo ha acordado suspender única y exclusivamente el procedimiento respecto de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de Datos, hasta la resolución del incidente prejudicial planteado y dictar sentencia con relación a los demás artículos impugnados y plantear al Tribunal de Justicia de las Comunidades Europeas las cuestiones prejudiciales.

Este precepto es el único de los impugnados que ofrece dudas al Tribunal sobre su adecuación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

• Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones Públicas.

Este precepto fue objeto de impugnación al considerar que habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.

La impugnación del artículo 11 del Reglamento ha sido estimada.

• Artículo 12. Principios generales, en su apartado 2.

Este precepto fue impugnado al considerar que infringía el artículo 11.3 de la Ley Orgánica 15/1999, pues la utilización en el precepto reglamentario de la conjunción acumulativa “y” en lugar de la disyuntiva “o” empleada en el de la Ley, altera el contenido de este último.

El Tribunal ha considerado que una y otra norma coinciden en las prevenciones que contienen y que, en consecuencia, la impugnación ha de desestimarse.

• Artículo 13. Consentimiento para el tratamiento de datos de menores de edad, en su apartado 4.

La Sentencia recoge que la comprobación de la edad del menor puede presentarse en ocasiones como difícil, pero ello no debe de servir de excusa para la adopción de las medidas de garantía adecuadas que, en definitiva, es lo único que exige el precepto reglamentario impugnado, razón esta última que impide considerar la exigencia que previene como desproporcionada, cuando afecta o incide en un ámbito especialmente sensible.

• Artículo 18. Acreditación del cumplimiento del deber de información. En el inciso final de su apartado 1 y en su apartado 2.

La Sentencia recoge, contrariamente a lo que sostiene el Abogado del Estado, que dicho precepto no se limita a poner de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Lo que en realidad establece es la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos.

La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma y por ello esta disposición reglamentaria contraviene la Ley y por ello debe ser anulada.

• Artículo 21. Posibilidad de subcontratación de los servicios. En su apartado 2.a).

No ha sido acogida la impugnación de este apartado, pues si el responsable del tratamiento, de conformidad con el artículo 17.2 de la Directiva, debe elegir un encargado del tratamiento que ofrezca garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deben efectuarse, y asegurarse que se cumplen dichas medidas, y si de conformidad con el apartado 3 del indicado artículo el encargado del tratamiento solo actúa siguiendo instrucciones del responsable del tratamiento, no se puede negar capacidad de disposición a éste en supuestos de subcontratación.

La posibilidad de que el responsable del tratamiento pueda controlar el mercado de servicios de tratamiento, bien mediante el veto de una o varias empresas, bien mediante la manifestación de preferencia por alguna o algunas, por constituir una mera hipótesis, necesariamente debe ceder ante una previsión reglamentaria específica pero con cobertura. Otra cosa es que ya en el terreno de la realidad deban corregirse por quien corresponda prácticas restrictivas de la competencia.

• Artículo 23. Carácter personalísimo, en su apartado 2.c).

Tampoco se acoge la impugnación, pues la Sentencia recoge que un derecho de carácter personalísimo puede ejercitarse por medio de un representante voluntario.

• Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, el inciso final del párrafo 1º del artículo 24.3 y el párrafo 2º del mismo artículo.

También se desestima esta impugnación y se indica que el concepto de “ingreso adicional” está referido a aquellos ingresos que pudieran proceder del interesado. Otros ingresos que no procedan del afectado no se contemplan en este artículo.

• Enunciado de la Sección 2ª, del Capítulo I del Título IV, en cuanto se refiere también al <> de obligaciones dinerarias.

El recurso recogía la ilegalidad del término "cumplimiento", en cuanto a hacer referencia a los llamados ficheros positivos o de solvencia y no regularlos en los artículos integradores de la Sección (artículos 38 a 44). La impugnación fracasa porque el epígrafe de la Sección, al carecer de efectos normativos, no puede ser impugnado.

No obstante, no se discute por el Tribunal la relevancia de los ficheros de carácter positivo o de solvencia y afirma que la omisión reglamentaria no supone una prohibición de los ficheros positivos. Dichos ficheros solo resultan admisibles con el consentimiento del afectado.

•  Artículo 38. Requisitos para la inclusión de los datos, en sus apartados 1.a) (en el inciso <>) y b) (en el inciso <>), 2 y 3.

Se estima la impugnación del artículo 38.1.a) en el sentido de eliminar del mismo la frase "... y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Igualmente se estima la impugnación del apartado 2 del artículo 38 pues, si bien es cierto que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero reconoce que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.

La impugnación del apartado 1.b) ha sido rechazada, al igual que la del apartado 3.

• Artículo 39. Información previa a la inclusión, en el inciso <>.

El recurso presentado argumentaba que el precepto imponía al acreedor un deber no previsto en la Ley Orgánica 15/1999, pero no ha sido estimada su impugnación.

• Artículo 40. Notificación de inclusión, en su apartado 2.

No se admite la impugnación de este apartado, y se indica que la notificación de las deudas individualizadas, aunque sean varias, pueden ser realizadas en un solo acto.

• Artículo 41. Conservación de los datos, en el párrafo segundo del apartado 1 y en el apartado 2 (en el inciso <>).

La Sentencia recoge que nada cabe objetar en este caso al encontrarse en absoluta armonía con el principio de calidad de datos.

Añade la Sentencia que la frase "cancelación de todo dato" empleada en el apartado 1, párrafo primero, quiere alejar toda duda sobre la posibilidad de conservar el llamado <>, dando una respuesta negativa, pero también reconoce que tal respuesta está en concordancia con el artículo 29.4 de la Ley que exige que los datos respondan con "veracidad" a la situación "actual", requisito el de la actualidad que no se cumpliría con una referencia al pasado en el que no se estuvo al corriente en pago de deudas u obligaciones.

• Artículo 42. Acceso a la información contenida en el fichero, en su apartado 2, inciso <> del párrafo primero y todo el párrafo segundo.

Se rechaza la impugnación al interpretar el precepto reglamentario desde el punto de vista de que la escritura comprende otras formas distintas a la concepción tradicional de la escritura, como son aquellos que tienen un soporte electrónico.

• Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en su apartado 3, 1ª, en el inciso <>.

Se rechaza la impugnación, pues entiende que no se puede equiparar el plazo de diez días para que el responsable del tratamiento haga efectivo el derecho de rectificación o cancelación, con el de siete días que la disposición reglamentaria contempla como máximo para que el cesionario de los datos dé contestación a la solicitud de rectificación o cancelación, y cuyo incumplimiento origina el deber por parte del responsable del fichero común de proceder cautelarmente.

• Artículos 45.1.b), 46.2. b) y c) y 3, 47 y 49.1 y 4.

Estos artículos son relativos a los tratamientos para actividades de publicidad y prospección comercial.

El Tribunal ha considerado que la Asociación carece de legitimación para impugnar estos artículos pues, al agrupar empresas del sector financiero, se requiere para apreciar la legitimación que actúe en representación y defensa de los intereses empresariales o profesionales de sus asociados y esto no ocurre al impugnar unos preceptos reglamentarios que se refieren a una actividad distinta de la que la caracteriza.

• Artículo 69. Suspensión temporal de las transferencias, en su apartado 1.b) (inciso <>).

Se desestima la impugnación, pues el precepto reglamentario contempla a un Estado que por su normativa no garantiza el nivel de protección que concede la Ley Orgánica y que hay razones suficientes para creer que las autoridades competentes de dicho Estado no han adoptado o no están dispuestas a adoptar las medidas pertinentes.

• Artículo 70. Transferencias sujetas a autorización del Director de la Agencia Española de Protección de datos, en su apartado 3. letras c) (inciso <>), d (inciso <>) y d).

Tampoco es acogida la impugnación en este caso y se remite a los mismos argumentos expresados sobre el artículo 69.1.b).

• Artículo 123. Personal competente para la realización de las actuaciones previas, en su apartado 2, inciso <>.

Sí se estima la impugnación en este caso al entender que ni los artículos 35, 37 y 40 de la Ley Orgánica, ni ningún otro artículo de la misma, contempla la facultad que al Director de la Agencia concede el precepto reglamentario. La mención en el precepto reglamentario a "supuestos excepcionales", por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.

• Disposición adicional única.

La impugnación se desestima, pues se interpreta que no impone a los responsables y encargados de los ficheros y tratamientos la utilización de un producto de determinadas características, en cuanto que lo único que exige es que se describan las características técnicas del producto para que el adquirente pueda conocer el nivel de seguridad.

CONCLUSIÓN

Como conclusión de todo lo anterior, la Sentencia estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38. 2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero". Por otra parte, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Información provisional recogida del

Servicio Jurídico de la Asociación

GENERALIDADES BÁSICAS SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Constituye un derecho fundamental de los Ciudadanos el control de sus propios datos de carácter personal, por lo que se exige su consentimiento para cualquier uso que terceras personas quisieran hacer de los mismos, con excepción de algunos supuestos perfectamente tasados y regulados por las Leyes.

Reconocido este principio básico, hemos de aceptar también que una gran parte de las actividades sociales y económicas descansan sobre los datos personales del conjunto de los Ciudadanos que deciden participar en las mismas.

El concepto de dato personal es muy amplio y abarca entre otros, el nombre, los apellidos, la filiación, la fecha de nacimiento, el domicilio y cualquier otro dato que permita la identificación de forma directa o indirecta, tal como sucede con el número de identidad, número de identificación fiscal, número de identificación de la Seguridad Social, matrículas de vehículos, teléfonos, direcciones de correo electrónico, personalizadas o no, direcciones IP, claves de acceso, etc.

El anterior listado no es exhaustivo, por lo que también tienen la consideración de datos personales otros que no se expresan mediante caracteres alfanuméricos, como por ejemplo las fotografías, el ADN, las huellas digitales, la voz, el iris, etc.

Si gran parte de la actividad social y económica descansa sobre los datos personales de sus intervinientes, y el control sobre los datos personales constituye un derecho fundamental de sus Titulares, la posesión por terceros de esta información debe estar regulada para que puedan garantizarse los derechos de sus propietarios, especialmente frente a las nuevas tecnologías de la información y la comunicación que, como sabemos, permiten el archivo, la ordenación y el intercambio de millones de datos de una forma fácil y ágil.

La garantía de los derechos de los Titulares de los Datos de Carácter Personal descansa en las Leyes establecidas al efecto por cada País y en la Normativa Internacional. Concretamente en España existe legislación sobre protección de datos en el ámbito central y autonómico, tanto de forma directa como referenciada en otras Leyes.

COMPENDIO DE LEGISLACIÓN RECOPILADA POR LA AEPD

En España, la Autoridad independiente que se encarga en el ámbito estatal de garantizar el cumplimiento de la legislación sobre protección de datos es la:

AGENCIA ESPAÑOLA DE PROTECIÓN DE DATOS (AEPD)

Una vez concienciados de la existencia de este derecho y conocido el Sistema de control existente, tenemos que aprender a operar con naturalidad y tranquilidad con los datos de carácter personal que necesitemos para nuestro trabajo, sin ninguna clase de complejos, cumpliendo en todo momento con los requerimientos normativos. Y este objetivo lo podremos conseguir formándonos en esta materia, puesto que en la formación descansa la seguridad de su uso.

Los Ciudadanos que quieran participar en la actividad económica y financiera, deberán facilitar a las empresas, de forma voluntaria, aquellos datos personales que éstas consideren necesarios para el funcionamiento de su actividad.

Igualmente, si las entidades lo consideran necesario, los Ciudadanos también deberán firmar, en el momento de la solicitud de las operaciones, una CLÁUSULA DE CONSENTIMIENTO, en la que autoricen a las empresas a realizar todas aquellas gestiones que consideren necesarias para la comprobación de su identidad y para el análisis de los riesgos derivados de las operaciones que quieran contratar, especificando en dicha cláusula los ficheros externos a los que se va a acceder, el tratamiento que se va a hacer con los datos de carácter personal que se recaban, y las cesiones que se harán de los mismos en el caso de que se comprueben incongruentes o inveraces. Igualmente en el momento de la solicitud podrá recabarse la autorización para el tratamiento de los datos a través de plataformas de información positiva, puesto que en estas herramientas va a radicar en el próximo futuro una gran parte del análisis de riesgos.

La obtención de la CLAUSULA DE CONSENTIMIENTO es una decisión estratégica que debería ser asumida de inmediato por la totalidad del sector financiero (muchas entidades la han asumido ya), para trabajar de una forma eficiente en el conocimiento de los clientes y en el análisis de los riesgos, actividades éstas para las que resulta necesario apoyarse también en la colaboración y en la inteligencia compartida.

Obtenido el CONSENTIMIENTO en los términos señalados, sólo quedaría trabajar con los datos con naturalidad, tal como he indicado en párrafos anteriores, respetando los límites establecidos por el Titular de los mismos y que estarán expresados en la autorización recibida de éste.

Obtenidos los datos de carácter personal y el consentimiento necesario para su uso, sólo queda a las entidades responsabilizarse de su gestión y control mediante procedimientos eficientes.

Para una gestión eficiente de toda esta información de carácter personal, resulta necesario un tratamiento informatizado o manual, lo que obliga a las entidades a cumplir con una serie de obligaciones que están recogidas en la legislación sobre protección de datos de carácter personal.

Estas obligaciones las voy a esquematizar en la siguiente relación:

• 
  
  OBLIGACIÓN DE NOTIFICACIÓN (que es la comunicación que tiene que efectuar la empresa al Registro General de Protección de Datos, sobre la creación, modificación o supresión de cualquier fichero de datos, o del tratamiento no informatizado que vaya a realizar con los mismos.)
• 
  
  OBLIGACIÓN DE INFORMACIÓN (a los Titulares de los datos, en el momento de la recogida, sobre lo que pretende hacer la empresa con los mismos, con el fin de que los Ciudadanos puedan prestar libremente su consentimiento.)
• 
  
  OBLIGACIÓN DE AUTOLIMITACIÓN EN LA RECOGIDA DE LOS DATOS (sólo se deben recoger aquellos datos que sean adecuados, pertinentes y no excesivos en relación con la finalidad para los que son precisos. Las entidades, por tanto, deberán poder justificar ante la AEPD este extremo, por lo que no resulta oportuno obtener datos sin este criterio de racionalidad.)
• 
  
  OBLIGACIÓN DE GARANTIZAR LA SEGURIDAD DE LOS DATOS (para impedir cualquier alteración, pérdida, tratamiento o acceso no autorizado.)
• 
  
  OBLIGACIÓN DE CONSERVAR LOS DATOS SÓLO POR EL TIEMPO NECESARIO (las entidades deberán cancelar los datos cuando hayan cumplido con la finalidad para la que fueron recogidos.)
• 
  
  OBLIGACIÓN DE FACILITAR EL EJERCICIO DE SUS DERECHOS A LOS TITULARES DE LOS MISMOS (derecho de acceso, derecho de rectificación, derecho de cancelación y derecho de oposición que analizaremos posteriormente con más detalle.)
• 
  
  OBLIGACIÓN DE LA EXACTITUD EN LOS DATOS (el Responsable de su gestión y control debe mantenerlos actualizados con el fin de que respondan a la situación real de su Titular. Este incumplimiento es una de las causas que originan las sanciones más graves impuestas por la Agencia.)
• 
  
  OBLIGACIÓN DE RESPETAR LAS EXIGENCIAS LEGALES EN LOS DENOMINADOS DATOS SENSIBLES (determinados datos sensibles no pueden ser tratados ni almacenados en Ficheros. Existen excepciones a esta negativa que están muy tasadas por la norma y que requieren consentimiento expreso y por escrito del Titular de los datos. Se consideran datos sensibles los referidos a la salud, la vida sexual, el origen racial, la ideología, las creencias, la religión y la afiliación sindical.)
• 
  
  OBLIGACIÓN DE TRATAR LOS DATOS DE UNA MANERA LEAL Y LÍCITA (principio que no necesita comentarios.)

La Ley considera Responsable de un Fichero o Tratamiento al que decide sobre la finalidad, contenido y uso del Fichero o Tratamiento de datos personales. Puede ser por tanto, una persona física, una persona jurídica o un órgano administrativo. En nuestro caso, cada una de nuestras entidades será la Responsable de los ficheros creados para su uso interno.

Para los ficheros de información comunes, serán Responsables las Instituciones o empresas que los pongan en funcionamiento.

Ficheros sin consentimiento:

Nuestras entidades podrán crear ficheros o efectuar tratamientos de datos que figuren en fuentes públicas legales, siempre que su almacenamiento o tratamiento sean necesarios para sus intereses legítimos.

Este tipo de ficheros también pueden crearse por Terceros, como un servicio comercializable para clientes con interés legítimo en esta información.

Para este tipo de Ficheros también se exige la obligación de notificación a la AEPD, aunque no requieran el consentimiento de los titulares de los datos.

A modo de resumen voy a enumerar los casos en los que se pueden archivar y tratar datos:

1. 
   
   Cuando se tenga el consentimiento del Titular.
2. 
   
   Cuando una Ley habilite para hacer este tratamiento sin consentimiento.
3. 
   
   Cuando una administración pública los necesite para cumplir con las obligaciones de su competencia.
4. 
   
   Cuando sean necesarios para el mantenimiento o cumplimiento de una relación social, laboral, administrativa o de negocio.
5. 
   
   Cuando sean necesarios para proteger el interés vital del Titular o de un Tercero y haya una incapacidad para la obtención del consentimiento.
6. 
   
   Cuando procedan de fuentes accesibles al público y resulten necesarios para una finalidad lícita.

Los derechos de los Titulares

Anteriormente he enumerado las obligaciones que asume el Responsable de cualquier Fichero.

Seguidamente haré un glosario-recordatorio con la totalidad de los derechos que tienen los Titulares de los datos, que casan perfectamente con las obligaciones de los Responsables de los Ficheros y de los Cesionarios de los datos:

• Derecho de Información: ya explicado al hablar de la Obligación. (Art. 5 de la LOPD)
• Derecho de Consulta a la Agencia para conocer la existencia de los Ficheros y Tratamientos de Datos y para identificar a sus Responsables. Este derecho es la consecuencia de la obligación de notificación. El conocimiento de la existencia de los ficheros no sólo resulta necesario para el control de la AEPD, sino para facilitar el ejercicio de este derecho a los Titulares. (Art. 14 de la LOPD)
• Derecho de Acceso de los Titulares al Responsable del Fichero para conocer si sus datos de carácter personal están en su Fichero, la naturaleza, origen, destinatarios y si se han producido transferencias internacionales de los mismos. Existen Ficheros que por disposición legal están excluidos de este derecho, como por ejemplo los ficheros que se creen para la prevención del blanqueo de capitales y de la financiación del terrorismo. (Art. 15 de la LOPD)
•  Derecho de Rectificación, cuando el Titular, una vez ejercido el derecho de acceso, estima que cualquier dato incluido en el Fichero es erróneo. (Art. 16 de la LOPD)
•  Derecho de Cancelación, en caso de que el Titular, una vez ejercido el derecho de acceso, estime alguna inexactitud o tratamiento ilegal. (Art. 16 de la LOPD)
• Derecho de Oposición, o negativa a figurar en un fichero por motivo legítimo y fundado, o al tratamiento de sus datos personales. ( Art. 6.4, 17 y 30.4 de la LOPD)
• Derecho a la Tutela por parte de la AEPD, para garantizar el ejercicio efectivo de los derechos anteriormente referenciados a los Titular de los datos. (Art. 18 de la LOPD)

Obligaciones de los Responsables de los Ficheros o Tratamientos, en relación con estos derechos

Respecto al Derecho de Información

Las entidades están obligadas a cumplir con este derecho en el momento de la recogida de los datos, informando a los Titulares, por cualquier medio que consideren adecuado, sobre los siguientes extremos:

• La identificación del Fichero en el que serán depositados estos datos.
• La identificación del Responsable de mismo.
• La finalidad del Fichero.
• Destinatarios de la información.
• Si se va a dar algún tratamiento a los datos
• El ofrecimiento del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Si en la recogida de los datos se informase al Titular de que éstos podrán ser cedidos fuera de la entidad por algún motivo tasado, cuando se produzca la primera cesión de los mismos se le deberá informar de este hecho por quien corresponda (cedente o cesionario) y de la identidad del cesionario.

Respecto al Derecho de Consulta

Sólo indicar respecto a este Derecho, que está íntimamente relacionado con la Obligación de Notificación a la AEPD. La Notificación la hará el Responsable del Fichero en la forma establecida por la Agencia. No es objeto de este trabajo la forma en que los ciudadanos pueden ejercitar este Derecho.

Respecto al Derecho de Acceso

Cada entidad deberá tener montada la infraestructura necesaria para cumplir con el ejercicio de este Derecho, y utilizará para ello los medios que considere adecuados: escrito, copia, fotocopia, fax, consulta en pantalla, etc.

Sólo hay una exigencia: que el sistema de consulta que se establezca sea gratuito e inteligible para el Ciudadano.

La contestación del Responsable del Fichero al ejercicio de este derecho es obligatoria, y si no es inmediata por la utilización de procedimientos informáticos que así lo permitan, el plazo para la contestación será como máximo de un mes desde la fecha de recepción de la solicitud.

La contestación ha de hacerse, aún en el caso de que no existan datos en el Fichero. (Es importante cumplir con este extremo.)

Si la entidad no se quiere tener problemas con la Agencia, ha de poder acreditar de alguna forma que ha efectuado la contestación.

Este derecho puede ser ejercido cada doce meses. Si el solicitante acredita un interés legítimo, podrá ejercitarlo en un plazo inferior.

Este derecho puede ser ejercitado directamente por el Titular de los datos o por un Representante del mismo.

El ejercicio de este derecho por parte del Ciudadano o su Representante, está sometido a los siguientes requisitos formales:

• Escrito o comunicación realizada a través de los medios electrónicos habilitados específicamente para esta finalidad por la entidad, que deberá estar firmado manual o electrónicamente, dependiendo del sistema habilitado por la empresa, o refrendado con las claves de acceso suministradas por la entidad para el ejercicio del derecho.
• En el escrito o comunicación deberá quedar reflejada la fecha y el domicilio del Titular a efectos de la contestación que debe hacer el Responsable del Fichero.
• Se deberá aportar fotocopia del DNI, Tarjeta de Extranjero o cualquier otro documento que acredite la identidad y sea admitido en derecho.
• Si el ejercicio del derecho lo realiza un Representante del Titular, éste tendrá que añadir a los requisitos anteriores, la identificación del Representante, así como el documento que acredite la representación.

Respecto al Derecho de Rectificación

Con el mismo procedimiento habilitado por la entidad para el ejercicio del Derecho de acceso, el Titular de los datos o su Representante podrá ejercer el Derecho de Rectificación ante el Responsable del Fichero, para lo que deberá comunicarle el dato erróneo, así como la corrección que deba realizarse, acompañando la justificación de la rectificación solicitada.

El Responsable del Fichero tiene de plazo diez días naturales para atender la rectificación y además:

• Contestará en este plazo, de forma motivada, a la solicitud de rectificación, aún cuando los datos a rectificar no figuren en el Fichero.
• Deberá poder justificar también ante la Agencia que ha atendido el ejercicio de este Derecho.
• En el caso de que los datos objeto de rectificación hubiesen sido cedidos a un Tercero, deberá notificar al cesionario la rectificación practicada.

Respecto al Derecho de Cancelación

Este Derecho se podrá ejercitar por el Titular de los datos, si considerara que los mismos han sido tratados ilegalmente o son inexactos o incompletos.

En la solicitud de cancelación, el Titular de los datos o su Representante, deberán exponer las razones para la cancelación y, en el caso en sean por datos erróneos o inexactos, deberán aportar la documentación justificativa de tal aseveración.

El Responsable del Fichero tiene de plazo diez días para atender el derecho de cancelación, que irá acompañado de las siguientes medidas:

• Contestará de forma motivada a la solicitud de cancelación en el plazo indicado, aún cuando los datos a cancelar no figuren en el Fichero.
• Si existen razones, bloqueará los datos impidiendo su utilización.
•  A partir de ese momento seguirá conservando los datos por las responsabilidades que pudieran derivarse. Éstos sólo estarán disponibles para las Administraciones públicas, Jueces, Tribunales.
• Este bloqueo y conservación durará hasta que termine el plazo sobre posibles responsabilidades.
• Cumplido este plazo, se procederá a la supresión total de los datos.
• Si los datos bloqueados o cancelados hubieran sido cedidos previamente a un tercero, se deberá notificar al cesionario del bloqueo y de la cancelación.

Excepciones al Derecho de Cancelación en los Ficheros privados:

• Cuando exista el deber de conservación de los datos, éstos no podrán ser cancelados durante el plazo establecido en cada caso por la legislación aplicable.
• Tampoco serán cancelados cuando la conservación sea necesaria para el cumplimiento de las obligaciones contractuales que vinculen a la empresa con el interesado y justifiquen el tratamiento de los datos.
•  Igualmente no se procederá a la cancelación cuando pudiese causar perjuicios al propio Titular de los datos o a un tercero.

Respecto al Derecho de Oposición

Se podrá ejercitar este Derecho cuando exista un motivo legítimo y fundado referido a una situación personal concreta, y siempre que una Ley no lo impida.

La Oposición puede referirse:

• A que los datos se incorporen en un Fichero.
• A que los datos sean comunicados a terceros.
• A las dos posibilidades anteriores.

Este Derecho ha de ejercitarse mediante un escrito, dirigido al Responsable del Fichero, en el que se haga constar el motivo fundado y legítimo referido a la situación concreta justificativa de la solicitud.

También se puede ejercitar este Derecho en el mismo momento de la recogida de la información, por lo que las entidades estarán muy pendientes de comprobar si el Titular de los datos ha señalado con una X su negativa a la cesión o comercialización de los datos, aún en el supuesto en que no quepa este Derecho respecto al Fichero de la empresa, porque exista una relación contractual que lo impida.

El Responsable del Fichero, desde la recepción de la petición, tiene de máximo un mes de plazo para resolver sobre el ejercicio del derecho. Si no contesta en ese plazo, el Titular de los datos considerará desestimado el ejercicio de su derecho y podrá presentar una reclamación ante la AEPD.

En el caso de que el ejercicio del derecho sea procedente, el Responsable del Fichero debe excluir del tratamiento, los datos objeto del Derecho de Oposición.

El ejercicio del Derecho de Oposición en los Ficheros de datos con fines publicitarios y de prospección comercial

Se podrá ejercitar este derecho con una simple solicitud dirigida al Responsable del Fichero, sin necesidad de justificación.

En este caso, el Responsable del Fichero deberá cancelar los datos en el momento de recibir la solicitud. También evitará tratarlos, si en la recogida el Titular ejerce este derecho poniendo alguna cruz en la ventanilla habilitada al efecto. Las entidades deberán tener mucho cuidado de no cometer el error de no controlar estos detalles que aparecen en la documentación en la que se solicita el consentimiento.

Respecto al Derecho de Tutela

Cuando un Ciudadano ejerza el derecho de Tutela ante la AEPD, el Responsable del Fichero se verá sometido a un expediente, si la Agencia estima procedente el ejercicio de este Derecho, que originará estos momentos procesales:

• La AEPD dará traslado de la reclamación al Responsable del Fichero.
•  Éste tienen 15 días para hacer las alegaciones oportunas.
• La AEPD resolverá el Expediente en un plazo máximo de 6 meses, con traslado de la resolución a cada una de las Partes.
• Al margen de este expediente derivado del ejercicio del derecho de Tutela, existe la posibilidad de que la Agencia inicie de oficio un procedimiento sancionador, cuando de la resolución que dicte se deriven indicios o pruebas razonables de infracción de la legislación de protección de datos, por parte de la empresa denunciada.

Establecidas estas generalidades de interés para nuestras empresas, en las siguientes píldoras iré tocando aspectos de interés que ayuden al cumplimiento de las obligaciones que asumen las empresas con los Ficheros de datos de carácter personal. Y nada mejor para este objetivo que aprender de los errores que se comenten y de las consecuencias económicas que originan los mismos.

Fabián Zambrano Viedma

Responsable del Servicio