La Audiencia Nacional confirma las multas a ANC por la encuesta del 9-N y por la falta de seguridad de los datos personales de socios publicados por Anonymous

La Sala de lo Contencioso-administrativo confirma ambas multas, de 200.000 y 40.000 euros, impuestas por la Agencia de Protección de Datos

Autor
Comunicación Poder Judicial

La Sala de lo Contencioso-administrativo de la Audiencia Nacional ha confirmado dos multas de 200.000 y 40.000 euros impuestas a la Assemblea Nacional Catalana (ANC) por la Agencia de Protección de Datos, la primera de ellas por la encuesta realizada los meses previos a la consulta del 9-N y la segunda por la falta de seguridad de los datos personales de sus socios contenidos en el fichero creado para la gestión de la asamblea de la entidad en abril de 2014 y que fueron publicados por un grupo autodenominado Anonymous Cataluña.

En una sentencia, los magistrados de la Sección Primera desestiman el recurso planteado por ANC y confirma ambas sanciones, la primera de ellas, la relacionada con el 9-N, por infracción muy grave y la segunda por infracción grave, considerando ambas resoluciones “conformes a derecho”. 

Gigaencuesta en tres millones de domicilios

La resolución explica que los hechos analizados en este caso se remontan a los meses de octubre y noviembre de 2014, cuando las entidades ANC y Omnium Cultural -para lo que ya se confirmó la misma multa por los mismos hechos- promovieron la campaña “Ara és L´Hora” para realizar una encuesta que denominaron “Gigaencuesta” en todo el ámbito de Cataluña y que afectaba a 3 millones de domicilios. 

Para realizar la encuesta se habilitó un formulario de 6 preguntas que comenzaba con “Si Cataluña fuera un estado tendría entre 8.000 y 16 .000 millones de euros más, ¿Cómo piensa que se debería gastar?”; la segunda, empezaba declarando que “si construimos un país nuevo estará en nuestras manos decidir cómo deben ser los servicios públicos”; en la tercera, con carácter previo: “construir un nuevo país nos permitiría partir de cero y renovar la democracia”. Y la última pregunta, “¿Irá a votar el día 9 de noviembre?” con tres posibles respuestas: “A) iré a votar y ya tengo decidido mi voto; b) Iré a votar y ya decidiré mi voto y C) no iré a votar”. 

La sentencia recoge como la Gigaencuesta se desarrolló por dos vías: por correo postal y a través de 30.000 voluntarios que se dividieron por áreas geográficas, con visitas “casa a casa” organizadas por municipios, distritos y zonas. Los encuestadores, explican los jueces, “cumplimentaban los formularios de aquellos ciudadanos que así lo deseaban. Si los encuestados no abrían la puerta o no querían o no podían responder pero se apreciaba “receptividad”, se preveía la posibilidad de entregar el folleto o depositarlo en el marco de la puerta para que dichos encuestados lo remitieran por correo”. 

Para efectuar el registro de los datos, se creó un fichero y Omnium era el destinatario de las respuestas recibidas tanto por correo como por los voluntarios, que se entregaban en los 20 locales que tenía la entidad repartida por toda Cataluña. Finalizada la encuesta en cada ámbito geográfico, la documentación se procedía a su mecanización a través de una aplicación facilitada por ANC. 

Tratamiento de datos sin consentimiento reforzado

Después de examinar las alegaciones de ANC contra la sanción de Protección de Datos, la Sala entiende que la entidad trató los datos personales de los encuestados, sin el consentimiento reforzado que dicho tratamiento de tal categoría especial de datos personales requiere, con vulneración de lo preceptuado en el artículo 7 de la Ley Orgánica de Protección de datos. 

“Tratamiento no consentido, que se deriva a través de las irregularidades observadas por los inspectores de la Agencia”, explica la Sala, que añade que “en este sentido, manifiesta tal entidad actora, en la demanda que, una vez procesados los resultados de la Encuesta, únicamente se iban a conservar los datos de las personas que habían proporcionado sus datos y habían aceptado el tratamiento y, por tanto, sólo se guardarían los formularios como prueba de dicha aceptación. Sin embargo, figura acreditado que en los formularios examinados por los inspectores de la AEPD, tanto mecanizados como pendientes de ello, no se había procedido a la separación física de la parte destinada a registrar las respuestas y la parte destinada a recabar datos de carácter personal”. 

Respecto a la falta de proporcionalidad de la sanción alegada por la ANC, los magistrados lo rechazan al considerar que “sí ha existido intencionalidad y culpabilidad”, además de que la infracción no se refiere a cuatro encuestas y tres mapas de visitas sino a todo el sistema de organización y consulta y “en definitiva de obtención de datos personales de ideología, como se ha indicado, que fue desplegado por tal entidad actora con anterioridad a la consulta soberanista del 9 de noviembre de 2014”. 

“Tampoco ha resultado acreditada una mayor implementación de procedimientos adecuados para cumplir con la LOPD que se invoca en la demanda, además de la que ya fue tomada en consideración por la Agencia para rebajar la sanción. Sin que sea apreciable, por último, la inexistencia de reincidencia, dado que tanto la entidad actora como ÒMNIUM tienen pendientes antes esta Sala, por hechos similares o idénticos a los enjuiciados en este pleito, varios procedimientos judiciales”, concluye la Sala. 

Sanción de 40.000 euros por falta de seguridad de datos de socios publicados por Anonymous

La sentencia explica que en el Registro General del Protección de datos figura inscrito por la ANC un fichero denominado “Associats” con datos personales  de los socios, colaboradores y simpatizantes entre los que se concluyen datos especialmente protegidos como la ideología, afiliación sindical y creencia, datos de carácter identificativo como nombre y dirección y otros tipos de datos  como económicos, financieros y de seguros. 

El 5 de abril de 2014, la ANC celebró una Asamblea Genera en Tarragona, para cuya preparación la entidad generó un fichero extraído del fichero de asociados y puso a disposición de estos una aplicación web, que les permitía acceder a través de Internet a sus datos personales contenidos en dicho fichero mediante la introducción de su DNI. Igualmente generó una aplicación para el control de acceso y asistencia a la asamblea para la cual se extrajo, igualmente, un fichero del de asociados. 

Según la sentencia, el 4 de septiembre un grupo autodenominado “Anonymous Cataluña” publicó a través de su perfil en Facebook un conjunto de datos de socios de la ANC como los relativos a número de asociado, nombre y apellidos, DNI, correo electrónico, tipología de socio y en su caso, deuda. 

En esas fechas, continúa relatando la sala, tras conocer dicha publicación, la ANC interpuso denuncia en la que expuso que el acceso a los datos pudo realizarse a través del archivo cens.ql que era una exportación de la base de datos de socios de la ANC realizada por la Asamblea General de Tarragona el 5 de abril, alojado en un servidor dedicado en exclusiva al registro de entrada a la asamblea, que fue borrado una vez finalizada la misma. Añadí que solicitó tanto a Wikisend como a Facebook la retirada de los datos ilícitamente publicados. 

Para los magistrados, en las actuaciones ha quedado probado la falta de medidas de seguridad adecuadas para garantizar la seguridad de los datos personales contenidos en el fichero creado para la gestión de la asamblea de la ANC, celebrada el 5 de abril de 2014, extraído de la base de datos de socios, y en la aplicación web puesta a disposición de los asociados para que pudieran verificar la posibilidad de participar en la misma, que permitía acceder a dicho fichero mediante el número de DNI sin solicitar ninguna contraseña de acceso a los datos. 

Esa falta de medidas de seguridad, asegura la sentencia de la Audiencia, posibilitó que un tercero no identificado accediera al perfil de los 53.818 asociados registrados en el momento del acceso, obteniendo los datos personales relativos a nombre, apellidos, email, documento, estado y deuda, en su caso. 

 

Apunta el tribunal que en este caso la propia ANC ha reconocido su responsabilidad por la citada incidencia en el escrito de alegaciones al acuerdo de la apertura del procedimiento sancionador.