a. Que los hechos únicamente sean constitutivos de infracción leve o grave.
b. Que el infractor no haya sido sancionado o apercibido con anterioridad.

(ii) Que el órgano sancionador garantice la audiencia previa de los interesados. El objetivo de la audiencia previa es informar al infractor de las medidas correctoras que debe cumplir, así como del plazo fijado por el órgano sancionador para la adopción de dichas medidas. El incumplimiento de la medidas/plazos dará lugar a la apertura del procedimiento sancionador.
(iii) Que atendiendo a la naturaleza de los hechos, concurran de manera significativa los criterios establecidos para apreciar la reducción de sanciones en el artículo 45. 5 de la LOPD por vía de aplicación de la escala inmediatamente inferior.

Por último, conviene señalar que la figura del apercibimiento ya se aplica de manera plena, tal y como pone de manifiesto la Sentencia de la Audiencia Nacional de 17 de junio de 2011, en la cual se anula la sanción inicialmente impuesta por la Agencia estableciendo el apercibimiento del infractor.

Su popularización general ha ido creciendo de forma paralela a la confianza acentuada de los usuarios en su utilización. Sin embargo, utilizar estos servicios implica una serie de amenazas relacionadas con la seguridad, tanto de los datos personales como de nuestro dinero; caracterizado por el fraude y los diferentes tipos de abuso que existen. Por este motivo, debemos ser cautos a la hora de realizar nuestras gestiones online, y tener en consideración una serie de buenas prácticas que garanticen de alguna forma que las transacciones se realizan de forma correcta.

Los sistemas de autenticación permiten verificar la identidad durante todo el proceso de compra, y aunque existen diferentes medios que lo permiten, siempre dependerán en gran medida de la infraestructura del comercio online. La forma más tradicional y “rudimentaria” en cuanto a sistema de autenticación sería el uso del nombre de usuario y clave asociada, aunque en ocasiones viene reforzada con utilidades como teclados virtuales. No obstante, actualmente existen múltiples mecanismos que han ido mejorando considerablemente con el tiempo, entre los que se encuentran las tarjetas inteligentes, los tokens, los dispositivos biométricos, y los certificados y firmas electrónicas.

Durante las transacciones, además deberemos fijarnos en el cifrado de las mismas para asegurar la integridad de los datos y su intercepción durante el proceso. A través del conocido protocolo de autenticación SSL, se desarrolla el HTTPS; que se identifica en el navegador de forma https:// en lugar del habitual http://. Deberemos observar siempre su existencia para asegurarnos la seguridad en el trascurso de las operaciones.

Siguiendo en esta línea, también deberemos verificar si la URL que se indica durante todo el proceso corresponde con la del comercio o entidad en sí; ya que es posible la simulación de empresa a través de la modificación de uno de los dígitos de la URL, y que con un “look and feel” similar se pueda estar proporcionando datos a una empresa diferente.

En muchas ocasiones también podremos encontrarnos con situaciones que nos hagan sospechar a primera vista, por lo que deberemos ser más cautos. Por ejemplo si nos solicitan datos que creamos excesivos para la transacción que estamos realizando, que el certificado de seguridad proporcionado se encuentre caducado o no sea válido, o simplemente que no haya ninguna información sobre la razón social de la empresa, dirección, medio de contacto o CIF. En todos estos casos, a parte de parar temporalmente la transacción comercial, se podrá acudir a la búsqueda de opiniones de demás usuarios acerca de la reputación de dicho comercio.

Nunca debemos olvidar también que en Internet existe la letra pequeña y se puede jugar con ello. Es importante leer atentamente los términos y condiciones de contratación que se aceptan de forma previa, que no pueda sorprendernos ninguna situación posterior desconocida. Además, una vez finalizado un proceso de compra, la empresa deberá notificar mediante correo electrónico al usuario la confirmación de la compra y su valor. Y no queda ahí, además nuestra tarea posterior será la comprobación en el banco para verificar que el importe cargado es el correcto.

Actualmente existen muchas certificaciones válidas expedidas por diferentes agentes que puedan disponer el comercio online, como puedan ser Trust-e, Confianza Online o Verisign; que garantizan en un primer momento la confianza del sitio web. No obstante, debemos siempre ser cautos y prestar la mayor diligencia posible en el proceso, ya que el desarrollo de la tecnología no permite siempre que pueda ser utilizada de forma segura; y menos cuando hay dinero de por medio.

El agente, sin embargo está vinculado con una compañía aseguradora mediante un contrato de agencia, tal y como se describe en el artículo 9 de la misma Ley “ son agentes de seguros las personas físicas o jurídicas que, mediante la celebración de un contrato de agencia con una o varias entidades aseguradoras y la inscripción en el Registro administrativo especial de mediadores de seguros, corredores de reaseguros y de sus altos cargos, se comprometen frente a éstas a realizar la actividad definida en elartículo 2.1 de esta Ley.”

En el caso del corredor, las personas que demandan sus servicios buscan asesoramiento antes de contratar un seguro, transmitiendo por lo tanto sus datos a aquél que posteriormente los cederá a la compañía de seguros elegida para formalizar el contrato. Al amparo del artículo 11.2.c. de la LOPD no es necesario el consentimiento de los interesados para tal cesión, aunque estos deberán ser informados adecuadamente según lo dispuesto en el artículo 5 LOPD. Es decir los corredores de seguros y reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos, tal y como se dispone en el artículo 62.1.c de la Ley 26/2006.

En cuanto al agente, que realiza una prestación de servicios en virtud del contrato de agencia que le une a una determinada compañía aseguradora, será el encargado del tratamiento de ésta, como se establece en el artículo 62.1.a de la Ley 26/2006.

Para el caso de la extinción de la relación, el corredor no procederá a la devolución de los datos, sino que únicamente se le exige que proceda a la cancelación según lo dispuesto en el artículo 4.5 de la LOPD (“los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados”) por lo que si perdiese su condición de mediador de seguros deberá cancelar la base de datos.

En el caso del agente, una vez que se haya extinguido su relación contractual, sí deberá destruir o devolver a la entidad aseguradora, los datos personales de los que disponga y que haya recabado durante su prestación de servicios , tal y como se contempla en el artículo 12.3 de la LOPD (“una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”).

Conforme se reconoce en el citado Título III, el derecho de rectificación deberá hacerse efectivo cuando los datos personales que ostente el Responsable del Fichero (centro sanitario) resulten inexactos o incompletos (art. 16.1 LOPD). No obstante lo anterior, en relación al contenido de una historia clínica, el derecho de rectificación que nos ocupa no se circunscribe al total de su contenido. En efecto, no se encuentra contemplada la posibilidad de que un paciente pueda rectificar un diagnóstico médico o los resultados de una determinada prueba, véase a título ilustrativo un positivo en las pruebas de VIH o el tipo y estadío de una patología tumoral. En efecto, el art. 33.2 de la LOPD admite la posibilidad de denegar por parte del Responsable del Fichero (centro sanitario) el ejercicio del derecho de rectificación cuando así lo prevea una Ley o norma de Derecho comunitario. En este sentido, debemos acudir a la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, al objeto de poner de manifiesto que, como quiera que su art. 15.1 establece que la historia clínica incorporará la información que se considere fundamental para el conocimiento veraz y actualizado del estado de salud del paciente, la pretensión de ejercitar el derecho de rectificación por un paciente puede ser viable en principio, únicamente, respecto a cuestiones que incumban a su esfera personal, como por ejemplo datos de contacto, o también antecedentes personales y/o familiares que resulten ser inciertos o erróneos. Sin embargo, no cabría el reconocimiento de una solicitud de rectificación por parte de un paciente respecto del resto de su historia clínica, salvo prueba de un error manifiesto. En efecto, a mayor abundamiento, en relación con la rectificación de datos clínicos, únicamente sería posible respecto a aquellos que se demostrasen erróneos, debiendo el interesado aportar las pruebas necesarias para acreditar el error, conforme establece la Agencia Española de Protección de Datos en su Instrucción 1/1998, de 19 de enero: “La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección que debe realizarse y deberá ir acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma dependa exclusivamente del consentimiento del interesado.”

En este sentido, existen variadas Resoluciones de la Agencia de Protección de Datos de la Comunidad de Madrid en las que se deniega el ejercicio del derecho de rectificación de datos clínicos, al no haberse acreditado su inexactitud, sobre la base de la siguiente argumentación:

“Tomando en consideración la anterior, se ha de poner de manifiesto que el reclamante no justifica la existencia de un error en la consignación de los datos que se pretenden rectificar, afirmando únicamente que esos datos fueron reflejados por una médico y una DUE sin la previa realización de pruebas, siendo, como se ha señalado anteriormente, que los datos consignados respondían a la apreciación profesional de las intervinientes en la asistencia.

Así, se debe afirmar que la información a que se refiere el reclamante, consignada en el Parte de asistencia del SAMUR, no puede ser rectificada en el sentido previsto por el derecho de rectificación de datos del artículo 16 de la LOPD, no pudiendo estimar la tutela del mismo.”

Dicha limitación resulta de enorme importancia en el ámbito sanitario, por cuanto el ejercicio del derecho de rectificación pudiera incluso implicar el riesgo de menoscabo de salud en el paciente por una indebida alteración de los datos contenidos en su historia clínica.

“En primer lugar conviene señalar que es criterio uniforme de la Agencia Española de Protección de Datos, que la existencia de un grupo de empresas no afecta para que cada una de las sociedades integradas en el mismo no mantenga diferenciada y plena su personalidad jurídica. A todos los efectos jurídicos, la circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas, de modo que la comunicación de datos se produce entre dos personas distintas, sin que exista una previsión legal que flexibilice los requisitos para la legitimidad de dicha cesión.

Este criterio ha sido ratificado por la Sentencia de la Sección Novena de la Sala de lo Contencioso-administrativo del Tribunal Superior de Justicia de Madrid, de 16 de octubre de 2000, cuando en su fundamento de derecho cuarto señala que, “Cualquier empresa es libre de constituirse en cualquiera de las formas societarias que el Derecho Mercantil regula. Asimismo, las empresas pueden unirse a través de las distintas formas reguladas en derecho: fusión, Absorción, etc. Pero, desde luego, lo que no cabe es que existan dos sociedades anónimas y, como tales, independientes y con personalidad jurídica autónoma y que por el hecho de que una sea propiedad de la otra, el particular que contrata con la primera pueda verse perjudicado, precisamente, por la estructura empresarial que la sociedad ha elegido. Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones que esta última ha intervenido pues ello supone olvidarse de que se trata de personas jurídicas distintas”.

Atendiendo a lo que acabamos de indicar, cada una de las empresas que integren el grupo de empresas será responsable del fichero de datos de sus correspondientes empleados, clientes, proveedores, etc. teniendo en cuenta que el artículo 3 d) de la LOPD define al mismo como “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.”

En definitiva, esta argumentación resalta la obligación de cada empresa de cumplir con la normativa de protección de datos, independientemente de su pertenencia o no a un grupo empresarial, en atención al hecho de que los interesados no puedan verse afectados por la forma societaria elegida por el empresario.

A pesar de que el tratado cuenta con el visto bueno de la Comisión Europea y ha sido firmado por la gran mayoría de los países de la Unión Europea desde el momento de su publicación ha levantado una gran polémica en todo el mundo y ha sido el motivo de numerosas protestas principalmente en Internet, pero también en la calle.

En la Red, se han recogido más de dos millones de firmas contra ACTA y se siguen organizando las manifestaciones en diferentes países de toda Europa y del mundo.

Sus detractores preocupa especialmente la misteriosa preparación de su cláusulado que se estaba elaborando desde el año 2007 bajo las estrictas medidas de secreto.

Denuncian la sobreprotección de los derechos de propiedad intelectual y el control contra la “piratería” de bienes que podría poner en peligro la libertad de expresión en Internet mediante medidas de censura extrajudiciales.

Se trata de una norma bastante ambigua y con una gran indefinición que deja en manos de empresas privadas la interpretación de sus artículos.

Además, sus regulaciones con respecto al tratamiento de datos personales pueden entrar en conflicto con el derecho a la intimidad previsto en la Constitución y el Convenio Europeo de Derechos Humanos y las Libertades Fundamentales.

Sin embargo la más peligrosa disposición del tratado es la que permite convertir a los proveedores de Internet en policías de contenidos, lo que conlleva las posibles vulneraciones de la privacidad de los internautas.

No obstante el acuerdo ACTA no se aplica exclusivamente a las actividades llevadas a cabo a través de Internet sobradamente ya explicadas. Veamos el siguiente ejemplo que no tiene nada que ver con internet pero que describe claramente la debilidad y falta de previsión de dicho acuerdo:

Fulanito compra una conocida cadena de tiendas de ropa sin saber que los trajes que vende uno de sus centros son falsificaciones de una prestigiosa marca. El cliente Manolito compra un traje falsificado y paga con una tarjeta de crédito. Más tarde el titular de la marca sospecha de que la tienda vende productos falsificados de su marca e inicia una investigación.

De conformidad con el art. ACTA 11, el titular de la marca podrá solicitar al infractor - el nuevo propietario de la cadena de tiendas, la divulgación de la identificación de las personas involucradas en cualquier momento del proceso de la supuesta infracción. En consecuencia estará obligado a facilitar los datos de mayoristas, otros proveedores, vendedores y compradores, incluyendo a Manolito ya que pagó con la tarjeta.

En definitiva, esta disposición permite una situación en la que sería suficiente una presunción de culpabilidad para que el titular de la marca pudiera exigir la divulgación de información con datos personales sin tener que demostrar ningún requerimiento judicial.

Pero además, si el titular de la marca tuviera su sede en un tercer país (que no cumple con la rigurosa legislación europea en materia de protección de datos), el propietario de la tienda estaría obligado a transferir ahí toda la información personal, aún sabiendo que no cuenta con las garantías de la legislación europea y de seguridad adecuadas.

Incluso si Manolito tuviera el conocimiento de la transferencia internacional realizada y quisiera ejercer su derecho de cancelación, probablemente le habría sido denegado, primero porque en el acuerdo ACTA prevalece el principio de supervisión y rendición de cuentas, y segundo porque no se prevén recursos o sanciones contra los responsables de tratamiento en terceros países que cometieran infracciones en materia de protección de datos conforme su legislación nacional de interesados.

El gran riesgo de este acuerdo es que la presunción de infracción de derechos de autor (debido a la falta de la necesidad de probar este hecho) puede ser utilizada de forma perversa por los propietarios de derechos de autor o marca sin que tengamos medios para impedirlo, por ejemplo para conseguir un listado de clientes de una empresa competidora haciendo unas denuncias falsas.

Aunque el artículo 4 de ACTA contiene una cláusula de salvaguardia según la cual el estado parte del acuerdo no está obligado a divulgar la información que conforme sus leyes nacionales podría ser considerada como confidencial no esta mencionando a las entidades privadas, ya que no son parte en el ACTA. En consecuencia propietario de la cadena de tiendas de nuestro ejemplo, no podría negarse a transmitir los datos de las personas involucradas al titular de la marca.

El próximo verano el Parlamento Europea tenía previsto aprobar definitivamente el acuerdo pero la presión social empieza a tener sus primeras consecuencias. Algunos países europeos que firmaron en primera instancia el acuerdo se han empezado a desvincular. El enviado de Eslovenia, que firmó el acuerdo, reconoció públicamente que su conducta había sido "una falta de cuidado cívica", en Rumania dimitió todo su Ejecutivo, los gobiernos de Polonia o la República Checa han suspendido el proceso de ratificación del mismo, al menos hasta analizar el impacto del documento. También Alemania ha suspendido el proceso hasta que Eurocámara tome la decisión definitiva.