El Tribunal Constitucional (TC) ha desestimado el recurso interpuesto por la asociación Omnium Cultural contra la decisión de la Agencia Española de Protección de Datos de 2017 de sancionarla con 90.000 euros por vulneración de lo dispuesto en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), infracción tipificada como muy grave, al alojar datos sensibles en EEUU.
En una nota informativa del TC, se recoge que el recurso de Omnium iba también contra la sentencia de la Audiencia Nacional que avalaba esa sanción y contra el auto de inadmisión de la casación ante el Tribunal Supremo.
Precisamente, en la resolución de la Audiencia Nacional se recoge que la AEPD se fijó para sancionarla en el contrato de julio de 2014 celebrado entre Omnium Cultural y Blue State Digital Inc (BSD) a fin de que por esta se procediese a la conservación de datos de carácter personal del fichero ‘Ahora es la Hora’, del que Omnium era responsable, en los servidores de BSD en Estados Unidos.
El fichero ‘Ara és l’hora’ contenía datos de la capaña unitaria para conseguir una mayoría amplia del pueblo de Cataluña que se decantara por el sí a la independencia y para poder construir un país nuevo, según recogía la propia asociación en su portal web.
Ese contrato tenía como base jurídica, en cuanto a la transferencia internacional de datos que supone su ejecución, la Decisión de la Comisión 2000/520/CE, sin embargo, desde la invalidez de dicha Decisión por la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de octubre de 2015, era necesario que aquellas entidades que hubieran transferido datos a EEUU, como Omnium, encontraran amparo legal en el artículo 33 de la LOPD.
EL ARTÍCULO 33 DE LA LOPD
Pese a esto, Omnium siguió conservando los datos alojados en los servidores de BSD hasta el mes de septiembre de 2016, cuando se hizo efectiva la resolución del contrato con BSD, sin autorización previa de la directora de la Agencia Española de Protección de Datos, y sin amparo legal alguno, incurriendo en la citada infracción.
En concreto, ese artículo 33 reza que «no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente ley, salvo que además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarse si se obtienen garantías adecuadas».
EL CASO DE ANC
Precisamente, este mes de marzo se ha conocido que el TC ha desestimado otro recurso de amparo parecido presentado por la Asamblea Nacional Catalana (ANC) contra las multas de 240.000 euros que le impuso la AEPD por la encuesta que acometieron para la consulta soberanista del 9 de noviembre de 2014 y por la falta de seguridad en la custodia de los datos de sus propios socios, que acabaron siendo difundidos por Anonymus en una red social.
Así se apuntaba en una nota informativa emitida por el Alto Tribunal, en la que se señalaba que el objeto del recurso, del que ha sido ponente el magistrado Enrique Arnaldo, era el auto del Supremo relativo al recurso de casación que se presentó tras la sentencia de la Audiencia Nacional de 20219.
En esa resolución, los magistrados de la Sección Primera de la AN desestimaban a su vez los recursos planteados por la ANC contra esas dos sanciones, la primera por infracción muy grave y la segunda por infracción grave de la Ley de Protección de Datos, ya que entendían que ambas fueron impuestas «conforme a derecho».