La vulneración de la normativa sobre protección de datos personales por parte de las autoridades ambientales. Afección a los cazadores.
Por Antonio Conde Bajén.
ANTECEDENTES
En la Administración, sobre todo la ambiental, existen modas que se contagian peligrosamente.
Al menos en Castilla-La Mancha, pese a que a las autoridades se les llena la boca de apoyo al sector cinegético y acuden a galas a recibir honores de instituciones cinegéticas que se lo reconocen (con gran sorpresa de otros muchos), lo cierto es que nunca se quedan atrás, o son pioneros, en el acoso a los cazadores.
Y en esa moda no les importa vulnerar derechos, ya sea porque no los conocen o les da lo mismo. Voy al caso.
Listados de cazadores con sus nombres, apellidos y DNI
Llevamos varios años en los que, cuando al forestal de una zona o al jefe del cuartel de la Guardia Civil les da por ahí, exigen a los organizadores de monterías o cacerías que se les facilite con determinada antelación un listado de cazadores, con sus nombres, apellidos y DNI.
En su nimia capacidad del respeto a los derechos individuales, consideran que, como lo pueden todo, de esta forma se ahorran tener que ir a inspeccionar.
La alternativa, ya se sabe: «O lo haces así o nos presentamos y paralizamos o ralentizamos la montería y soltáis a los perros a las 13:00 horas».
Eso pese a que las juntas empiezan a las 9:00 h. y bien podrían empezar a esa hora la inspección.
Otra forma de convencimiento es negar la autorización para la batida si no se facilita ese listado con la antelación que a ellos les dé la gana.
El artículo 16.2 de la Ley 3/2015, de Caza de Castilla-La Mancha, regula la forma en la que los cazadores tienen que acreditar su posesión y vigencia
Con este comportamiento, los agentes que requieren dichos listados se ciscan en el artículo 16.2 de la Ley 3/2015, de Caza de Castilla-La Mancha, que regula la forma en la que los cazadores tienen que acreditar su posesión y vigencia, lo hace de la siguiente forma:
Los citados documentos ha de llevarlos consigo el cazador durante la acción de cazar o tenerlos a su alcance en el interior del terreno cinegético o sus entradas, de manera que permita mostrarlos a las autoridades o a los agentes con competencia en materia cinegética que lo requieran. De no poder mostrar dichos documentos al ser requeridos, los agentes formularán la correspondiente denuncia y el cazador podrá presentarlos en el plazo de 72 horas.
Es decir, que nada de inspecciones “desde el sofá”. Pero lo peor es que tragamos.
Y aún peor es que no sólo se vulnera la propia Ley de Caza, sino que se hace con derechos fundamentales de los ciudadanos, como es el derecho fundamental a la intimidad (artículo 18 de la Constitución), como veremos más adelante.
VULNERACIÓN DE LA NORMATIVA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Gracias a Dios, la legislación avanza y algunas veces a mejor.
En este caso las autoridades de turno parecen desconocer que ya hace años se dictó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Su artículo 4 define:
«Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
«Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Es decir, que la autoridad que exija ese listado de personas y sus DNIs está realizando un tratamiento de datos personales.
Siguen las definiciones:
«Elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.
Y no podemos olvidar que con ese listado se está consiguiendo obtener datos sobre la afición a la caza de unos señores, y hasta su ubicación en un día y horas concretos.
El artículo 5 regula los Principios Relativos al Tratamiento:
- Los datos personales serán:
- a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
- b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
- c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
Su artículo 6.1 establece las condiciones para considerar la licitud del tratamiento, entre las que se incluyen:
- e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
- f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
- f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
El apartado 2 de dicho artículo 6 añade:
El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).
Por su parte, la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, en su artículo 8 establece:
Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos.
- El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.
- El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.
RESUMIENDO
Respecto de lo que establece el Reglamento Comunitario, en la solicitud de datos de carácter personal por parte de cualquier agente medioambiental o de la Guardia Civil, debe mediar un requerimiento escrito (ya es hora de que se mojen y de que cada palo aguante su vela) en el que el requirente se haga responsable del tratamiento de dichos datos.
Deberá, por tanto, informar de cuál va a ser el tratamiento que se les va a dar, identificar el archivo donde vayan a guardarse y su finalidad.
Igualmente, deberá informar a cada uno de los cazadores de los derechos que le asisten derivados de la normativa de Protección de Datos.
Quien requiera los datos será responsable de haber solicitado lo que no debía
Alguno dirá que qué más da, que lo harán protocolariamente y sanseacabó.
Pero ahí no acaba la cosa, porque quien los requiera será responsable de haber solicitado lo que no debía y de, en su caso, haberse excedido por no respetar el principio de minimización de datos que también excede lo necesario para el cumplimiento de la misión de que se trate.
Y ya adelanto que los agentes dirán que quieren hacer una inspección desde su mesa de despacho, pero no cuela, porque su misión es levantar acta de las infracciones que puedan cometerse.
Para ello deberá comprobar que alguien que está cazando lo hace con todas las licencias correspondientes, pero su derecho de inspección no alcanza a la recogida de datos de carácter personal de quienes cumplen la legalidad, que es la enorme mayoría o todos los asistentes.
La recogida de esos datos personales, que constituye tratamiento, debe estar prevista en una norma con rango de ley
Respecto a lo que establece la Ley Orgánica 3/2018, la recogida de esos datos personales, que constituye tratamiento, debe estar prevista en una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo y solo podrá considerarse fundada en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.
Les ampara la obtención de datos cuando ello se derive de una denuncia
Desde luego no lo es el Decreto 17/2000, que aprueba el Reglamento de los agentes medioambientales.
Y tampoco la Ley de Caza de Castilla-La Mancha (artículo 70) les confiere la posibilidad de realizar ese tipo de inspecciones “desde el sofá”, que nada tienen que ver con la constatación física y su comprobación directa.
Les ampara la obtención de datos cuando ello se derive de una denuncia, pero ello está sustentado por la propia tipificación de la infracción (necesariamente en norma con rango de ley) y por lo regulado en el artículo 27 de la propia Ley Orgánica (Tratamiento de datos relativos a infracciones y sanciones administrativas), que a su vez establece claros límites al cotilleo funcionarial y establece claras exigencias en el tratamiento de esos datos (que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por el procedimiento sancionador).
Cada vez más son los casos en los que, cuando se traga y entrega un listado, existen errores numéricos que llevan a denuncias a personas que ni han estado, porque un simple error de una cifra ha llegado a provocar que la Consejería del ramo impute a alguien haber cazado sin licencia, que había pasado el día tranquilamente en su casa.
Pero, puede incluso ocurrir que la persona de la lista haya repasado el puesto a última hora, precisamente por no tener licencia.
Señalemos lo inaceptable, por exceder cualquier límite razonable del Principio de Minimización de Datos:
- Es inaceptable que conste en archivo alguno (sea papel escrito o digital) que personas concretas estarán, están o estuvieron en un sitio concreto, a unas horas concretas y realizando una actividad concreta, salvo que se trate de infracciones constatadas y denunciadas.
- Es inaceptable que, además, se exija a cualquier ciudadano que diga por adelantado dónde va a estar un día concreto, en un sitio concreto y qué actividad va a realizar, de lo que, además, pueden sacarse conclusiones como son su capacidad económica y sus amistades.
Los cazadores debemos ser el colectivo más lanar del mundo, puesto que pasamos por estos abusos todos los años.
Piensen en la que se montaría si, por ejemplo, a la Administración le diese por exigir a un hostelero o estanquero que le facilitase un listado diario de clientes que han adquirido alcohol o tabaco con el fin de inspeccionar desde el sofá si alguno de ellos es menor de edad.
Se montaría la de Dios, no me cabe duda.
La Administración infringe, pero no paga
Esos requerimientos de listados constituyen infracción tipificada como muy grave en la Ley Orgánica 3/2018 (el tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679 y/o el tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.)
Otra cosa es cómo se concreta esa infracción porque, al tratarse de una Administración, conforme a lo establecido en el artículo 77 de la precitada ley orgánica, cuando el responsable de la infracción sea una Administración, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Es decir, que la Administración infringe, pero no paga. Y es que todos “semos iguales en democracia”.
Las cosas tampoco son tan cómodas para la Administración infractora
Claro que las cosas tampoco son tan cómodas para la Administración infractora.
Así, ese mismo precepto añade una serie de obligaciones adicionales para ella, en la forma que se transcribe:
Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
- Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
- Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
- Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.
CONSEJOS
- Cuando algún agente de la autoridad exija el listado, que lo haga dejando huella, sea un simple mail o lo que sea.
- Cuando ya se tenga esa prueba, advertirle de la ilegalidad de ese requerimiento.
- Si no desiste en ello, no es cuestión de arruinar la jornada de caza. Hay tiempo y posibilidad de contestación. Arrieritos somos.
- Dejar prueba de que se ha enviado el listado.
- Denunciar a la Administración, con identificación del funcionario que ha hecho el requerimiento, a la Agencia Española de Protección de Datos y expresa solicitud de que, en caso de dictarse resolución sancionadora, se requiera a la Administración la apertura de expediente disciplinario a dicho funcionario, en el caso de que no haya seguido órdenes de sus superiores. Y, en el caso de que se trate de órdenes, que se identifique a quien las haya dado, con el fin de que el expediente disciplinario se le abra a esos superiores. Así hasta que pueda llegarse a quien sea. Y si es el simple agente, a él, por cotilla y abusón.
Debemos tener en cuenta que estas actitudes no proceden directamente de órdenes de un consejero o director general, sino que son atajos ilegales que algunos agentes imponen por sus narices.
Los cargos superiores o intermedios, cuando los conocen, los admiten, en vez de corregirlos.
Es por ello que a los ciudadanos no nos queda otra defensa que un ataque global contra la Administración para que le duela la cabeza al de más arriba. Sólo entonces tomará medidas.
Mientras no le duela, seguirá dejando hacer y hará como que no ve ni oye. Es una pena, pero así se funciona.
PRECINTOS DIGITALES
Lo que se acaba de exponer puede ser aplicable en gran parte a la imposición de precintos digitales. Me explico a continuación.
La única razón de esos precintos es el control de abatimientos, nada más y nada menos.
En ese control, da lo mismo si a la tórtola la ha cazado Pepe o la ha cazado Juan.
Sin embargo, Pepe o Juan, o ambos, para cumplir con las exigencias del precinto digital tienen que darse de alta en la aplicación de marras y, para ello, dar sus datos personales y su ubicación en tiempo real.
Se trata de una recogida de datos de carácter personal y, por ello, tratamiento; y punto
A partir de aquí me da lo mismo que me digan, cuenten o parafraseen que en el fondo esos datos personales “no van a ser tenidos en cuenta”.
Se trata de una recogida de datos de carácter personal y, por ello, tratamiento; y punto.
Y, por ello, quien los reciba entraría en el ámbito de aplicación de la normativa sobre Protección de Datos de Carácter Personal.
Este tratamiento tampoco cumple, ni de lejos, con las exigencias de los artículos 5 y 6 del precitado reglamento comunitario, como lo demuestra que en Aragón disponen de un sistema de precinto digital (o más bien comunicación digital de abatimiento en tiempo real) que no exige la recogida de datos personales.
No soy capaz de saber, al menos en Castilla-La Mancha, quién va a ser el responsable de recibir esos datos
Todavía no soy capaz de saber, al menos en Castilla-La Mancha, quien va a ser el responsable de recibir esos datos, si la JCCM, si un organismo delegado, pero debería tener en cuenta cualquiera que no sea directamente Administración que ellos no están amparados por el artículo 77 de la Ley Orgánica 3/2018 y que por ello serían responsables a efectos sancionadores, conforme a lo establecido en el artículo 70, cuando menos como encargados de los tratamientos.
No deseo que nadie con evidentes buenas intenciones pueda llegar a ser víctima de una clara subyacente intención de hipercontrol de la Administración hacia el colectivo cazador; que les sirva de escudo y de eslabón que puedan descolgar y dejar tirado en un momento concreto.
Y el ejemplo podemos verlo en los problemas legales que el precinto digital del corzo de Castilla y León (el más precisado hasta ahora, aparte del de Aragón) puede acarrear a las sociedades de cazadores en cuanto al cumplimiento de la tan citada normativa.
Y eso sabiendo todos que nada más lejos de la intención de esas sociedades que perjudicar a los cazadores.
Créanme, lo digo con total intención colaborativa.
No existe una mínima regulación del uso de ese precinto que tenga el carácter de normativa
Y si a todo ello le sumamos que no existe una mínima regulación del uso de ese precinto que tenga el carácter de normativa, peor estamos, porque no existe norma alguna con rango de ley que ampare la creación de ese registro (e insisto en que, recogidos los datos, existe el registro), por lo que la ilegalidad es palmaria.
Aunque no sé de qué me extraño, porque la Administración que sufrimos los cazadores es cada vez más proclive a no normar (que lo hagan otros); ellos, directamente, dictan circulares y de ellas extraen consecuencias sancionadoras, de igual forma que cada año estiran más las órdenes de veda, dándoles un contenido impropio e hiperdesarrollado como si le hubieran dado esteroides, de tal forma que en Castilla-La Mancha quien manda no es la ley, sino los planes de ordenación y las autorizaciones que las órdenes de veda establecen que deben pedirse.
Un artículo de Antonio Conde Bajén
