El Informe Jurídico 0145/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda varias cuestiones relacionadas con la tramitación de procedimientos sancionadores y la protección de datos de carácter personal. La consulta invoca la Ley 27/2006, que regula el acceso a la información pública y la participación en materia de medio ambiente, pero la AEPD se centra en los aspectos relacionados con la protección de datos personales según la Ley Orgánica 15/1999.
El informe destaca que la solicitud de información de un particular en un procedimiento sancionador, en el que no es parte, implica una cesión de datos de carácter personal. Según el artículo 3 i) de la Ley Orgánica 15/1999, esta cesión se define como «toda revelación de datos realizada a una persona distinta del interesado». Por lo tanto, la comunicación de datos requiere el consentimiento del interesado, salvo en los casos excepcionales establecidos en el artículo 11.2 de la misma ley.
El artículo 11.2 de la Ley Orgánica 15/1999 establece que el consentimiento no es necesario cuando la cesión está autorizada por una ley, cuando los datos se recogen de fuentes accesibles al público, cuando el tratamiento responde a una relación jurídica que implica la conexión con ficheros de terceros, o cuando la comunicación se realiza a instituciones como el Defensor del Pueblo, el Ministerio Fiscal, los Jueces o Tribunales, entre otros.
El informe también subraya que la protección conferida por la Ley Orgánica 15/1999 no es aplicable a las personas jurídicas ni a otros conceptos que no estén vinculados a personas físicas. Además, se menciona el Real Decreto 1720/2007, que desarrolla la Ley Orgánica 15/1999 y establece las medidas de seguridad que deben adoptarse para proteger los datos personales. Este real decreto especifica que el responsable del fichero debe elaborar un documento de seguridad que incluya medidas técnicas y organizativas para garantizar la protección de los datos.
El documento de seguridad debe contener aspectos como el ámbito de aplicación, las medidas de seguridad, las funciones y obligaciones del personal, la estructura de los ficheros, los procedimientos de notificación y gestión de incidencias, y las medidas para el transporte y destrucción de documentos. Además, el documento debe ser revisado y actualizado periódicamente para asegurar su adecuación a las disposiciones vigentes.
En cuanto al acceso a los expedientes sancionadores, el informe indica que es una cuestión de organización interna de la entidad, que debe reflejarse en el documento de seguridad. El artículo 91 del Real Decreto 1720/2007 establece que los usuarios solo deben tener acceso a los recursos necesarios para el desarrollo de sus funciones y que el responsable del fichero debe establecer mecanismos para evitar accesos no autorizados.
En resumen, el informe jurídico 0145/2008 de la AEPD subraya la importancia de la protección de datos personales en los procedimientos sancionadores y establece las condiciones bajo las cuales se puede realizar la cesión de datos, así como las medidas de seguridad que deben adoptarse para garantizar la protección de la información personal.