Burofax y protección de datos: ¿un factor de riesgo?

11/12/2020

En el día a día del tráfico mercantil no es inusual que se recurra al burofax como medida fehaciente de intercambio de información entre las partes implicadas. Los profesionales del Derecho, además, la usamos con frecuencia dado que nos permite acreditar intentos de comunicación previos a la interposición de una demanda o una querella. En definitiva, es un método de notificación más que establecido y cuyo uso ofrece todas las garantías.

Pero ¿y si enviar un burofax violara la normativa de protección de datos?

Tal parece ser el criterio de la Agencia Española de Protección de Datos (AEPD), en la reciente resolución que puede descargarse desde este enlace. El resumen de la situación, algo compleja, es el siguiente:

El reclamante es socio y representante de una entidad que llamaremos «Empresa A»; en tal naturaleza goza de poder de representación de dicha entidad. Sin embargo, en Empresa A detectan que, al parecer, el reclamante se dedica -a escondidas y de forma fraudulenta– a hacer competencia desleal a Empresa A a través de otra entidad que llamaremos «Empresa B».

Según parece, el reclamante creó Empresa B como entidad pantalla en la que colocó a un conocido como socio y administrador único. Empresa B se constituye con el mismo objeto social y actividad mercantil que Empresa A, y existen indicios de que el reclamante ha usado información privilegiada (en tanto que representante de Empresa A) para favorecer sus negocios en Empresa B.

Al detectarlo, Empresa A contrata a un despacho de abogados para que interpongan contra el reclamante una querella criminal. Como suele hacerse en el ámbito profesional de la abogacía, desde el despacho de abogados se ponen en contacto con él a través de burofax. Envían el burofax tanto a Empresa B como al propio reclamante, cosa que hace (y aquí está la clave del problema) que en cierta manera se comunique a Empresa B el nombre y dirección personal del reclamante.

Un mes después de interpuesta la querella criminal (esto es importante por lo que veremos a continuación), el reclamante interpone una queja ante la AEPD. Su razonamiento es que él no tiene ninguna relación con Empresa B y que, por lo tanto, Empresa A ha vulnerado la privacidad de sus datos al mencionar su nombre y su dirección a Empresa B (que, según el reclamante, no tendría por qué conocer esos datos).

El despacho de abogados -por resumir las actuaciones- responde que su actividad fue legítima y que no ha habido vulneración legal alguna.

Sin embargo, la AEPD incoa un procedimiento sancionador por la supuesta violación de la normativa de protección de datos. Y recomienda una sanción de 2.000 €. El despacho de abogados -por motivos que desconocemos- opta por no recurrir y acepta el pago de forma voluntaria, cosa que reduce la cuantía hasta 1.600 €.

¿Está justificado el criterio de la AEPD?

Resulta difícil de decir sin conocer toda la información, pero a priori parece algo discutible.

Tengamos en cuenta que el principal argumento del reclamante es que Empresa B no tenía por qué conocer sus datos. Sin embargo, el despacho de abogados sostiene que Empresa B es una entidad pantalla del reclamante con la que sí tiene contacto directo. Y que si tienen que ejercitar el derecho a la defensa recogido en el artículo 24 de la Constitución, es necesario que puedan identificar a la persona responsable y la manera de comunicarse con ella (el argumento está más elaborado en la propia resolución de la AEPD que he enlazado arriba; recomiendo leerla para no reiterar de forma innecesaria lo que allí ya se dice).

En otras palabras: una parte dice que los datos ya eran conocidos por Empresa B y otra dice que no. Pero en medio hay una querella criminal, que se ha interpuesto un mes antes de la reclamación ante la AEPD.

A mi entender esta es la clave: cuando llega a la AEPD, el asunto estaba sub iudice. Y no en un procedimiento cualquiera, sino en uno penal. Que en nuestra legislación tiene carácter preferente.

La AEPD no era competente para determinar si Empresa B conocía o no los datos personales. Eso es algo que debe determinar la autoridad penal correspondiente. Por eso, a mi entender, lo que debía haber hecho la AEPD es apartarse del procedimiento por existir otro preferente, decirle al reclamante que alegara en sede judicial esa supuesta violación de sus datos personales -cosa que puede hacer también en el procedimiento penal que ya se había iniciado- y archivar la reclamación interpuesta.

Al no hacerlo, la AEPD dio por buena la versión de los hechos del reclamante. Y ahora puede que haya una sentencia penal que le lleve la contraria. Puede ocurrir que en el orden penal, una vez juzgada la querella, se dé por válida la versión de Empresa A, con lo que en efecto no se habría producido violación alguna de los datos personales y la sanción habría sido injusta.

De hecho la misma clave de la querella interpuesta es si el reclamante era o no, en realidad y de facto el representante de Empresa B, a la que habría usado de entidad pantalla para sus supuestas actuaciones ilegítimas. Esa es la esencia de la querella. Si los querellantes tienen razón, el hecho de que no haya vinculación documental entre Empresa B y el reclamante es una ficción, una mentira diseñada para ocultar el delito.

Decidir si las cosas fueron así o no corresponde por completo a las autoridades judiciales del orden penal, no a la AEPD. Porque es el elemento clave que determina la comisión o no del delito.

Además, al parecer se da la circunstancia añadida de que Empresa A tiene conocimiento del supuesto delito por una comunicación de la DGT, en la que les informan de que el reclamante ha tratado de convencer a esa Dirección General de que le hagan un ingreso que correspondía a Empresa A, en una cuenta que tiene el propio reclamante junto con Empresa B. Con lo que la AEPD ya disponía de elementos para considerar que el reclamante mentía al decir que no tenía relación alguna con Empresa B.

Por eso, insisto, en mi humilde opinión la AEPD debió archivar el asunto. Sobre todo teniendo en cuenta que este sorprendente criterio de la AEPD pone en serio peligro unos mecanismos de comunicación entre las partes más que legítimos y consolidados. Quizá antes de entrar en el tráfico jurídico como elefante en una cacharrería, la AEPD debería haber ponderado si su decisión era la más acertada.

Fabián Plaza Miranda, Auren Abogados y asesores Fiscales

  • Servicios

  • Sectores