28 de diciembre de 2007

¿La SGAE finalmente sancionada?

A la espera de que se publique la resolución en la web de la AEPD, hay nuevas noticias sobre el expediente iniciado contra la SGAE por grabar a escondidas vídeos en bodas, como resume este artículo del ABC digital.

27 de diciembre de 2007

Formularios web

Dentro de la sección de Informes Jurídicos de la web de la Agencia (apartado Consentimiento) se ha publicado un informe específico sobre Tratamiento de datos a través de páginas web.
En resumen viene a decir que en el caso de recogida de datos básicos es suficiente incluir un link del tipo Aviso Legal o Política de Privacidad, pero que en el caso de datos especialmente protegidos el consentimiento ha de ser inequívoco y por lo tanto:

este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia.

Claro que siempre conviene recordar que la sección de Informes Jurídicos tiene esta salvaguarda de presentación:

Es un objetivo de la Agencia Española de Protección de Datos atender todas las cuestiones que se plantean relacionadas con el derecho a la protección de datos, y en este sentido, se emiten los informes jurídicos que se publican en esta sección de la página web.
No obstante, debe significarse que dichos informes no tienen carácter vinculante y no prejuzgan el criterio del Director de la Agencia en el ejercicio de sus funciones, entre las que la Ley no prevé la evacuación de consultas vinculantes.

12 de noviembre de 2007

Denuncia boomerang

Otro de mis argumentos favoritos: cumplir la LOPD es también una cuestión de seguridad interna, de protección de los derechos de la empresa sobre uno de sus bienes más valiosos, sus bases de datos. Siempre he dicho: ¿cómo podría una entidad que no cumple la LOPD denunciar que uno de sus trabajadores ha hecho un uso de la información para beneficio personal (circunstancia por desgracia no del todo infrecuente) sin declararse al tiempo culpable de no estar cumpliendo la ley?
Claro que no todo el mundo (ya lo sabemos, ahí está el negocio) disfruta del asesoramiento de Grupo Millar2, y por eso algunos emprenden acciones como esta:

En el procedimiento sancionador PS/00087/2007, instruido por la Agencia Española de Protección de Datos a la entidad CLÍNICA “LOPE DE RUEDA S.L.” , y contra DOÑA X.X.X., vista la denuncia presentada por CLÍNICA “LOPE DE RUEDA S.L.”, y sobre la base de los siguientes,

HECHOS

PRIMERO: Con fecha 7 de diciembre de 2005, tuvo entrada en esta Agencia una denuncia de la Clínica “Lope de Rueda S.L.” (en lo sucesivo, La Clínica), contra Doña X.X.X. por la utilización por ésta de los datos de carácter personal de los pacientes de dicha clínica con posterioridad a la finalización, en junio de 2005, del ejercicio en la misma de su especialidad en ginecología.

Y les pasan cosas como estas:

PRIMERO: IMPONER a DOÑA X.X.X. por la infracción del 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha Ley una multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a CLÍNICA “LOPE DE RUEDA S.L.” por la infracción del 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha Ley una multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica, y por la infracción del 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha Ley, una multa de 601,01 € (seiscientos un euros con un céntimo de euro), de conformidad con lo establecido en el artículo 45.1 y 4 de dicha Ley.
Si fuera una comedia del Siglo de Oro podría titularse “El Denunciante Sancionado”.

10 de noviembre de 2007

La SGAE y la LOPD

Al igual que ya hice en el caso de la apostasía, me salto la regla de este blog y comento por puro gusto personal otro caso que no tiene nada que ver con la problemática de nuestros clientes.
Me entero por Barrapunto que AEPD ha inciado un procedimiento contra la Sociedad General de Autores (SGAE) por grabar sin consentimiento la celebración de una boda con el fin de demostrar que allí se utilizaba música protegida y exigir la correspondiente minuta.
El expediente se incia con una posible sanción de 300.000 €, pero es de todos sabido que la SGAE ha utilizado este mismo procedimiento en otras ocasiones, con lo que se podría desencadenar una avalancha de reclamaciones. ¡ Si la SGAE te ha grabado, denuncia ! Es fácil y gratis aquí.

5 de noviembre de 2007

Abogados y Procuradores

A raíz de la consulta de un CSI acerca de si abogados y procuradores necesitan recabar el consentimiento de la parte contraria para tratar sus datos personales (imprescindible para un correcto asesoramiento y defensa de su cliente) os recuerdo lo interesante de la sección Informes Jurídicos de la web de la Agencia.
Dentro de esta hay una sección específica dedicada al tema del Consentimiento y en el Informe 2000-0000 se responde a la cuestión planteada (por supuesto en el sentido de que no se necesita consentimiento, ya que prevalece el derecho a la tutela judicial).

4 de noviembre de 2007

La competencia acecha

En el procedimiento sancionador PS/00081/2007, instruido por la Agencia Española de Protección de Datos a la entidad AHORRA EUROS - RED DE ASESORAMIENTO AL CRÉDITO, S.L., vista la denuncia presentada por BANCO POPULAR-E, S.A., se sanciona a la primera con una multa de 601,01 € (seiscientos un euros con un céntimo de euro) porque en sus páginas web se efectuaba la recogida de datos personales para la tramitación de solicitudes de préstamos, mediante un formulario, sin que figurara mención alguna a la normativa de protección de datos y sin dar a conocer la identidad de la empresa anunciante.
Esta sanción, además de señalar claramente a la competencia como uno más de los posibles denunciantes de un incumplimiento, pone de manifiesto el deterioro para la imagen que puede suponer el hecho de que si ahora introduces la marca ("Ahorra Euros") de la compañía sancionada en el buscador de Google, te devolverá este resultado, con el enlace a la sanción en el tercer puesto de la lista. En un mercado tan competitivo actualmente como el de las entidades financieras de intermediación, esto cuesto mucho más de 601,01 €.

3 de noviembre de 2007

Videovigilancia en taxis

Un tema muy comentado a raiz de alguna reciente agresión a taxistas.
La Agencia Española de Protección de Datos ha editado un informe al respecto, que resume así:


En virtud de lo expuesto, podemos concluir señalando que la instalación de una cámara por el consultante requiere: Que la cámara la instale una empresa de seguridad privada, que deberá de obtener la autorización del Ministerio del Interior y si la cámara graba deberá de notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma, de conformidad con el artículo 7 de la Instrucción, donde habrá que cumplir con los requisitos del artículo 26 de la Ley Orgánica a efectos de inscripción .

Informe completo

2 de noviembre de 2007

La Agencia no advierte

Declaraciones de Artemi Rallo, presidente de la Agencia Española de Protección de Datos al diario Ideal en su versión digital:


La Agencia no advierte. Si hay unos hechos que vulneran la normativa y podemos demostrarlo, habrá sanción. Otra cosa son los planes sectoriales de inspección de oficio que solemos iniciar cuando detectamos que podría surgir un problema. Entonces sí se formulan recomendaciones y todos las atienden bastante bien.

Entrevista completa

22 de octubre de 2007

Apostasía y LOPD

Esta nota no hace referencia a ninguna resolución de la AEPD, ni tiene nada que ver con la problemática de nuestros clientes (temas de este blog), pero me da cierto gusto personal comentar una sentencia dictada por la Sala de lo Contencioso Administrativo de la Audiencia Nacional que ordena al Arzobispado de Valencia que anote en la partida de bautismo de Manel B. G. su declaración de apostasía. Si quieres seguir el hilo, puedes leer la noticia en ABC.es o más referencias aquí.

13 de octubre de 2007

Sanción heredada

En el procedimiento sancionador PS/00166/2007, de 10 de agosto de 2007, instruido por la Agencia Española de Protección de Datos a la entidad HERA SERVICIOS TECNICOS AMBIENTALES, S.L., vista la denuncia presentada por D. J.N.R. (…) El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad HERA SERVICIOS TECNICOS AMBIENTALES, S.L., por una infracción del artículo 16.4 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 12.000 € (doce mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

Esta es una resolución muy interesante porque toca un tema que te tratado varias veces en las formaciones de producto: “la herencia de las sanciones”.

Resumiendo bastante, la historia es así:
1. la entidad CONSODATA comete un error al no dar curso a una petición de baja
2. se produce un envío publicitario
3. el afectado denuncia
4. la AEPD inicia un expediente
5. la entidad HERA compra CONSODATA “con la única finalidad de aprovechar la personalidad jurídica de una sociedad ya constituida”.
6. la AEPD termina el expediente y la sanción recae en HERA, entidad que continúa la personalidad jurídica de CONSODATA. Y menos mal que se acepta la apelación de la empresa al artículo 45.5 de la LOPD que le permite atenuar su responsabilidad, porque sino estaríamos hablando de un mínimo de 30.000€.

Y cuidado que aquí, igual que en otros sitios, fichar galácticos no garantiza el éxito:

SEGUNDO: NOTIFICAR la presente resolución a HERA SERVICIOS TECNICOS AMBIENTALES, S.L. con domicilio a efectos de notificaciones en CUATRECASAS ABOGADOS, (…)

25 de septiembre de 2007

No he olvidado este blog

Escribo esta nota para aclarar que no es que me haya olvidado de este blog, es que el servicio de edición de la Agencia debe andar aún de vacaciones, y el caso es que desde finales de julio no se ha publicado prácticamente ninguna resolución.

¿Estarán tomando impulso para cuando aparezca el nuevo Reglamento?

4 de agosto de 2007

Revocada la sanción por el spam del SIMO

Ha sido sin duda la noticia más comentada durante el mes de julio en el tema de protección de datos.
El asunto comenzó el pasado 22 de marzo de 2005, cuando la Agencia de Protección de Datos sancionó a A.E.A. por enviar, el 23 de noviembre de 2003, 13 mails con información promocional de los productos de su empresa de telecomunicaciones. Había conseguido esos nombres y direcciones de correo electrónico en la feria SIMO 2003 mediante el intercambio de tarjetas de visita. La sanción se puede descargar aquí.
Se sostenía que los receptores no habían dado un consentimiento inequívoco para recibir correos comerciales, como exige el art. 21 de la LSSI. También se consideraba que el envío de 13 mensajes constituía un envío masivo, por lo que A.E.A. cometió una infracción grave y le sancionó con 30.001€.

El 24 de junio de 2007, en sentencia de la Audiencia Nacional, (descargar aquí) la juez Lourdes Sanz Calvo ha revocado la sanción de la AEPD, estableciendo que "la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico en un contexto como es la feria del SIMO, a la que para promocionar un producto acudió el denunciado con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta de consentimiento". También niega que se pueda considerar masivo el envío de 13 correos electrónicos.

En mi opinión en ambos casos ha faltado a las autoridades el sentido de la mesura.
Respecto a la sentencia de la Audiencia Nacional lo que no entiendo es:
  1. ¿Poseer una tarjeta demuestra que la persona te la ha dado? Cualquiera puede entrar en el SIMO y salir con cientos de tarjetas ¡están encima de los stands a toneladas, no hace falta pedirlas! Precisamente por tratarse del contexto que se trata (una feria masificada) dificilmente puede equipararse a un consentimiento.
  2. Suponiendo que te la haya dado personalmente ¿lo hizo sabiendo que iba a recibir publicidad de un servicio de telecomunicaciones? Esto es como los listados profesionales públicos. Cualquiera puede saber el nombre, dirección, teléfono, mail, web, etc. de los abogados colegiados de cualquier provincia. ¿Significa que como es público les puedo enviar publicidad por ejemplo de una recopilación de sentencias que comercializo en CD-ROM? Pues no. Esos datos están ahí con una finalidad concreta, no para cualquier cosa. Si yo voy al SIMO y monto un stand de de routers y le doy a alguien mi tarjeta no es para que me envíe publicidad (salvo que me avise y yo consienta, que no creo que sea el caso).


Estoy de acuerdo en que dentro del mundo del SPAM llamar envío masivo a 13 correos casi da la risa, y que 30.000€ es una barbaridad desproporcionada de sanción, pero que esto quedara así (que supongo que la Agencia habrá recurrido al Supremo) tampoco sería justo porque:

a) ¿Había este señor dado de alta sus ficheros ante la Agencia? (Trámite gratuito que se hace por internet en 15 minutos) NO

b) ¿Tenía este señor el obligatorio documento de seguridad y había implantado las medidas correspondientes? NO

c) ¿Informó este señor a las personas físicas de que sus datos se incorporaban a un fichero, cuál era la utilidad de este y que tenían derecho de baja, rectificación, cancelación y oposición al tratamiento, y cómo podían ejercer estos derechos de una manera sencilla? NO

A y B son obligatorios desde hace ya ¡ ocho años !, y C es el corazón mismo de la LOPD y la LSSI: lo que significa es que los datos personales son propiedad exclusiva de las personas y que estas únicamente los “ceden” a las entidades que los tratan y lo hacen siempre bajo ese marco jurídico que defiende algo tan importante como es el derecho (constitucional) a la intimidad.
Así que tampoco me parece justo la sentencia. Lo más lógico es que atendiendo a muchísimas resoluciones de la propia Agencia, se hubiera convertido en una sanción de 1.000€, que ha sido la habitual en los casos de SPAM.

Para terminar no puedo evitar señalar un detalle de la propia sentencia que podría llevar incluso a dudar de la capacidad de la Audiencia Nacional y en general de las instituciones del estado (recordemos que hay otro procedimiento en marcha contra el propio Tribunal Constitucional) para entender la "cultura" de la protección de datos. Resulta que en la página tres del texto (y no olvidemos que se trata de un documento que se va a publicar en infinidad de sitios) se indican sin ninguna protección ¡ casi todas las direcciones electrónicas a las que se envío el mensaje !

Sería "interesante" ver qué ocurriría si alguno de los afectados denunciara ahora a la Audiencia Nacional ante la Agencia de Protección de Datos.


3 de agosto de 2007

Otra sanción por tirar Curriculum a la basura

En el Procedimiento Nº PS/00268/2006, de fecha 15 de junio de 2007, de nuevo se multa a una empresa (una tienda Amena) por descuidar la destrucción de unos Curriculum Vitae, que fueron encontrados por la policía municipal de Gavá entre la basura. La empresa tenía su Alta en el registro y su perceptivo Documento de Seguridad, pero es obvio que eso no evita que se le sancione con una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos).

25 de julio de 2007

Primera sanción por envío de SMS

En el Procedimiento Nº PS/00276/2006 cuya resolución tiene fecha de 20 de mayo de 2007, se multa a una empresa que envió SMS promocionales anunciando la inauguracion de una clínica. Básicamente se utilizan los mismos argumentos que en las sanciones anteriores por envío de faxes o correos electrónicos, lo que cambia es el soporte.
Se sanciona a la empresa con 3.600€.

24 de julio de 2007

Sanción "completita"

Esta merece la pena leerla completa. La puedes descargar aquí:

http://mkpositivo.googlepages.com/DendriteSpainSA.pdf

Además de hacer referencia a aspectos fundamentales de la LOPD, como son el concepto de consentimiento inequívoco, y a otros que han generado varias dudas, como el uso de los listados profesionales públicos, el interés de esta resolución reside también en que se ve que la empresa está asesorada por algún gabinete jurídico de buen nivel y literalmente se defiende con uñas y dientes apelando a todo lo apelable posible... pero la Agencia desmonta todas las alegaciones y el resultado son 60.101,21 € de sanción.

12 de abril de 2007

Procedimiento Nº PS/00227/2004

Esta resolución ya dejó muy claro en su momento cuáles son los límites en el uso del correo electrónico como vehículo de promoción comercial, es decir, marca la frontera donde comienza el "spam".
En el procedimiento sancionador instruido por la Agencia Española de Protección de Datos a D. M.C.P (es decir, un autónomo, no una sociedad) se dice: "El denunciado ha manifestado que envió el correo electrónico de promoción comercial objeto de la denuncia a entre 25 y 100 direcciones de correo electrónico de distintas empresas y entidades, sin que se haya aportado prueba alguna que acredite su solicitud o autorización previa." (la cursiva es mía).
Es evidente que el cumplimiento del artículo 5 de la LOPD y del artículo 21 de la LSSI exige siempre tener el consentimiento previo e inequívoco del interesado antes de poder enviarle cualquier comunicación electrónica de tipo comercial (esta situación es exactamente igual en el uso de un fax). Es un grave error confundir el hecho de que una dirección electrónica sea pública en internet (por ejemplo en la propia web de la empresa o en un listado profesional de un colegio o asociación) con el derecho a enviarle cualquier tipo de comunicación. Y si digo y reafirmo que es un muy grave error, es porque está resolución termina así: "
IMPONER a D. M.C.P., por una infracción del artículo 21 de la LSSI, tipificada como grave en el artículo 38.3 c) de dicha norma, una multa de 30.001 euros (treinta mil un euros)". Y recuerdo que es un autónomo.

23 de febrero de 2007

Sanción por utilizar el eMule

Rastreando la red en busca de delitos, la Guardia Civil encuentra a través del eMule varios ficheros con datos de carácter personal de funcionarios públicos. Siguiendo el rastro de estos ficheros se llegó hasta unas instalaciones del sindicato Comisiones Obreras, donde algún empleado se entretenía descargando vaya usted a saber qué, mientras probablemente sin ser consciente dejaba abierto el acceso a su disco duro.
El resultado es que la Agencia decide IMPONER a la entidad FEDERACIÓN DE SERVICIOS Y ADMINISTRACIONES PÚBLICAS DE CCOO, por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 euros (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

4 de febrero de 2007

Inspecciones en Centros de Enseñanza

La AEPD presenta los resultados del Plan Sectorial de Oficio a la enseñanza reglada no universitaria 29/01/2007
Fuente: Agencia Española de Protección de Datos
La AEPD ha inspeccionado más de 60 centros de enseñanza públicos, privados y concertados de todas Comunidades Autónomas. El incumplimiento del deber de información, la recopilación de datos innecesarios, e importantes carencias de medidas de seguridad han sido las principales deficiencias detectadas. De los colegios analizados cerca de 50% no habían cumplido con la exigencia legal de notificar sus ficheros con datos personales a la AEPD.