29 de diciembre de 2008

Presunción de veracidad

El procedimiento sancionador PS/00307/2007, instruido por la Agencia Española de Protección de Datos a la entidad GUÍA TELEFAX ANUARIO PROFESIONAL, S.L., se inició tras la denuncia presentada por DON G.G.G., en la que declaraba que:
  • Sus datos personales se recogen en un sitio Web que funciona como buscador de empresas de Internet, figurando como titular de una empresa de portes y mensajería, pese a que, señala, “jamás he desarrollado actividad empresarial alguna”.
  • El teléfono que figura en Internet es el de su domicilio particular.
  • Nunca ha facilitado dato alguno de carácter personal a dicha empresa, ni autorizado a la misma para que se incorporen en un fichero automatizado o se publiquen en Internet.
  • Ignora como han podido llegar a dicha empresa sus datos y la información sobre su supuesta actividad empresarial.
  • Está recibiendo llamadas y comunicaciones publicitarias en base a su supuesta actividad económica publicitada en la guía telefax anuario profesional.

Tras la oportuna inspección se constató que dicho error se había mantenido durante varios meses visible en internet, aunque la empresa aseguró que dicha apreciación era falsa y que "la fecha que aparece en el documento obtenido por el Inspector ha podido ser tecleada voluntariamente".

Esta puesta en duda de la veracidad del inspector de la AEPD (sin aportar además la más mínima prueba), es uno de esos ejemplos de una defensa jurídica muy poco aconsejable. El redactor de la Resolución aclara la legislación aplicable a la figura del inspector:

El artículo 17.5 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora, establece:
“Los hechos constatados por funcionarios a los que se reconoce la condición de autoridad y que se formalice en documento público observando los requisitos legales pertinentes, tendrá valor probatorio, sin perjuicio de las pruebas que en defensa de los respectivos derechos o intereses puedan señalar o aportar los propios administrados.”
El artículo 40.2 de la LOPD indica:
“Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos."
A la vista de estos preceptos el instructor del procedimiento únicamente puede atenerse, como prueba constatada, a lo que figura reflejado en las actuaciones previas de investigación, realizadas por el Inspector que las realizó, por ser un documento público formalizado por autoridad pública. Las actuaciones del Inspector, como autoridad pública, tienen presunción de veracidad, no siendo acreditado lo contrario, salvo mediante una mera manifestación del imputado.

Y por lo tanto,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a GUÍA TELEFAX ANUARIO PROFESIONAL, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

18 de diciembre de 2008

“Super Buste XL”... sin consentimiento

El procedimiento sancionador PS/00404/2007, instruido por la Agencia Española de Protección de Datos a la entidad TELEOFFICE MARKETING COMERCIAL, S.L., se inició tras la denuncia presentada por la CONFEDERACIÓN DE CONSUMIDORES Y USUARIOS (CECU) acerca de la publicación en prensa por la entidad PARAMARKETING de unos anuncios que ofertaban el producto “Super Buste XL”, y en los que recababan los datos personales de las personas interesadas, sin incluir ninguna leyenda informativa relativa al consentimiento y tratamiento de esos datos.

En el anuncio objeto de la denuncia, no se indicaba la identidad ni el domicilio de la entidad responsable, aunque constaban números de teléfono y fax para efectuar los pedidos del producto anunciado. La única identificación que figuraba era “Paramarketin", pero la titularidad de los números de teléfono y apartado de correos que aparecían en el anuncio correspondía a Teleoffice Marketing Comercial, S.L. (TMC)

TMC alegó que es una empresa que se dedica a realizar para sus clientes las campañas de promoción y venta de productos, las labores de publicidad, la gestión y recaudación de pedidos, que éstos le encargan, de acuerdo a los contratos previamente suscritos.
  • Para cada cliente, TMC crea una base de datos. La titularidad de la misma corresponde al cliente correspondiente, si bien el personal de TMC tiene acceso para la gestión de los pedidos y realización de la facturación.
  • Para la recepción de los pedidos utiliza diversos canales como correo postal, teléfono, fax, correo electrónico, según lo pactado con el cliente. Los apartados de correos y los números de teléfono son de titularidad de TMC
Respecto al anuncio denunciado, se constató que TMC suscribió un contrato de prestación de servicios con PARAMARKETING LIMITED (en lo sucesivo PARAMARKETING). En su estipulación Primera se concreta que: “TMC se constituye como un mero receptor de las órdenes realizadas por PARAMARKETING, sin ser, por tanto, ni vendedor ni intermediario.” La única referencia a la LOPD se recoge en la estipulación quinta que dispone: “En cumplimiento de la Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre, si, como consecuencia de las llamadas realizadas, TMC obtuviera cualquier clase de datos de carácter personal de los receptores, independientemente de la obligación de confidencialidad aceptada, notificará a PARAMARKETING su obligación de comprometerse a informar a los receptores de las llamadas que facilitan sus datos de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y especificación, bajo los términos establecidos en la legislación existente.”

Es decir, que TMC intenta traspasar toda la responsabilidad a PARAMARKETING... pero no funciona.

La Agencia, en los Fundamentos de Derecho, explica que al no recoger este contrato las estipulaciones exigidas en el artículo 12 de la LOPD (Acceso a los datos por cuenta de terceros) no le es aplicable a TMC el régimen jurídico que diseña la citada Ley para el encargado del tratamiento, y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad TELEOFFICE MARKETING COMERCIAL, S.L., por una infracción del artículo 6.1 en relación con el 12 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.
Esta Resolución ha sido recurrida por el denunciado.

11 de diciembre de 2008

Déjà vu

El término déjà vu (en francés ‘ya visto’) o paramnesia describe la experiencia de sentir que ya se ha sido con anterioridad testigo o se ha experimentado previamente una situación nueva.

Esto es lo que me ocurre en ocasiones repasando las Resoluciones de la Agencia de Protección de Datos (AEPD), ya que algunos casos son tan absolutamente similares a otros, que aunque sean teoricamente nuevos para mí, me resultan tan familiares que dudo sino se tratará de una duplicación.

Así por ejemplo en el procedimiento sancionador PS/00132/2008, instruido por la Agencia Española de Protección de Datos a la entidad EDUGAMA ASOCIADOS, S.L., Doña V.V.V denunciaba que Edugama Asociados, S.L., empresa de publicidad, le había cargado en su cuenta bancaria un recibo de 334,08 €, sin que le hubiera facilitado sus datos personales ni le hubiera solicitado servicio alguno. La empresa aseguró que:
El servicio fue contratado por la denunciante telefónicamente y que los datos fueron facilitados por la misma para la contratación del servicio de inserción publicitaria.
Es decir, sin prueba alguna del consentimiento, y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad EDUGAMA ASOCIADOS, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21€ (sesenta mil ciento un euros con veintiún céntimos de euro), de conformidad con lo establecido en el artículo 45.4 y 4) de la citada Ley Orgánica.
Igualito que Me lo dijo por teléfono.


Y más cercano aún, en el procedimiento sancionador PS/00202/2008, instruido por la Agencia Española de Protección de Datos a la entidad AVERMEDIA TECHNOLOGIES, S.L., vista la denuncia presentada por DÑA. C.C.C., que tras ser despedida recibió en su domicilio varias comunicaciones informándole que había sido identificada como conductora en diversos procedimientos por infracciones de tráfico tramitados por el Ayuntamiento de (.......), cometidas en fechas posteriores a su baja en la empresa, con el vehículo que tuvo asignado para el desarrollo de su trabajo.
El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad AVERMEDIA TECHNOLOGIES, S.L., por una infracción del artículo 4.3 y 4 de la LOPD, tipificada como grave en el artículo 44.3.f) de dicha norma, una multa de 60.101,21€ (sesenta mil ciento un euros con veintiún céntimos de euro), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
Idéntico a Resoluciones (casi) paralelas (II).

4 de diciembre de 2008

Resoluciones (casi) paralelas (II)

Quedó claro desde el primer comentario a la nota anterior, gracias a la aportación de Víctor Z.
ONDU-EMBALAJE de forma estupida, no presenta el escrito de alegaciones que concede el procedimiento administrativo y además echa las culpas al encargado del tratamiento, intentando eludir la culpa y negligencia cometida, al no informar como es preceptivo, de la baja causada e informando del nombre del nuevo conductor.
Y a quien le parezca fuerte el adjetivo le diría que me parece efectivamente estúpido ni siquiera presentar un escrito de alegaciones cuando te estás jugando, como así fue finalmente, una sanción de 60.000€.
Notificada la citada propuesta, el plazo concedido a la entidad ONDU EMBALAJE para formular alegaciones transcurrió sin que se recibiese escrito alguno.
Quizás es que se lo tomaron a broma o van muy sobrados de caja.

ELECNOR alega, entre otras:
  • Que la empresa tiene implantados los mecanismos apropiados para respetar la LOPD.
  • Que realiza una importante labor formativa y de concienciación a sus empleados y proveedores, en cuanto al respeto a la LOPD, que impone, asimismo, en sus contratos con terceros y en los procedimientos a seguir por sus trabajadores.
  • Que desde la publicación de la LOPD, ha establecido diferentes protocolos y medidas de seguridad para asegurar el cumplimiento de la LOPD, desde el año 2002, habiendo realizado varias auditorias los años 2003, 2004, 2006 y 2007.
  • Que se ha llevado estrictamente el Registro de Incidencias, al que tuvo acceso esta Agencia.
  • Que se trata de un error puntual, por el incumplimiento de alguna de las personas que intervienen en el procedimiento del estricto protocolo que tiene establecido la entidad.
  • Que, en resoluciones anteriores, para la aplicación del artículo 45.5. de la LOPD, esta Agencia ha tenido en consideración las medidas implementadas para evitar situaciones futuras.
Y así efectivamente lo reconoce la AEPD:
Hay que considerar que ELECNOR, con objeto de remediar en el futuro la conducta imputada, ha adoptado una serie de medidas con las que pretende evitar la comisión de infracciones en matera de protección de datos de carácter personal. En relación con dichas circunstancias, se observa que concurre una cualificada disminución de la culpabilidad en la imputada que permite la aplicación, en el presente supuesto, del artículo 45.5 de la LOPD.
O dicho de otra forma: acaba usted de ahorrarse 54.000 €. Un buen día para alguien : )

1 de diciembre de 2008

Resoluciones (casi) paralelas (I)

Hechos probados
  1. En el procedimiento sancionador PS/00283/2008, D. O.O.O. denunció que recibió varias notificaciones de denuncias por infracciones de tráfico cometidas como conductor de un vehiculo que resultó haber sido alquilado por la empresa ELECNOR S.A., que había suscrito un contrato de alquiler de un vehículo en el que aparecía como conductor habitual D. O.O.O., que ni siquiera era empleado de la compañía, sino simplemente alguien que había dejado un currículum en un proceso de selección de personal.
  2. En el procedimiento sancionador PS/00200/2008, D. T.T.T. denunció que recibió varias notificaciones de denuncias por infracciones de tráfico cometidas como conductor de un vehiculo que resultó haber sido alquilado por la empresa ONDU EMBALAJE S.A., que había suscrito un contrato de alquiler de un vehículo en el que aparecía como conductor habitual D. T.T.T., que si bien había sido empleado y conductor de esa compañía, tras ser despedido habían olvidado comunicar el cambio de conductor a la empresa de alquileres.
Hasta aquí se parecen mucho, incluso se diría que el caso 1 es más grave que el 2, ya que en el primero ni siquiera había existido una relación laboral. Y sin embargo...

Resoluciones
  1. IMPONER a la entidad ELECNOR, S.A., por una infracción del artículo 4.3 y 4 de la LOPD, tipificada como grave en el artículo 44.3.f) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
  2. IMPONER a la entidad ONDU-EMBALAJE, S.A., por una infracción del artículo 4.3 y 4 de la LOPD, tipificada como grave en el artículo 44.3.f) de dicha norma, una multa de 60.101,21€ (sesenta mil ciento un euros con veintiún céntimos de euro), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
De ahí lo de casi paralelas. Y no, no es una errata.

Continuará

El jueves segunda parte con la explicación del misterio.

Mientras tanto se admiten Comentarios.

24 de noviembre de 2008

¿A quién le compra los datos D. T.T.T.?

El procedimiento sancionador PS/00413/2008, instruido por la Agencia Española de Protección de Datos a D. T.T.T., se inicio tras la denuncia presentada por D. S.S.S., en la que manifestaba haber recibido en su dirección personal de correo un correo comercial no solicitado de ...T.@.... Aseguró además:
“No haber solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio (incluidos pero no limitados a los siguientes: correo electrónico, suscripción web, suscripción postal o presencial).”
“No haber autorizado jamás a ningún tercero a solicitar o consentir el envío de comunicaciones comerciales en su nombre.”
“No mantener ni haber mantenido relación comercial alguna con el denunciado.”
El correo electrónico contenía información comercial con el siguiente texto:
“Con PromoBusiness tendrá todo un sistema automatizado de promoción por Internet donde podrá personalizar sus propias campañas, posibilitando la inclusión de películas Flash informativas, formularios de suscripción y cartas automatizadas. Además, en todo momento tendrá a su disposición un equipo de soporte que le ayudará a conseguir los resultados que espera.
Su único trabajo será atender a las personas realmente interesadas en su negocio. Sin duda, el mejor sistema de comercialización posible, donde ahorrará en gastos e incrementará su cartera de clientes potenciales.
Más de 1.000 millones de personas en todo el mundo utilizan Internet.
No pierda la oportunidad de descubrir el gran potencial de Internet como canal de promoción y publicidad.
. Consiga atraer visitas a su web.
. Consiga multiplicar sus clientes para su negocio.
. Consiga ampliar espectacularmente las ventas de sus productos/servicios.
. Consiga un sistema automatizado que le genere contactos de gente interesada en aquello que promocione, con sistema de seguimiento incorporado.
Regístrese ya en Promobussines: http://.....T....../......./”
Durante la oportuna investigación se constató que:
  • La dirección de correo “...T.@....” está registrada a nombre de D. T.T.T.
  • Se ha verificado que el enlace que contenía la reseñada comunicación comercial estaba asociado a la página web ...T..-...../.....
  • Que el citado mensaje se envío desde la línea ********, utilizando la cuenta de correo “...T.@....”, la cual está registrada a nombre de D. T.T.T., quien también es titular del subdominio que figuraba incluido en el texto de la comunicación comercial enviada al denunciante.
  • El representante de PROMO BUSINESS SOLUTIONS S.L., entidad cuyo objeto social es “La promoción de negocios de terceros a través de Internet, utilizando últimas tecnologías disponibles”, ha comunicado que el titular del subdominio “..T..-....” es el cliente de dicha entidad D. T.T.T., conforme prueban dos facturas emitidas por dicha entidad a nombre de dicha persona.
  • PROMO BUSINESS SOLUTIONS S.L. prestó al Sr. T.T.T. un servicio de marketing on-line, constándoles que dicho cliente “activo varias campañas de publicidad dirigida para atraer visitas a otros negocios usando nuestra herramienta y por consiguiente el subdominio.” .
D. T.T.T. manifestó en su escrito de contestación a la información que le fue requerida durante las actuaciones previas de investigación que:
“el único dato que figura en nuestra base de datos , correspondiente a dicha dirección de correo electrónico: ...S.@.... es el propio correo electrónico y que su adquisición fue realizada a través de una base de datos de correos electrónicos facilitada por una empresa (............) previo pago de la misma, y no tenía ningún tipo de relación contractual con el titular de la referida dirección de correo.” (La negrita es mía.)
 La AEPD conluye:
A la vista de tales manifestaciones se acredita que el imputado no contaba con autorización expresa del destinatario de la citada comunicación comercial para su envío, ni que éste hubiera sido solicitado por el denunciante, con el que el prestador de servicios no mantenía una relación contractual previa.
Y por lo tanto el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. T.T.T., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una sanción de 600 € (Seiscientos euros) de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

Y yo me pregunto: ¿cuál será la misteriosa empresa a la que D. T.T.T. compró una base de datos de correos electrónicos sin consentimiento "previo pago de la misma"?

¿Investigará la AEPD esta cuestión, o como tantas otras veces lo dejará correr al no haber una denuncia concreta?

22 de noviembre de 2008

Primero lo primero

El procedimiento sancionador PS/00143/2008, instruido por la Agencia Española de Protección de Datos a la entidad Cafe Iruña S.A., se inició vista la denuncia presentada por D. O.O.O. Y D. Z.Z.Z.en la que declararon, en calidad de miembros de CCOO en el comité de empresa de la entidad Café Iruña S.A., que en el interior del “Café Iruña” de (.......) se habían instalado varias cámaras de videovigilancia, tanto en el área de atención al público, como en el área de utilización exclusiva de los empleados. Manifiestaron que tenían conocimiento de que las imágenes obtenidas tienen un tratamiento posterior, sin que se haya creado ningún fichero ni se informe adecuadamente a los usuarios ni a los trabajadores.

Café Iruña se había preocupado de muchos detalles acerca del asunto de la videovigilancia:
  • Contrato de instalación y mantenimiento del sistema de videovigilancia con la empresa SERCOIN NAVARRA S.L.
  • Todas las imágenes se centralizan en el dispositivo videograbador desde el que se pueden visualizar y que las almacena, por un periodo no superior a 4 días.
  • Se instalaron en las puertas de entrada al local sendos carteles informativos de la operación del sistema de videovigilancia (aunque la AEPD recomienda sustituirlos por los sugeridos en la instruccion 1/2006).
  • El sistema de videovigilancia sólo es accedido y gestionado por el gestor de Café iruña, sin que ninguna otra persona tenga acceso a las imágenes ni se hayan proporcionado a terceras personas excepto a las Fuerzas y Cuerpos de Seguridad del Estado y para la resolución de conflictos judiciales.
  • Incluso aseguró que todos los empleados y el comité de empresa estabán informados de la existencia de las videocámaras y del tratamiento que se daba a las imágenes obtenidas, mediante instrucciones verbales proporcionadas por la dirección.
(Lo de "instrucciones verbales" me recuerda a Me lo dijo por teléfono).

Claro que lo primero es lo primero, y según el artículo 26 de la LOPD:
Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
Pero en lo que se refiere al presente procedimiento:
En el Registro General de Protección de Datos no consta ningún fichero inscrito a nombre de Café Iruña S.A. ni al NIF **********.
Y sobre la información a los trabajadores:
El representante de dicha entidad no ha podido acreditar que haya informado a los denunciantes, trabajadores de su empresa, previamente a la instalación de dicho sistema de videovigilancia por lo que cabe estimar cometida la infracción del artículo 5 de la LOPD, por la que se ha instruido el presente procedimiento.
A este respecto el artículo 18.1 del Real Decreto 1720/2007 ya citado establece que, el deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CAFÉ IRUÑA S.A., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01 € (seiscientos un euro con un céntimo de euro) de conformidad con lo establecido en el artículo 45.1,4 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad CAFÉ IRUÑA S.A, por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euro con un céntimo de euro), de conformidad con lo establecido en el artículo 45.1, 4 de la citada Ley Orgánica.

17 de noviembre de 2008

Actos relativos a (...) realizados por parte de terceras señoras a las que tiene alquiladas varias habitaciones

El procedimiento sancionador PS/00175/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la COMUNIDAD DE VECINOS CAPITAN ESPONERA 6 DE ZARAGOZA, se inció tras la denuncia presentada por DÑA. X.X.X. en la que declaró:
Ha sido coaccionada e importunada por los vecinos de la Comunidad de Propietarios de Capitán Espinera nº 6 de Zaragoza (en lo sucesivo la Comunidad de Propietarios), con motivo de ejercer su profesión como (...........) en su inmueble, así como por actos relativos a  (...........) realizados por parte de terceras señoras a las que tiene alquiladas varias habitaciones.
Entre las coacciones se encuentra la instalación de una cámara de vigilancia, instalada en los elementos comunes, que permite grabar imágenes, dentificar tanto las señoras que ejercen la (...........) como a los clientes, lo cual supone un tratamiento ilegítimo de datos de carácter personal.
Las imágenes captadas por la cámara pueden visualizarse en todos los televisores de la Comunidad de Vecinos y ser grabadas y reproducidas por cualquier persona que disponga de un televisor y un aparato de grabación.
La AEPD envía dos inspectores a la finca que verifican la presencia de las cámaras y la existencia de carteles que simplemente avisan de zona videvigilada.
Los inspectores visitan después a la denunciante en su ¿vivienda? ¿lugar de trabajo?, y allí:
Se verificó la existencia de un televisor doméstico en el interior del inmueble, comprobándose que se encontraba conectado al cable de antena en la entrada correspondiente del aparato. Se verificó que se podían visualizar los diferentes canales de televisión.
Se verificó que estableciendo el canal nº 1 en el citado televisor se muestra en pantalla el portal de la finca.
Se comprobó, mediante el desplazamiento al portal de una de las personas presentes en el domicilio en ese momento, que la imagen que se visualizaba en el televisor se correspondía con el hall de entrada de la finca. Se obtuvieron dos fotografías de la pantalla del televisor.
La imagen era visualizada en blanco y negro, y permitía discernir las figuras de las personas que acceden a la finca, así como, a través de los cristales de la puerta, las personas que circulan cercanas a la misma por la vía pública. Se realizó una fotografía en la que aparecen personas circulando por la vía pública.
Los inspectores se dirigen entonces al representante de la Comunidad, cuya hilarante y alucinante respuesta resumo:
El sistema instalado se integra por una cámara de video conectada a la instalación de antena comunitaria de la finca, de tal modo que todos los vecinos que dispongan de un televisor puedan visualizar las imágenes captadas por la cámara sin mas que sintonizar el canal de la frecuencia adecuada.
El sistema se adquirió sin la facilidad de grabación de imágenes que puede integrar, debido a que desconocían si esta posibilidad está o no permitida por ley.
Por otro lado es posible realizar grabaciones mediante la conexión de un sistema de grabación doméstico (video, DVD, etc ) a la antena comunitaria, si bien la Comunidad en ningún momento ha realizado grabaciones de tipo alguno, no conservando por tanto ninguna grabación de imágenes. Por ello, la Comunidad no ha procedido a la notificación de la creación de fichero alguno a la Agencia Española de Protección de Datos, ya que lo entiende innecesario.
En el momento de la instalación del sistema, el técnico encargado se desplazó por cada una de las viviendas con objeto de explicar el funcionamiento a los vecinos, así como la configuración de los televisores para poder visualizar las imágenes. No existe normativa interna emitida por la Comunidad con respecto a la posibilidad o pertinencia de la grabación de las imágenes por parte de los vecinos.
(La negrita es mía)
Y añade en una posterior declaración:
Que pongo de manifiesto la existencia en el piso (...........) de la calle Capitán Espinera nº 6 de Zaragoza, de una (...........) o (...........), ejercicio de la (...........) que, como bien se sabe, es una actividad ilegal que está prohibida en todas las ordenanzas municipales...
La AEPD solicitó a la Comunidad de Propietarios que informara y remitiera los siguientes documentos:
Identificación de la empresa de seguridad que ha realizado la instalación de las videocámaras y copia del contrato de prestación de servicios firmado con la misma.
Copia de la documentación acreditativa de que la empresa de seguridad está autorizada por el órgano administrativo competente del Ministerio del Interior como empresa de seguridad privada.
Interesa igualmente nos informen y acreditan si han tomado las medidas necesarias para que las imágenes captadas por las cámaras no sean visualizadas por los vecinos en sus pantallas de Televisión, visualización que constituye un desvío de la finalidad de la instalación de las citadas cámaras.
No hubo respuesta.

Quizás no se tomaron el asunto muy en serio.

Imagino al gesto cuando les llegó el aviso de Propuesta de Resolución con dos multas de 60.101,21 €, por las infracciones del artículo 6.1 y 4.1 de la LOPD, tipificadas como graves en el artículo 44.3.d) de dicha norma.

Entonces se apresuraron a declarar:
“...la Comunidad de propietarios a la que represento pretendiendo ser respetuosa con la legalidad, y siguiendo los criterios marcados con la Agencia de Protección de Datos, ha procedido a la retirada de la cámara de seguridad en su momento instalada en la Comunidad de Propietarios sita en la calle Capitán Esponera numero seis de Zaragoza, llevándose a efecto esta operación por la empresa Systems Niscayah, S.A., sita en la (c/...........................), y autorizada por el Ministerio de Interior como empresa de seguridad privada. Documento numero UNO Y DOS.
Asimismo, el técnico de la citada empresa, Don (...), ha procedido a la desconexión del cable basante de la señal que unía la cámara con la antena de la Comunidad, de manera que ya no se puede visualizar imagen alguna en la pantalla de los televisores de los vecinos de la Comunidad de propietarios de Capitán Esponera numero 6, tal y como se acredita en el documento numero TRES...”
Pero ya era tarde, claro. Y si además con declaraciones tan poco afortunadas como las citadas se lo has puesto fácil a un jurista para que se luzca, te cae encima todo éste arsenal jurídico en los Fundamentos de Derecho:
  • Ley 23/1992, de 30 de julio, de Seguridad Privada (Incumplimiento: obligación de que las cámaras sean instaladas por una empresa autorizada por el Ministerio del Interior)
  • Artículo 4.1 de la LOPD (Incumplimiento: recogida de datos no pertinentes y excesivos. Infracción grave)
  • Artículo 6.1 de la LOPD (Incumplmiento: falta de consentimiento de los afectados. Infracción grave)
Eso sí, atemperado todo ello por el recurso al manido artículo 45.4 de la LOPD:
Por ello, y considerando los criterios de graduación de las sanciones recogidas en el artículo 45.4 de la LOPD y, en concreto, la ausencia de reincidencia, por un lado, y la suscripción de contrato con empresa autorizada por el Ministerio del Interior para el desmontaje del sistema anteriormente instalado, por otro, procede la imposición de una sanción por importe de 601,01 euros, por cada una de las infracciones cometidas.

14 de noviembre de 2008

Mira bien dónde tiras la basura

El procedimiento sancionador PS/00129/2008 , instruido por la Agencia Española de Protección de Datos a la entidad AUTO ESCUELA PALOMERO, S.A., se inicia tras una denuncia presentada por el AYUNTAMIENTO DE MADRID, POLICÍA MUNICIPAL, UNIDAD DE MEDIO AMBIENTE, que encontró en un vertido, en el “Camino ......” (distrito de ......), de diversa documentación, entre la que figuran “fichas, archivos y documentación varia con datos de carácter personal, perteneciente a alumnos de la autoescuela PALOMERO”. En el informe se especifica que “la cantidad de documentación es de 21 bolsas de tamaño grande”.

El representante de AUTO ESCUELA PALOMERO reconoció los documentos relacionados como pertenecientes a la actividad que desarrolla la compañía, de enseñanza para la obtención del permiso de conducir. Asimismo, dicho representante manifestó lo siguiente:
(...) Hace unas semanas AUTO ESCUELA PALOMERO, SA. recopiló documentación antigua de 5 de las secciones ubicadas en Madrid, con objeto de que fuese desechada. Para evitar que los datos personales contenidos en los documentos pudiesen ser recuperados por terceros, AUTO ESCUELA PALOMERO, SA. decidió que todos ellos fuesen entregados en un punto municipal de reciclaje de papel, en concreto, en el ubicado en la (c/....................). AUTO ESCUELA PALOMERO, S.A. desconoce las circunstancias por las que la documentación desechada a través de un procedimiento oficial ha sido hallada en el vertedero al que hace referencia la Policía Municipal.
Aunque más tarde alega alega que el desecho de los residuos se encomendó a una empresa autónoma con la que contrató la reforma de uno de sus locales.

Pero el caso es que:
Los Servicios de Inspección de la Agencia Española de Protección de Datos verificaron que en los datos de al menos seis personas referidas en los documentos hallados por la Inspección Central Operativa del Cuerpo de Policía Municipal del Ayuntamiento de Madrid, Unidad de Medio Ambiente, figuraban en el fichero automatizado de alumnos de Auto Escuela Palomero, S.A.
Y además:
El representante de Auto Escuela Palomero, S.A., durante la Inspección desarrollada por los Servicios de Inspección de la Agencia Española de Protección de Datos, manifestó que dicha entidad no disponía de ningún documento en el que se detallen las medidas de seguridad establecidas por la misma, en particular, las adoptadas para impedir cualquier recuperación posterior de la información almacenada en los soportes que se van a desechar.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AUTO ESCUELA PALOMERO, S.A., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

9 de noviembre de 2008

Desde el blog de Marketing Positivo

Hay algunas Resoluciones de la Agencia Española de Protección de Datos que fueron en su momento comentadas por diferentes razones en el blog de Marketing Positivo.

Ahora me ha parecido interesante recopilarlas e incluirlas aquí.

Son resoluciones sancionadoras que en principio no corresponden al propósito de este blog, que como se indica bajo el título:
Las resoluciones y noticias aquí citadas se refieren siempre a autónomos, microempresas o pymes, es decir, se dejan deliberadamente de lado las que se refieren a grandes empresas que tiene problemáticas específicas. Se trata de ver cómo la LOPD afecta al grueso del tejido empresarial español.
Se salen por tanto de la norma, pero debido a la repercusión social que las sanciones sobre grandes empresas o instituciones suelen tener en los medios de comunicación, implican también una ola expansiva que termina por llegar hasta las microempresas.




3 de noviembre de 2008

No se lo digas a mi hermano

El procedimiento sancionador PS/00478/2007 se inició cuando tuvo entrada en la Agencia Española de Protección de Datos un escrito de D.V.V.V. (en lo sucesivo el denunciante) en el que manifestó que la entidad P.S., S.L., (que gira comercialmente bajo el nombre Bufete P.S., en lo sucesivo P.S.), en representación de Gas Natural “envió el pasado 8 de enero de 2007 una carta a D.M.M.M., hermano mío, afirmando que yo, V.V.V. adeudo la suma de 749,72 euros mas gastos (no especificados) a Gas Natural SDG, SA”. Asimismo, declara que entiende que los datos de su hermano, cliente de Gas Natural, han debido ser proporcionados por dicha entidad.

Requerida información a la entidad P.S. en relación con el envío del citado escrito, manifestó que el envío se produjo por “un error imputable a nuestro servicio de secretaría, introduciendo manualmente el nombre y dirección de la persona equivocada y que se encontraba en el campo inmediatamente posterior al del titular (debido a la coincidencia de los apellidos)”. Señala la entidad que “es por tanto un error humano, ya que la introducción de los datos erróneos se produjo manualmente”.

La agencia acepta la alegación de que el conocimiento de la información revelada a terceros por al entidad P.S., como es la relativa a una supuesta deuda del denunciante contraída con una tercera entidad, no permite concluir que tales datos sean suficientes para obtener una evaluación de la personalidad del individuo, requisito indispensable para tipificar la infracción como grave. En consecuencia, procede recalificar la tipificación inicial, tipificándola como leve.
No obstante, tal conducta denota una falta de diligencia debida, en especial por tratarse de una entidad especializada es ese tipo de tratamientos, por lo que procede graduar la infracción en cuantía media, en base a lo dispuesto en el artículo 45.4 de la LOPD, por lo que procede imponer una sanción de 3.000 €.

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad P.S., S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.4 de la citada Ley Orgánica.

25 de octubre de 2008

Te pedí que me olvidaras...

...y no me hiciste caso.

Podría ser el título de un bolero o de un tango, pero no.
Se trata del procedimiento sancionador PS/00229/2008, instruido por la Agencia Española de Protección de Datos a la entidad Data Integral Action, S.L., vista la denuncia presentada por D. O.O.O. tras recibir en su domicilio publicidad comercial de una entidad que había utilizado datos de la mercantil Data Integral Action, SL, (en adelante DATA).

El denunciante había solicitado con anterioridad la cancelación de sus datos, solicitud a la que contestó DATA, según escrito aportado por el denunciante en el que se procedía a la cancelación de sus datos.

Requerida información al respecto, DATA informó que “sin certeza sobre ello [...] pudo deberse a un involuntario error informático o humano que hubiese ocasionado que, pese a llevarse a cabo la cancelación, no se hubiese producido de hecho el bloqueo de los datos del interesado.”

DATA alega también un confuso argumento acerca del responsable del fichero y la existencia de un contrato con la tercera empresa que realizó los envíos, pero la Agencia es clara al respecto:
DATA indica que “usted no va a recibir nuevas comunicaciones comerciales, con la lógica excepción de algún envió que en este momento pueda encontrase en circulación”. A pesar de ello, constan dos envíos publicitarios.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Data Integral Action, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

19 de octubre de 2008

Me lo dijo por teléfono

Otros dos ejemplos más de lo importante que resulta la prueba del consentimiento inequívoco dentro de la protección de datos: dos empresas sancionadas con 6.000 y 60.000€ respectivamente, tras asegurar haber recibido por teléfono los datos que habían usado.

En el procedimiento sancionador PS/00497/2007, instruido por la Agencia Española de Protección de Datos a la entidad Finques Lapiedra, S.L., vistas las denuncias presentadas por Dª M.M.M. y Dª R.R.R. se demostró que Finques Lapiedra, S.L. emitió un recibo a nombre de Dña. R.R.R. como copropietaria de una plaza de parking, en concepto de “extra costas judiciales y gastos devolución bancaria”, en el que constan los datos personales de nombre y apellidos y dirección y número de cuenta bancaria de Dña R.R.R.
Según la empresa:
"Este dato fue notificada vía telefónica por una Sra. que decíase llamarse A.A.A. de la empresa Promociones Novas Formas, S.L. la venta de la plaza de parking. Dicha venta se había realizado a las Sras. R.R.R. y M.M.M., indicándonos sus datos personales como nombres, dirección, teléfono y DNI."
Y según AEPD:
Finques Lapiedra, S.L. no ha acreditado el consentimiento de la denunciante para el tratamiento de sus datos personales, por lo que debe entenderse vulnerado el artículo 6.1 de la LOPD.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Finques Lapiedra, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiuno) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Por otro lado en el procedimiento sancionador PS/00498/2007, instruido por la Agencia Española de Protección de Datos a la entidad Publicaciones Nacionales Técnicas Y Extranjeras, S.A., visto el escrito presentado por Dª L.L.L. en el que denunciaba  que contrató con dicha empresa la publicación de los datos de su clínica dental en la edición de la guía Puntex denominada “Quién es Quién en Sanidad Estética” y que la citada entidad también publicó en la referida guía, sin su consentimiento, su número particular de telefonía móvil.
Según manifestaciones de Publicaciones Nacionales Técnicas y Extranjeras, S.A., Dña. L.L.L. le facilitó el número de teléfono móvil telefónicamente para que fuera incluido en la aludida guía. Sin embargo Dña. L.L.L. ha manifestado que el número de teléfono móvil lo facilitó como teléfono de contacto. La empresa aportó el contrato suscrito por la denunciante para la publicación de la información relativa a su Clínica dental, pero en él que no consta el número de teléfono móvil.
Esta no fue su única alegación. Además añadió nada más y nada menos que:
La denunciante puso en conocimiento de la entidad su disconformidad con la publicación de su número de telefonía móvil y Publicaciones Nacionales Técnicas y Extranjeras, S.A. excluyó ese mismo día de la guía el referido dato, que los abogados de la denunciante, mediante burofax, solicitaron una indemnización a fin de solventar la reclamación que no fue aceptada por Publicaciones Nacionales Técnicas y Extranjeras, S.A., que de los hechos relatados se desprende la mala fe de la denunciante, que la denunciante es empresario individual por lo que el tratamiento de sus datos quedaría fuera del ámbito de aplicación de la LOPD, que el teléfono móvil no se asocia a ninguna persona física por lo que dicho dato no quedaría incluido en la definición de dato de carácter personal del artículo 3.a) de la LOPD, que Publicaciones Nacionales Técnicas y Extranjeras, S.A. actuó de buena fe, que obtuvo el consentimiento de la denunciante para el tratamiento de sus datos personales, para su publicación en la guía, cesión y transferencia internacional, y que no consta acreditado que se hayan publicado los datos de la denunciante sin su consentimiento.
La Agencia vuelve a ser categórica y reitera:
En definitiva, Publicaciones Nacionales Técnicas y Extranjeras, S.A. no ha acreditado el consentimiento de la denunciante, por lo que debe entenderse vulnerado el artículo 6.1 de la LOPD.
Y por ello:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Publicaciones Nacionales Técnicas Y Extranjeras, S.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 44.3.d) de la citada Ley Orgánica.

16 de octubre de 2008

Que no grabe no es excusa

Por tanto, la captación de imágenes, con independencia de su posible registro en soporte físico (grabación de las mismas) con fines de vigilancia y control, como es el caso que nos ocupa, se encuentra plenamente sometida a lo dispuesto en la LOPD.
La cita procede del procedimiento sancionador PS/00495/2007, instruido por la Agencia Española de Protección de Datos a la entidad LATIDO LATINO, S.L. tras recibir una denuncia de la Dirección General de Seguridad de la Policía Municipal de Madrid por la instalación de cámaras de videovigilancia sin que estuviera visible el obligado cartel informativo.
La representación de Latido Latino formuló alegaciones argumentando, en síntesis, que la citada cámara de videovigilancia estaba orientada exclusivamente sobre la puerta de entrada y que en ningún momento fueron grabadas las imágenes, pero como hemos visto la Agencia desestima lógicamente tal alegación.
Es importante aclarar que el hecho de que una videocámara no grabe las imágenes que toma sólo significa que no se está creando fichero alguno, y que por lo tanto la entidad responsable no deberá dar de alta nada ante el Registro General de la Protección de Datos, pero en absoluto quiere decir que esa circunstancia exima de la obligación de información a que hace referencia el art. 3 a) de la Instrucción 1/2006 , de 8 de noviembre, de la Agencia Española de Protección de Datos.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad LATIDO LATINO, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.000 € (dos mil euros) de conformidad con lo establecido en el artículo 45.4 y 5 de la citada Ley Orgánica.

11 de octubre de 2008

Intimidad entre vecinos

Hacía tiempo que no comentaba sanciones en el sector de comunidades de vecinos (aunque las sigue habiendo), así que hoy por partida doble.

En el primer caso, en el procedimiento sancionador PS/00057/2008 , instruido por la Agencia Española de Protección de Datos a la entidad D. M.M.M., S.L., (Barragaán S.L.) vista la denuncia presentada por D. P.P.P. que declaró que en la documentación entregada con el detalle del ejercicio 2006, para la junta general ordinaria de la Comunidad de Propietarios, Barragán, S.L. (contratado como administrador) presentó un informe con los coeficientes de porcentajes de participación en los elementos comunes de la finca, según consulta efectuada ante el Registro de la Propiedad Urbana. Además de esta información, en dicha consulta se adjuntaban datos como son la titularidad del inmueble, la cuota de participación de cada uno de los propietarios, banco donde se encuentra hipotecada la vivienda, importe y plazo de la hipoteca, escritura, notario, etc.
La Agencia considera excesiva tal información y por lo tanto resuelve:
PRIMERO: IMPONER a la entidad M.M.M., S.L., por una infracción del artículo 4.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000,00 € (seis mil euros con cero céntimos de euro) de conformidad con lo establecido en los artículos 45.2, 4 y 5 de la citada Ley Orgánica.

Por otro lado tenemos el procedimiento sancionador PS/00028/2008 , instruido por la Agencia Española de Protección de Datos a la COMUNIDAD DE PROPIETARIOS DE C/ MOTA DEL CUERVO 35, DE MADRID, vista la denuncia presentada por D. X.X.X. por haber expuesto en el tablón de anuncios de la CP del citado inmueble una convocatoria a Junta General Extraordinaria, en la que figuraba su nombre como deudor de la citada Comunidad. Denuncia ampliada posteriormente al producirse el abono de la deuda pero no corregirse el citado aviso.
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la COMUNIDAD DE PROPIETARIOS DE C/ MOTA DEL CUERVO 35, DE MADRID, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

6 de octubre de 2008

Un momento, por favor, lo estoy consultando

El procedimiento sancionador PS/00039/2008 se inicia tras la denuncia que D. M.M.M. (en lo sucesivo el denunciante) presentó ante la AEPD declarando que el abogado D. S.S.S. le llevó diversos asuntos para lo cual le facilitó sus datos y papeles, sin que le informase sobre el tratamiento informatizado, ni de la posibilidad de ejercer los derechos de acceso, rectificación y cancelación. Esta es la práctica habitual con todos los clientes del despacho profesional. Manifiesta también que los datos personales de los clientes son incluidos en un fichero automatizado ubicado en un ordenador que carece de contraseña de entrada, y que dicho fichero no se encuentra inscrito en la Agencia.
La oportuna inspección constató entre otros los siguientes hechos:

  • Los clientes no son informados conforme a las especificaciones del artículo 5 de la LOPD ya que se trata de asuntos de estricta confidencialidad de los clientes.
  • En cuanto a la inscripción del fichero en el Registro General de Protección de Datos, se encuentra en trámites de consulta al respecto al Colegio de Abogados de Madrid.
  • Aunque el despacho dispone de algunas medidas de seguridad tales como el acceso a los sistemas informáticos mediante contraseña o la instalación de cámaras de vídeo vigilancia, éstas no se encuentran recogidas en un documento específico.
  • El acceso al ordenador que contiene el fichero denominado “CLIENTES“ ,se realiza sin necesidad de introducir ningún tipo de contraseña. En el escritorio (pantalla acceso) existe un acceso directo al fichero de clientes sin necesidad de introducir una contraseña.

Una ley de diciembre de 1999, un profesional del derecho y una consulta pendiente: podría parecer el reparto de una comedia, pero no creo que le haya hecho gracia recibir esta notificación:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. S.S.S., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a D. S.S.S., por una infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
La próxima vez que un cliente me diga eso de "lo tengo que consultar con mi asesor", le explicaré que sí, y que su asesor con su abogado, y el abogado con el colegio, pero que mientras todos estos se ponen de acuerdo, lo mismo aparece por la puerta un inspector de la Agencia y se carga el invento, así que vamos a repasar usted y yo el artículo 9:
Seguridad de los datos
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Y el artículo 26:
Notificación e inscripción registral
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
La verdad es que no entiendo qué será lo que hay que consultar.

27 de septiembre de 2008

Fuentes accesibles al público: Internet no

Internet es una tentación. Por ejemplo para un emprendedor. Parece que todo es posible porque es gratis, pero no.
Cuando me presentan gente joven del mundo web (o en las ferias, que hay de todo como en botica) no es raro que al rato de charlar sobre protección de datos, el individuo, bajando la voz y con tono de conspirador (sospechando supongo la respuesta a su cuestión), me diga algo así como: "yo tengo una base de datos enorme ¿podría hacer algo con ella?" Basta rascar un poco para averiguar cómo la ha conseguido: como un "spamer" artesano, copiando de aquí y de allá mientras navegaba por las procelosas aguas bitélicas de internet, es decir, de listados profesionales, páginas de repertorios, webs de empresa, cadenas
por correo electrónico, etc... Pues lo siento chico, la respuestas es no, no puedes hacer nada de lo que estás pensando.
La LOPD lo deja claro en el artículo 3j), cuando define "Fuentes accesibles al público":
Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin mas exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y los Boletines oficiales y los medios de comunicación.
Y lo reafirma en el artículo 7 del Real Decreto 1720/2007:
1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público:
a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.
b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica.
c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.
d) Los diarios y boletines oficiales.
e) Los medios de comunicación social.
Y por si quedaban dudas se termina de rematar con el Informe 0342/2008, donde se afirma:
Ambas definiciones tienen una enumeración taxativa respecto a lo que cabe considerar como fuentes accesibles al público, lo que impide que consideremos a las páginas web como fuentes accesibles al público. Por ello, para tratar la información contenida en dichas páginas debería de obtenerse el consentimiento de los afectados.
La tesis de la AEPD es que Internet no es un medio de comunicación social, así que en ningún caso las páginas web serían fuentes accesibles al público.

18 de septiembre de 2008

¿?

Llevo varias días dándole vueltas a una resolución (juro solemnemente haberla leído ya varias veces) sin lograr entenderla.
Se trata del Procedimiento Nº PS/00259/2008, iniciado a raiz de una denuncia (otra vez) de la Policía Local de Ourense en la que declara que ha sido localizado en una red de intercambio de ficheros P2P disponible en Internet (entorno compartido E-mule), un fichero denominado “(...X.....)”, que contiene datos de 1.250 alumnos de un centro de prácticas.
Tras el oportuno seguimiento tecnológico al fichero, en el que de nuevo la operadora de turno, Telefónica en este caso, le entrega a la Agencia los datos de IP sin decir ni pío, el rastreo termina en el domicilio de S.S.S., uno de los alumnos de las prácticas, que pese a haber firmado un compromiso de confidencialidad y custodia de la información reconoce que:
Hubo días en los que mi trabajo no estaba terminado en la oficina y me llevé el trabajo a casa para terminarlo. En la carpeta del proyecto que me llevaba a casa se encontraba la base de datos (...)
y después nos cuenta la vida y milagros del tal fichero y del ordenador donde quedó alojado sin aportar nada relevante hasta llegar al único punto en que podía basar su defensa:
Viendo el registro que el programa emule guarda del número de descargas realizadas de cada archivo compartido compruebo que dicho archivo fue únicamente descargado una vez, debiendo ser ésta el archivo que se aporta con las pruebas por la Policía Local de Ourense según indica el Acuerdo de Inicio de Procedimiento Sancionador. Por tanto ninguna otra persona ha adquirido copia de este archivo mediante el programa e-mule, no pudiendo haber hecho uso de los datos que contenía (...)
Por lo tanto, la Agencia podía haber pedido la comprobación técnica de este último extremo y haber solventado la cuestión con una falta leve y una sanción mínima, y sin embargo, vaya usted a saber porqué, el ponente de la resolución se mete en un berenjenal jurídico sobre el concepto de culpabilidad, y pese a haber indicado:
Por todo ello, debemos concluir que ha quedado acreditado que D. S.S.S. incumplió con el deber de secreto al que se había comprometido con PROINSSA, incurriendo así en la infracción del artículo 10 de la LOPD.
asegura luego:
No obstante en el presente caso, ha que tenerse en cuenta que D. S.S.S., no era en origen el responsable o encargado del fichero, y teniendo en cuenta los hechos acreditados y las alegaciones del mismo, en el sentido de que ha eliminado de su ordenador el fichero denominado “(...X.....)”, cuanto tuvo conocimiento de los hechos producidos, a través de la Agencia Española de Protección de Datos, procedería apreciar la falta de culpabilidad, tal como se recoge en la Sentencia de la Audiencia Nacional de 6 de febrero de 2008, que en su Fundamento de Derecho cuarto, establece: << La exigencia de la culpabilidad procede de lo que señala el articulo 130 de la Ley 30/92 cuando dice que: "Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia".
y termina con:
A estos razonamientos aun cabe añadir que en nuestras Sentencias de 23 de marzo y 16 de Junio de 2004 (recursos 435/2002 y 865/2002) también señalamos que "cuando se invoca la buena fe en el actuar, para justificar la ausencia de culpa -como se hace en el presente caso- basta con decir que esa alegación queda enervada cuando existe un deber específico de vigilancia derivado de la profesionalidad del infractor. En esta línea de tradicional reflexión, la STS de 12 de marzo de 1975 y 10 de marzo de 1978, rechazan la alegación de buena fe, cuando sobre el infractor pesan deberes de vigilancia y diligencia derivados de su condición e profesional" -SAN (1a) de 14 de septiembre de 2001 (Rec. 368/2000)-".
resolviendo:
PRIMERO: EXONERAR de responsabilidad a D. S.S.S. por los hechos imputados en el presente procedimiento sancionador.

Sospecho que la Agencia no ha sabido qué hacer ante un sujeto que realmente no es responsable del fichero ni encargado del tratamiento, pero tampoco un empleado de la empresa, sino un alumno que realiza unas prácticas y al que la parecer no se le puede suponer ninguna profesionalidad... pero sólo es mi sospecha.

Si alguien puede aportar sugerencias, que pinche en Comentarios.

14 de septiembre de 2008

Protección de datos en farmacias

A lo largo de estos años de trabajo comercial en el ámbito de la protección de datos, uno de los sectores más complejos que he encontrado es el de las farmacias. Son varias las provincias donde empresas de distribución de medicamentos han implantado supuestas soluciones en protección de datos a sus clientes, consistentes en altas de ficheros, creación de documentos de seguridad que nunca son revisados e instalación en algunos casos de routers para comuniaciones seguras (cuestión ésta última que atañe tanto a una parte como a la otra, y que estas distribuidoras implantan por su propia seguridad). Obviamente dejan al farmaceútic@ las más de las veces sin la auditoría a la que está obligado por conservar datos de salud, sin formación alguna y sin consultoría de referencia, y más aún sin defensa jurídica ante algún problema, pero al tiempo (ha pagado) convencido de su absoluto cumplimiento con la ley.
Menos mal que algunos medios del sector parecen estar mejor asesorados, y así en Correofarmaceutico.com (Grupo Recoletos) responden en su sección de consultas a dos profesionales inquietos y les explican el asunto de las auditorías y los contratos de tratamiento con terceros.
Cambio de 'software'
Soy titular y me dispongo a sustituir el programa de gestión de mi farmacia. ¿Debo notificar dicho cambio a la Agencia Española de Protección de Datos? ¿Además de esto debería realizar alguna otra acción? J. N. Granada
Actualmente, no se tiene que notificar a la AGPD el cambio de aplicaciones dentro de los sistemas de tratamiento de la información siempre y cuando se mantengan los mismos conjuntos de datos descritos en los ficheros que debe tener registrados en la AGPD. A su vez, el cambio de aplicación de gestión de su farmacia implica la realización de una auditoría extraordinaria. Según el reglamento de la Ley Orgánica de Carácter Personal, se define que "con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas". Entendemos que la aplicación de gestión de su farmacia es la que contiene la base de datos principal y se encuentra en esta la gran mayoría de los datos de interés.
Dicho informe de Auditoría deberá dictaminar sobre la adecuación de las medidas de seguridad aplicadas, identificando sus deficiencias y proponiendo medidas correctoras. Además, se deberá actualizar la información incluida en el Documento de Seguridad referente a los sistemas de información, adecuándolo a la nueva aplicación instalada.
Por último, en el caso de farmacias se está tratando con datos de nivel alto, con lo cual la nueva aplicación deberá cumplir con todas las medidas de seguridad expuestas en el real decreto (registros de accesos o configuración de perfiles, entre otras).

Acceso al hacer fórmulas
Habitualmente cedo datos de nuestros clientes a un laboratorio externo para la preparación de sus respectivas fórmulas. ¿Cómo puede afectarme la LOPD en este supuesto? M. S. Barcelona
En primer lugar, hay que tener en cuenta cuál es el tipo de vínculo existente entre usted y el laboratorio: si existe una cesión de datos a un tercero o bien es un acceso legítimo. En este caso, y por las características del servicio, es evidente que resultará imprescindible el acceso del laboratorio a los datos del fichero para su realización, y ante dicho supuesto, la ley estipula que cuando el acceso a los datos sea necesario para la prestación de un determinado servicio al responsable de tratamiento, éste no será considerado una comunicación de datos sino como un acceso legítimo.
La realización de los tratamientos por cuenta de terceros deberá estar reflejada por medio de un contrato, de tal forma que se permita acreditar su existencia y contenido, estableciéndose de forma expresa que el laboratorio únicamente tratará los datos conforme a las instrucciones del farmacéutico, y que no los utilizará con un fin distinto al que figure especificado en el mencionado contrato. Estos datos tampoco serán comunicados a otras personas.
Asimismo, el contrato deberá establecer las medidas de seguridad de índole técnica y organizativa, que garanticen la seguridad de los datos de carácter personal, las cuales eviten su alteración, pérdida, tratamiento o acceso no autorizado.

8 de septiembre de 2008

¿Responsable? de informática

Han sido ya varias las ocasiones en las que he comentado sanciones por la aparición de ficheros con datos personales colgados en redes P2P como el eMule, pero hasta ahora en todos los casos nos encontrábamos con usuarios de informática de muy bajo nivel, que además de cometer el error de instalar en un ordenador profesional un programa de intercambio de archivos (nada recomendable), lo configuraban de tal forma que daba acceso a todo el contenido del disco duro y no sólo, como es lógico, a la carpeta donde se guardan los archivos que sí se desea compartir.
Sin embargo en el procedimiento sancionador PS/00192/2008, instruido por la Agencia Española de Protección de Datos a la entidad ARDASA 2000, S.A., vista la denuncia presentada por la POLICIA LOCAL DE OURENSE, nos encontramos con que apareció en internet un fichero con datos de clientes y vendedores de la compañía. Realizada la oportuna visita de inspección:
3. Se ha verificado que en el ordenador utilizado por el responsable de seguridad de la entidad ARDASA 2000, S.A. tiene instalado el programa “eMule”, programa informático que permite compartir archivos y extraer ficheros a otros usuarios de Internet conectados. Asimismo, se comprueba que, en el momento de realizarse la inspección, se permite la ejecución del citado programa “eMule”.
Y en las propias alegaciones de la empresa se dice:
El programa eMule se encontraba instalado exclusivamente en un equipo, el del responsable de informática, sin acceso al servidor o a los demás equipos de la red.
(Las negritas son mías).

Menos mal (para la empresa) que puesto habían dado de alta los ficheros, disponían de documento de seguridad y habían implantando diferentes medidas de seguridad, en aplicación del artículo 45.5 de la LOPD se librán de la posible sanción de 60.000€ y el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ARDASA 2000, S.A., por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

4 de septiembre de 2008

Y otra de sobres

Relacionado con la nota de ayer acerca de las sanciones por incorrectos ensobrados y el error de dejar a la vista a través de la ventanilla del sobre datos personales más allá de la dirección de envío, hay que señalar que si quien realiza este trabajo de ensobrado y etiquetado es una empresa externa, deberá tener con su cliente el correspondiente contrato de encargado del tratamiento, como señala el Informe Jurídico 0309/2008:
En relación con la actividad de pegado y ensobrado de etiquetas en cartas con folletos comerciales y en la recepción de direcciones de personas físicas por correo o fax, para la realización de envíos, la consultante está realizando una prestación de servicios por cuenta de terceros, lo que implica desde el prisma de la protección de datos, el tratamiento de datos de carácter personal por cuenta de su cliente, exigiendo por tanto la formalización de un contrato de encargado del tratamiento, pues es un encargado del tratamiento atendiendo a la definición de 3 g) de la Ley Orgánica 15/1999, “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.

3 de septiembre de 2008

Cuidado con lo que asoma por la ventanilla

Hace algún tiempo los inspectores de la Agencia Española de Protección de Datos aprendieron todos los secretos del ensobrado y envío masivo de comunicaciones a los clientes y sancionaron a una empresa con 60.000€ debido a que en algunos casos a través de la ventanilla de los sobres se veían más datos personales que la simple dirección de envío.
Este es un problema que el tiempo y la tecnología se encargarán de solucionar sustituyendo las comunicaciones en papel por electrónicas, pero mientras tanto y teniendo en cuenta que este proceso de digitalización es más tardío en la microempresa y el autónomo que en las PYMES, ¿cuántos pequeños empresarios están enviando documentos en papel a sus clientes sin fijarse en qué tipo de datos quedan expuestos a través de la ventanilla del sobre? Teniendo en cuenta el riesgo sancionador, yo echaría un vistazo al asunto.
Como muestra dos ejemplos recientes:
  • En el procedimiento sancionador PS/00020/2008, el Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad OPEN BANK SANTANDER CONSUMER S.A., por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.g)" de dicha norma, una multa de 60.200 € (sesenta mi doscientos euros) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
  • En el procedimiento sancionador PS/00526/2007, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad BANCO CETELEM SA, por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.g) de dicha norma, una multa de 60.102 € (sesenta mil ciento dos euros) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

20 de agosto de 2008

Estudio LOPD-INTECO 2008 (3). Conclusiones y Recomendaciones

Para empezar este último resumen del Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo reglamento de desarrollo (RDLOPD), una cita que sintetiza a la perfección las 117 páginas.
La conclusión principal del estudio es clara: la normativa sobre protección de datos es escasamente conocida y no suficientemente implantada en el entorno pyme.
Nada más y nada menos que un 66% afirma abiertamente no conocer la LOPD, y un 85% manifiesta lo propio con respecto al nuevo reglamento. ¿Porqué será? En opinión de INTECO:
Parece que las acciones formativas e informativas llevadas a cabo por las administraciones, AEPD, asociaciones empresariales y sectoriales, cámaras de comercio, empresas prescriptoras, etc., no han alcanzado la efectividad deseada, o no han tenido suficientemente en cuenta las particularidades del colectivo a la hora de elaborar acciones específicamente dirigidas a ellas.
Se refiere, claro está, a las empresas más pequeñas. Me ha gustado mucho esto de "elaborar acciones específicamente dirigidas a ellas". Y donde realmente "dan en el clavo" es cuando el Informe dice:
Detrás del limitado nivel de adopción se encuentra, aparte de una escasa cultura y concienciación sobre la necesidad de proteger los datos, la consideración por las pymes de que se trata de una obligación legal que implica tareas tediosas y complejas y que no aporta ningún valor añadido a su negocio, el desconocimiento de las consecuencias de incumplimiento, y la limitación de recursos humanos, económicos y técnicos para hacer frente a la adopción.
Efectivamente, esta es la tortilla a la que hay que dar la vuelta. Y para eso INTECO recomienda a la administración pública incrementar la intensidad de las acciones de sensibilización y adaptarlas a las necesidades del colectivo pyme. Y a las empresas privadas les recomienda:
  • Para la implementación, recurrir si es necesario a un tercero. Un alto porcentaje de empresas que han tenido éxito en la implantación de la LOPD y RDLOPD se han apoyado en una empresa externa con experiencia en la materia. En estos casos, es necesario asegurarse de que la empresa prescriptora está cualificada en la materia.
  • Evaluar periódicamente el nivel de cumplimiento, a través de auditorías y medidas de seguimiento.
  • Instar a las asociaciones empresariales a promover la firma de acuerdos sectoriales que abaraten la implantación y aplicación de SGSI y la LOPD, facilitando la renovación de equipos y la introducción de medios tecnológicos en la gestión de las empresas.
Difícilmente podría estar más de acuerdo en general con el Estudio. Incluso diría que se queda corto en ocasiones y que sufre algunos errores de método, como ya señalé en el primer resumen de la serie. Ahora esperemos que tanto unos como otros (administración y empresas) se den por enterados de estas recomendaciones y comiencen a ponerles en práctica.

12 de agosto de 2008

Cada palo que aguante su vela

El mes pasado comentaba el caso de un procedimiento de la AEPD contra la aseguradora Aresa. El asunto a tratar no era tanto la sanción en si misma, ya que es un tema de gran empresa que excede los propósitos de este blog (que se explican bajo el título donde dice: "...Las resoluciones y noticias aquí citadas se refieren siempre a autónomos, micropymes o pymes...") sino analizar la cuestión de quién pagaría finalmente el importe de la sanción habida cuenta de que Aresa fue adquirida en su momento por Mutua Madrileña.
Ahora que la resolución ya ha sido publicada hay que señalar al menos dos aspectos:
  1. A diferencia de los casos con los que se comparaba en la nota señalada, la Mutua no ha absorbido Aresa, sino que ésta se mantiene en el mercado con su marca propia, por lo que es obvio que la sanción recae en Aresa. Sin embargo el resultado final es el mismo: pagarán al fin y al cabo los actuales propietarios, es decir la Mutua, salvo que más tarde pudieran ejercer cláusulas que hubieran previsto en el contrato de compraventa.
  2. Pero lo más importante para nosotros es que al leer la resolución me encuentro con que hay un "tercero" en el asunto: un médico individual al que también han sancionado con 60.000 euros.
Esta es la historia.

En el procedimiento sancionador PS/00331/2007, instruido por la Agencia Española de Protección de Datos a la entidad ARESA SEGUROS GENERALES, S.A., y a DON X.X.X., vista la denuncia presentada por DOÑA G.G.G., que denunció que ARESA cuenta con unos informes médicos suyos emitidos por el profesional que la trata en la actualidad. Dichos informes se refieren a una fecha anterior a la contratación de la Póliza de seguro médico con Aresa. La denunciante manifiesta no haber autorizado al facultativo para el tratamiento de sus datos.

GGG solicitó de ARESA un intervención médica para solucionar un problema de varices, que le fue denegado en base a un informe médico aportado por el facultativo que la trataba (XXX) y de ahí nace la denuncia.

La Agencia inicia el procedimiento imputando a la Compañía Aresa Seguros la infracción a lo establecido en el artículo 7.3 de la LOPD. Este artículo dice:
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

En el presente caso, está clara la autorización, por parte de la denunciante a Aresa Seguros, para el tratamiento de los datos que le ha facilitado, incluidos los datos de salud que ella misma incluyó en el cuestionario de salud. Esa autorización no es aplicable al tratamiento de los datos de salud obtenidos por los médicos que tienen una relación mercantil con la compañía aseguradora.

Alega Aresa Seguros Generales que el tratamiento de los datos de salud de la denunciante no requiere su consentimiento ya que existe una habilitación legal que lo justifica. En este sentido, debe analizarse la naturaleza de la transmisión de datos que podría ser considerada una cesión o comunicación de datos o la prestación de un servicio por parte del profesional de la medicina (dr. X.X.X.) en nombre y por cuenta de la propia entidad aseguradora. Y de tal análisis la Agencia declara que sólo sería una cesión legítima según lo indicado en el artículo 11.2 c):
Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

Puesto que la Ley reguladora del Contrato de Seguro impone a la entidad aseguradora la obligación de satisfacer el gasto de asistencia sanitaria efectuado como consecuencia de la enfermedad del asegurado, lo que exigirá conocer cuál será éste, dado que la asistencia se realizará generalmente por terceros ajenos a la propia entidad aseguradora, esta obligación parecería incluir un indicio de la necesidad de comunicación a la aseguradora de los datos necesarios para conocer la actividad asistencial realizada. Pero la tesis de la resolución es que lo dispuesto en el artículo 11.2 c) de la LOPD nunca podrá resultar de aplicación en caso de que nos encontremos ante la cesión de datos especialmente protegidos, y en consecuencia no es aplicable a la cesión efectuada por profesionales de la medicina a las entidades aseguradoras, que sólo será posible si el interesado ha prestado su consentimiento a la cesión o la misma aparece habilitada por lo dispuesto en una norma con rango de Ley.

Este tema termina: PRIMERO:
IMPONER a la entidad ARESA SEGUROS GENERALES, S.A., por una infracción del artículo 7.3 de la LOPD, tipificada como muy grave en el artículo 44.4.c) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

Pero a lo que nosotros nos importa es que la Agencia imputa a Don X.X.X. la cesión de datos de la denunciante sin su consentimiento y sin que se acrediten ninguno de los supuestos contemplados en el artículo 11.2 de la LOPD.
Alega el doctor que en cuanto a la cesión de los datos a la compañía de seguros, se produce una colisión de derechos: el de protección de datos y el derecho a que se comunique al asegurador la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, derecho amparado por la Ley de Contratos. La propia LOPD establece que no se exigirá el consentimiento en el caso que una Ley disponga otra cosa. La comunicación de los datos pretendía obtener un beneficio para la paciente, protegiendo su salud.
La Agencia responde que la Póliza suscrita por la denunciante y la Ley de Contrato de Seguros obligan al asegurado a que comunique la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, pero no al médico que trata a los pacientes. En consecuencia, no existe consentimiento de la afectada para la cesión de los datos de salud por parte del Dr. X.X.X. a la compañía aseguradora ni existe norma legal que habilite tal cesión.
Y por ello:
SEGUNDO: IMPONER al DOCTOR DON X.X.X., por una infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

¿Y cual es la lección? La misma de siempre: la debilidad del microempresario, en especial cuando está dentro de una estructura superior. Seguro que XXX hubiera dicho a cualquier consultor: "¿LOPD?, yo cumplo, estoy en Aresa (o en esta franquicia, o con este asesor, etc) y ellos me han dicho que está todo bien". Sí, claro, qué te van a decir ellos, pero ahora explícaselo a la Agencia... y después toma el camino del banco y mira a ver de dónde sacas los 60.000€ que te va a pedir Hacienda vía Recaudación ejecutiva.

8 de agosto de 2008

Estudio LOPD-INTECO 2008 (2). Resultados

Dentro del Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo reglamento de desarrollo (RDLOPD) por parte del Instituto Nacional de Tecnologías de la Comunicación (INTECO), lo más previsible son los resultados de la encuesta, ya que no hace más que confirmar oficialmente lo que ya sabíamos quienes trabajamos en este ámbito. Estos son los puntos más significativos:
  • La pyme española muestra un bajo nivel de conocimiento de la normativa sobre protección de datos, tanto de la LOPD, vigente desde 1999 (34%) como del reciente reglamento de desarrollo (RDLOPD), en vigor desde abril de 2008 (14%). Dado que la ley lleva en vigor casi diez años, que su aplicación es de obligado cumplimiento para todas las empresas con ficheros de datos personales, y que se prevén sanciones ante su incumplimiento, preocupa el escaso conocimiento de la misma entre el colectivo pyme. De hecho, prácticamente la totalidad de empresas manejan datos personales: el 96% de las pymes españolas disponen de ficheros con datos de carácter personal (ya sea en sus sistemas informáticos o en sus archivos en papel) y están por tanto potencialmente sujetas a la normativa.
  • Un 37% afirma haber declarado sus ficheros ante la AEPD; la verificación posterior confirma que sólo un 16% de las pymes ha notificado efectivamente los ficheros ante el Registro General de Protección de Datos.
  • El nivel de cumplimiento declarado de las principales obligaciones previstas en la LOPD se mueve en torno al 20-30%. Si se asume un cierto sesgo en las respuestas, el nivel sería todavía más reducido. Algunos de los datos más relevantes son:
  • Empresas que cumplen con el deber de información: 29%
  • Empresas que cumplen con el deber de consentimiento: 29%
  • Empresas que disponen de datos personales completos y exactos: 28%
  • Empresas que han establecido procedimientos para garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos A.R.C.O.) por los particulares: 20%.
  • El cumplimiento no es homogéneo entre las diferentes medidas de seguridad previstas en el reglamento. Éste se ha analizado sólo para las empresas que afirman haber declarado sus ficheros ante la AEPD, y oscila entre un 25% para las medidas menos implementadas y un 90% para las más exitosas. A continuación se enumera el nivel de cumplimiento de algunas de las medidas analizadas:
    • Empresas que disponen de documento de seguridad: 82%
    • Empresas que han divulgado la normativa de seguridad entre sus empleados: 72%
    • Empresas que cuentan con un registro de incidencias: 25%
    • Empresas que tienen implantado un control de acceso: 89%
    • Empresas con usuario y contraseña: 48%
  • Por lo que respecta al comportamiento de las pymes con respecto a ficheros no automatizados, el 20% tiene establecidas medidas de seguridad equivalentes en el caso de ficheros automatizados y no automatizados, y el 23% afirma clasificar su documentación en papel en función de la confidencialidad del contenido. Aunque no se trata de una exigencia normativa, supone un indicio de que un 20% del tejido pyme español muestra una especial sensibilización hacia el tratamiento de ficheros con datos personales en soporte papel, y por tanto parece que entre ellas la adaptación a las disposiciones del reglamento resultará, a priori, sencillo.
  • A pesar de que los datos sobre nivel de cumplimiento son ciertamente mejorables, el mensaje final lanzado por las pymes es positivo: un 82% manifiesta estar concienciada sobre la necesidad de cumplimiento de la normativa, y un 79% afirma que destinará recursos (humanos y económicos) para su implementación.
  • Me quedo con el último dato.

    Y como parte de los resultados es también la repercusión mediática del estudio, os dejo tres enlaces a medios que se hicieron eco:
    1. Iurismática: Estudio realizado por INTECO sobre el grado de adaptación de las PYMES a la LOPD y el nuevo Reglamento
    2. Kriptópolis: Estudio de INTECO confirma el bajo cumplimiento de la LOPD en las PYMES españolas
    3. Expansión: El 80% de las pymes incumple la Ley de Protección de Datos

    5 de agosto de 2008

    Entrevista y artículo sobre protección de datos en administración de fincas

    En el número de julio de 2008 de la revista Administración Rústica y Urbana, dedicada a los profesionales administradores de fincas, se ha publicado una entrevista con Artemi Rallo, director de la AEPD, y un artículo sobre el nuevo reglamento de la LOPD.
    Los puedes descargar en pdf.


    "Los profesionales deben garantizar la seguridad de la información personal que gestionan"

    El Reglamento de Protección de Datos de carácter personal y su incidencia en el Administrador de Fincas


    Vía: Juan Pelaz de Adlanta Corporación

    3 de agosto de 2008

    Estudio LOPD-INTECO 2008 (1). Metodología

    Ayer anunciaba en el blog de Marketing Positivo la publicación de un Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo reglamento de desarrollo (RDLOPD) por parte del Instituto Nacional de Tecnologías de la Comunicación (INTECO), y prometía una serie de comentarios en este blog.

    El primer asunto para el análisis es el de las cifras de la dimensión del estudio.

    Tabla 1: Composición del tejido empresarial español por estrato de asalariados




    Tipo de empresa por número de asalariados Número de empresas Porcentaje
    Sin asalariados 1.706.140 51,13%
    De 1 a 49 asalariados 1.600.927 47,98%
    De 50 a 199 asalariados 23.517 0,70%
    De 200 a 499 asalariados 4.218 0,13%
    Más de 500 asalariados 1.855 0,06%
    TOTAL 3.336.657 100,00%





    Obviamente (lo dice el título del estudio) no estamos ante el mercado total de la protección de datos, al estar excluidas no sólo las entidades públicas, sino también comunidades de vecinos, asociaciones, colegios profesionales, etc. Sin embargo puede considerarse el estudio más completo sobre la situación de este mercado hasta el momento, por la amplitud del tejido estudiado y por el gran peso específico (51,13%) atorgado a los empresarios individuales, cuya ausencia generalizada de otros estudios distorsiona irremediablemente los resultados finales.

    Se me ocurren dos matices:
    1. El primero lo señalan los propios autores del estudio cuando dicen:
      En este caso, además, existen una serie de condicionantes añadidos que sesgan aún más las respuestas de las empresas, que se concretan en la especial sensibilidad del objeto de análisis (adaptación a una ley cuyo incumplimiento deriva en sanciones) y en el carácter técnico de la materia (que implica conocimientos que no se pueden presuponer a las pymes, que en ocasiones no son capaces de identificar sus necesidades ni de responder a preguntas técnicas).
    2. Por otro lado al describir la distribución muestral se indica:
      Se ha extraído una muestra representativa de 250 empresas según un modelo aleatorio simple. Los datos de origen para la selección de la muestra han sido extraídos de la Base de Datos del Registro Mercantil (...)
      Teniendo en cuenta que los empresarios individuales o autónomos (salvo el naviero) no tienen obligación de inscribirse en el Registro Mercantil (si bien pueden hacerlo de forma voluntaria) nos encontramos con que están fuera de la muestra los modelos más pequeños, donde sabemos por experiencia que el cumplimiento legal es menor.
    Pero no nos pongamos detallistas, las cifras y conclusiones del estudio indican a todas luces la inmensidad del trabajo pendiente, y eso lo iremos viendo en los siguientes artículos.