30 de marzo de 2008

Spam desde cuentas corporativas

Procedimiento sancionador PS/00284/2007, instruido por la Agencia Española de Protección de Datos a la entidad TRABAJA DESDE CASA, S. L. (TDC), vista la denuncia presentada por D. S.S.S. que recibió, en la dirección de correo electrónico “...A.@....” un correo publicitario referido a los productos de la entidad TDC remitido desde la dirección de correo electrónico “...X.....@....””, siendo el contenido del mismo “Oferta de negocio”.
TDC mantiene relaciones contractuales con distribuidores a los que proporciona publicidad y servicios adicionales, entre los que se incluye una cuenta de correo en los servidores de la entidad, bajo el dominio “...A.....”.
Respecto del correo electrónico con información comercial remitido desde la dirección de correo electrónico “...X.....@....” TDC manifiesta que no corresponde a ninguna campaña de envío de correos electrónicos a los clientes, por lo que posiblemente se deba a un envío realizado por cuenta del distribuidor cuya cuenta de correo es “...X.....@....”, identificado como “D.D.D.”, que actuó como distribuidor de sus productos.
La Agencia sigue el rastro del correo a través de Telefónica y Arsys y confirma la identidad de "D.D.D."
TDC argumenta lo que indica en su web: "Es el usuario de la web TRABAJA DESDE CASA quien ha de poseer los permisos, registros y controles legalmente exigidos a nivel de protección de datos y seguridad en sus propios equipos informáticos”.
La Agencia dictamina que en consecuencia debe concluirse que la presunta infracción objeto del presente expediente sancionador no cabe ser imputada a la entidad TDC en tanto en cuanto no se ha acreditado que efectuó el envío de la comunicación comercial no solicitada, por lo que, en consecuencia, se procede el archivo del procedimiento sancionador.
Es decir, que distinto hubiera sido el caso si el denunciante hubiera dirigido su denuncia contra "D.D.D", ya que a lo largo de los Fundamentos de Derecho de la Resolución se deja más que claro que ha existido una vulneración de la LSSI (de las que suelen saldarse con 1.000€).
Ahora la pregunta se me antoja similar a la de este otro caso: ¿hay algún abogado en la sala con conocimientos de derecho administrativo que me pueda dar una razón legal de peso para que la Agencia no actúe de oficio contra "D.D.D." ya que tiene la absoluta certeza de su falta?

25 de marzo de 2008

Envíos comerciales a profesionales

En el Procedimiento Nº PS/00287/2007 se analiza la denuncia presentada por el Administrador de una sociedad que recibió un envío publicitario no solicitado de una empresa (posibles vulneraciones de los artículos 5.4 y 6.1 de la LOPD, ambas faltas graves sancionables cada una desde 60.000€).

Ya que en el Registro Mercantil constaban los datos del denunciante y que la sociedad que representa coincide en su objeto social con la actividad de la empresa que realizó le envío, la AEPD procede al archivo de las actuaciones sin sanción alguna. Pero lo interesante de la resolución es el párrafo final de los Fundamentos de Derecho (y mira que dije que no iba a hablar del artículo 2 del nuevo reglamento hasta que no entrara en vigor y parece que el universo conspira para que no deje de mentarlo):

En consecuencia, y en los términos descritos, debe considerarse que el envío del catálogo de productos comercializados por Mondo Ibérica al domicilio de la sociedad mercantil de la que el denunciante es Administrador Único se encuentra fuera del ámbito de aplicación de la LOPD, toda vez que tal envío se circunscribe al ámbito mercantil del denunciante y de la entidad Mondo Ibérica, sin perjuicio de que si la utilización de los datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la LOPD.

(La cursiva es mía).

¿Queda claro? Sólo se me ocurre añadir el clásico “sin comentarios”.

Ya he prometido un comentario más extenso sobre este tema y el ya famoso artículo 2, pero de momento va quedando claro que todo esto tiene mucho que ver con estas siglas: B2B y B2C, que aunque nacieron para describir relaciones empresariales electrónicas, su concepto se puede aplicar para entender esta posible confusión sobre el ámbito de aplicación de la LOPD.

ACTUALIZACIÓN: Gracias a uno de los Comentarios me doy cuenta de que es necesario aclarar que el envío que se comenta en esta Resolución es una carta. El asunto podría haber sido distinto en el caso de tratarse de un correo electrónico o un fax, porque entonces hubiera también entrado en juego la LSSI. En cualquier caso recuerdo que estos resúmenes no deben ser más que una introducción para luego estudiar la Resolución completa en la web de la Agencia.

18 de marzo de 2008

Cuestión de plazos

Hace unos días comentaba en el blog de Marketing Positivo el envío de una comunicación por parte de un conocido gabinete legal de asesoramiento a particulares, en el que se planteaba la relación entre la LOPD y los ficheros de solvencia patrimonial. En concreto en uno de sus puntos dicha comunicación decía:
Si no pago la deuda, ¿mis datos se mantendrán para siempre?
No. Hay una máximo de 6 años desde que venció la deuda, por lo que aunque ésta se mantenga impagada, transcurrido dicho plazo deberán cancelarse y no volver a aparecer.

Esta respuesta se basa en el párrafo 4 del artículo 29 de la LOPD que dice:
Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

El 31 de enero de 2008 se resolvió el procedimiento sancionador PS/00263/2007, instruido por la Agencia Española de Protección de Datos a la entidad IBERAVAL, SOCIEDAD DE GARANTÍA RECÍPROCA, vista la denuncia presentada por D. B.B.B. por informar sus datos al fichero “Asnef”, habiendo superado los seis años desde los supuestos hechos que lo motivaron.
Parte de la resolución es el análisis de la gran cantidad de documentación que Iberaval aporta para demostrar la realidad de la deuda y la responsabilidad y conocimiento del denunciante de su situación, pero la Agencia lo deja muy claro cuando dice:
En el presente expediente no se trata de discutir la situación o no de deudor respecto de IBERAVAL, sino de la posibilidad de incluir y mantener dichos datos en un fichero común de prestación de servicios de solvencia patrimonial y crédito.
Y como llega a la conclusión de que efectivamente los plazos límite se habían superado, lo sanciona así:
PRIMERO: IMPONER a la entidad IBERAVAL, SOCIEDAD DE GARANTÍA RECÍPROCA, por una infracción del artículo 29.4 de la LOPD, tipificada como grave en el artículo 44.3.f) de dicha norma, una multa de 60.101,21 € de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Y como además se había vulnerado la calidad de los datos, añade una guinda al pastel:
SEGUNDO: IMPONER a la entidad IBERAVAL, SOCIEDAD DE GARANTÍA RECÍPROCA,, por una infracción del artículo 4.3 en relación con el 29.4 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

17 de marzo de 2008

I-ne-quí-vo-co

El artículo 5 de la LOPD parece bastante claro. Dice en su párrafo 1 que “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco (…)” y para aclarar el método más usual en la recogida de datos personales, en su párrafo 2 especifica: Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.”

Y sin embargo, en el Procedimiento Nº PS/00231/2007, con fecha de resolución 15 de enero de 2008, en el que el SINDICATO PROFESIONAL DE POLICÍAS LOCALES Y BOMBEROS DE LA COMUNIDAD VALENCIANA denunciaba a la entidad INICIATIVAS Y TRANSPORTES DE ELCHE, S.A. por no incluir la pertinente información en los recibos utilizados para el cobro de las tasas municipales, la empresa alegó que “Los ciudadanos que realizan el pago de las tasas reciben información relativa a los derechos que les asisten con respecto a sus datos personales” aportando fotografías de un cartel que habría colocado en la ventanilla de cobro de las tasas, en cuyo pie figuraría la siguiente leyenda informativa: “Iniciativas y Transportes de Elche, S.A. le informa que sus datos personales (etc…)”

Obviamente la Agencia de Protección de Datos desestima tal alegación, pero ya que la entidad parecía cumplir el resto de obligaciones, sanciona la vulneración del artículo 5 con una multa de 601,01 €.

11 de marzo de 2008

Otras aplicaciones de la LOPD

En otra muestra más de la importancia verdaderamente "cultural" de la protección de datos y de la gran repercusión de esta legislación en ámbitos que van más allá del exclusivamente empresarial, ya se están viendo los efectos de las múltiples reclamaciones efectuadas en el tema de la Apostasía.
Hace unos meses ya anticipé la sentencia de la Audiencia Nacional que obligaba al Arzobispado de Valencia a permitir el derecho de baja de quienes no quería constar como católicos bautizados en sus listas (libro de bautismo).
Ahora leo en la web de Terra (sí, aún existen) que el Obispado de Málaga ha resuelto favorablemente 30 solicitudes de apostasía.
Así lo afirma el portavoz de la Plataforma por la Apostasía de Málaga, Salvador Luna, que ha encabezado un movimiento que a comienzos de año presentó ante el Obispado 35 solicitudes de baja.

10 de marzo de 2008

Intentando dar pena

En el Procedimiento Nº PS/00272/2007 instruído por la Agencia Española de Protección de Datos a la entidad INSTITUTO FIDES, S.L. (Master Formación), vista la denuncia presentada por D. P.P.P. en representación del Sindicato Independiente de Docentes Interinos (SIDI), se acusó a la empresa de enviar sin consentimiento una comunicación comercial (cursos para oposiciones). A esto alegaron:

Que la mayoría de envíos publicitarios tuvieron por destinatario a personas físicas que constaban en su base de datos por lo que no necesitaba el consentimiento. (¿? Precisamente se trata de que es necesario el consentimiento para introducir los datos de una persona física en una base de datos)

Que se trató de un envío puntual a la dirección profesional, por lo que no necesitaba el consentimiento previo de los destinatarios. (Atención a los que estáis dando demasiadas vueltas al tema del artículo 2 del nuevo reglamento: leed bien atentos cómo desmonta la Agencia este argumento).

Que “las fuentes utilizadas, tanto la adjudicación pública como la consulta en los tablones de anuncios debe considerarse fuente de acceso público al considerarse un Medio de comunicación y al ser un listado de personas pertenecientes a grupos profesionales”. (Con lo clara y sencilla que es la definición de fuente de acceso público en la LOPD, ¿a quién se le ocurre considerar como tal un tablón de anuncios?).

Que no causó perjuicio ni daño económico alguno a los destinatarios de su envío. (Esta apelación al artículo 45 es incorrecta, pues este factor es irrelevante para la materia tratada, como muy bien señala la Agencia).

Que cumple la LOPD, tiene sus ficheros registrados y observa las medidas de seguridad. (Sólo faltaría, es como argumentar al policía que te detiene por ir a 180 km/h que llevas chaleco reflectante).

Que no ha vuelto a utilizar esos datos personales. (Hmmm, argumento peligroso, ¿podría demostrarlo? Mire que como tenga otra denuncia le pueden acusar de reincidencia y hasta de falsedad documental).

Que no tiene capacidad económica para afrontar la sanción prevista, por lo que su imposición provocaría el cierre de la empresa. (Esta sí que es buena, intentando dar pena a los poderes públicos, cualquiera diría que no funciona… ¿o sí? Continúe leyendo).

(La cursiva es mía.)

La Agencia inicia el procedimiento con esta contundencia: “por la presunta infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.d) de esa norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.”

Es importante recordar que el demandante actúa en nombre de un sindicato que asegura que “Master Formación” está tratando los datos personales de 2500 profesores interinos, sin su consentimiento.

Y sin embargo (tras rechazar todos los argumentos de la empresa) la cosa termina así: “Asimismo, en función de los criterios de graduación de las sanciones recogidos en el artículo 45.4 de la LOPD, y, en especial, al volumen de tratamientos efectuados, acreditados en el presente procedimiento, únicamente queda probado un supuesto, y al de reincidencia, procede la imposición de una sanción de 6.000€.”

Es decir, que el recurso a la pena ha funcionado por la vía de la rebaja de 60.000 a 6.000€ con un argumento traído por los pelos, ya que la Agencia está normativamente más que autorizada (y no le hubiera costado ningún esfuerzo dentro de este mismo procedimiento) para haber actuado de oficio investigando si realmente el tratamiento ha sido de 2.500 profesores o sólo el del denunciante.

Y no es que yo deseara que esto le hubiera ocurrido a una pequeña empresa, pero será interesante recordarlo al siguiente empresario que asegure que esto de la protección de datos es un “sacacuartos”. Teniendo en cuenta el actual nivel de cumplimiento y la inconsistencia general de las argumentaciones, si la Agencia quisiera de verdad sacar los cuartos, a más de uno le iban a sacar hasta las entrañas.