31 de mayo de 2008

Causas circunstanciales

Lo mismo que en la guerra se utiliza el eufemismo "daños colaterales", ya hay quien ha pretendido introducir en protección de datos las "causas circunstanciales" para intentar justificar una vulneración de la LOPD.
En el procedimiento sancionador PS/00315/2007, instruido por la Agencia Española de Protección de Datos a la entidad Real Club Náutico de San Sebastián, vista la denuncia presentada por M.M.M., se trata del envío de una carta a los socios del Club entre la que se encuentra copia de varios acuses de recibo por parte de la afectada, en los que figura el DNI de la misma, así como copia de un acuse de recibo de un Burofax, recibido por la hija de la Sra. M.M.M., figurando asimismo el nombre, apellidos y número de DNI de ésta.
Todos estos datos podían ser conocidos por el resto de los socios por su pertenencia común al club, excepto obviamente los de la hija, que no es socia.
La denunciada solicita el archivo del procedimiento sancionador por considerar que no ha habido incumplimiento de la legislación de protección de datos personales en la comunicación a los socios con los datos que contenían los documentos fotocopiados que se enviaban, incluidos los de su hija por causas circunstanciales, argumento que la Agencia desmonta atendiendo al deber de secreto como una de las obligaciones principales del responsable del fichero.
Y menos mal que de acuerdo con la doctrina de la Audiencia Nacional, la vulneración del deber de secreto sobre datos personales que no permiten realizar una evaluación de la personalidad del individuo debe ser tipificada como infracción leve. De esta forma el Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad Real Club Náutico de San Sebastián, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo de euro) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

22 de mayo de 2008

Ten cuidado con dónde imprimes

Está muy bien y es muy ecológico eso de reciclar hojas impresas que ya no sirven y usarlas por la otra cara para tomar notas o imprimir otro documento, pero antes de entregárselas a nadie fíjate bien qué es lo que pone en la parte impresa no vaya a ser que te ocurra como en el procedimiento sancionador PS/00290/2007, instruido por la Agencia Española de Protección de Datos a la entidad TELECOMUNICACIONES PHONEMOVIL 2001, S.L., vista la denuncia presentada por DIRECCIÓN GENERAL DE LA GUARDIA CIVIL, 601ª COMANDANCIA DE VALENCIA, 1ª COMPAÑÍA-PORT DE SAGUNT.

Esta tienda de móviles tuvo un conflicto con un Guardia Civil respecto a la reparación de un móvil y éste les denunció por haber facilitado, en el transcurso de una visita que tuvo lugar el día 20/09/2006, varios documentos que contenían datos de carácter personal relativos a otros clientes. La representante de Phonemovil 2001, manifestó que “dados los malos modos que tenía el Guardia Civil (siempre venía de uniforme y con el arma reglamentaria) y dada su insistencia, para contentarlo se le facilitó toda la documentación derivada del envío del terminal al servicio técnico correspondiente y enseñarle que todas las obligaciones de mi empresa se habían cumplido, a pesar de que nunca se le facilita dicha información a ningún cliente. Según se pudo comprobar posteriormente, y dadas las prisas y malos modos del Sr. Guardia Civil, observamos que la citada documentación de la reparación del terminal telefónico había sido impresa, por error, en la bandeja en la que se incorporan los papeles para utilizar en modo borrador, en lugar de los completamente blancos, motivo por el cual deben [de] obrar al dorso de los datos que se reseñan en el escrito. Una vez advertido dicho error, se le solicitó la devolución de la documentación impresa de forma indebida para volver a imprimirla en folios en blanco, a lo que se negó alegando que él era la autoridad y que no le podíamos retirar los papeles que le habíamos dado”.

El Director de la Agencia Española de Protección de Datos RESUELVE: IMPONER a la entidad TELECOMUNICACIONES PHONEMOVIL 2001, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 601,01 € de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

14 de mayo de 2008

Los peligros de "arrastrar y copiar"

En el procedimiento sancionador PS/00317/2007, instruido por la Agencia Española de Protección de Datos a D. X.X.X., vista la denuncia presentada por el CONCELLO DE OURENSE - POLICIA LOCAL, se repite la historia de los archivos con datos personales que aparecen en las redes P2P como el eMule.
En este caso se trata de un abogado al que se le "escapó" un archivo con datos de más de 1500 clientes. Según manifestó “en modo alguno ha existido voluntariedad en cuanto a tal compartición. En efecto, dicha base de datos, -una copia antigua de la que utiliza el despacho-, era utilizada por el personal del despacho como "agenda" para la remisión de la correspondencia usual del despacho, y por error humano, debido a la escasez de conocimientos informáticos del usuario y al parecer en un movimiento de “arrastrar y copiar”, fue copiada en una carpeta temporal que se encontraba en otra que a su vez era compartida por el programa P2P. Es de decir que inmediatamente que se tuvo conocimiento de esta circunstancia ha sido subsanado el error.”
El Director de la Agencia Española de Protección de Datos RESUELVE IMPONER a D. X.X.X., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

11 de mayo de 2008

Cómo saltar de 601 € a 6.000 € de sanción por un documento

Ya he señalado que últimamente estamos de rebajas en lo que a las sanciones de la AEPD se refiere, sancionando con menor importe que hace un par de años idénticos hechos o recurriendo sistemáticamente en los últimos tiempos (a pesar de su teórico carácter excepcional) a la graduación en los importes que permiten los artículos 45.4 y 45.5 de la LOPD, como se puede ver aquí, aquí y aquí.
Hay algunos factores clave a la hora de conseguir esta "compasión" por parte de la Agencia: la colaboración con los inspectores, el reconocimiento de la culpa cuando es evidente y la agilidad a la hora de suministrar documentos exigidos. Y es que es falta grave según el artículo 44.3 i) de la LOPD: "No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos."
La diferencia en la sanción se ve bien en estos dos ejemplos:
  1. En el procedimiento sancionador PS/00311/2007, instruido por la Agencia Española de Protección de Datos a D. I.I.I., vista la denuncia presentada por D. G.G.G. en la que aseguraba que el abogado D. I.I.I. (en lo sucesivo el denunciado) posee en su despacho profesional un fichero automatizado que no ha sido inscrito en el Registro General de Protección de Datos ni cumple las medidas de seguridad. Ya que el abogado se "puso las pilas" al instante inscribiendo el fichero el Director de la Agencia Española de Protección de Datos RESUELVE: IMPONER a D. I.I.I., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
  2. Sin embargo en el procedimiento sancionador PS/00241/2007, instruido por la Agencia Española de Protección de Datos a las entidades COMUNIDAD DE HEREDEROS DE D. I.I.I. C.B. y P.P.P., S.A., vista la denuncia presentada por DÑA. R.R.R. nos encontramos con una clínica y un hospital a los que se requiere con fecha 14 de julio de 2005 sus respectivos documentos de seguridad sin que ninguno de los dos los aporte. La Agencia espera con suma paciencia hasta llegar al límite de la fecha de prescripción (2 años en este caso) y en julio de 2007 inicia el procedimiento sancionador. La Comunidad de Bienes Herederos de D. I.I.I. y P.P.P. S.A. aportaron los documentos de seguridad de sus ficheros con fechas 04/09/2007 y 10/09/2007, respectivamente, pero desde luego ya era demasiado tarde, y en este caso ni forzando la LOPD al máximo se podía haber tirado del artículo 45, así que el Director de la Agencia Española de Protección de Datos RESUELVE:
  • PRIMERO: IMPONER a la COMUNIDAD DE HEREDEROS DE D. I.I.I. C.B., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
  • SEGUNDO: IMPONER a P.P.P., S.A., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

10 de mayo de 2008

3.000 € por no llamar

En el procedimiento sancionador PS/00381/2007, instruido por la Agencia Española de Protección de Datos a la entidad “SOCIEDAD A”, vista la denuncia presentada por Dª. B.B.B. se comprobó que la denunciante recibió una serie de llamadas de teléfono tras aparecer en un periódico editado por la entidad dos anuncios con su número en los que se solicitaban una camarera para una cafetería y un informático para un sex-shop.
La denunciante recibió numerosas llamadas de personas desconocidas. Cuando averiguó que ello era consecuencia de los citados anuncios se dirigió a las oficinas de la revista de anuncios. Allí después de darle diversas explicaciones y manifestarle que ya no podían hacer nada y que desconocían quien había puesto los anuncios ordenaron lo más oportuno para evitar que se repitieran anuncios con llamadas a esos teléfonos.
Para la inserción de los citados anuncios solo es obligatorio el texto del anuncio que se quiere publicar y un teléfono de contacto. Pueden hacerse en la página Web cumplimentando el formulario disponible al efecto, cuyo contenido es remitido al periódico de anuncios por correo electrónico. Igualmente pueden remitirse anuncios por correo postal, por fax, por teléfono y personalmente.
En este caso el procedimiento empleado había sido el de la web, pero los representantes de la denunciada manifestaron en la fase de investigación, tras consultar a su proveedor de servicios de Internet, que `resulta imposible en la actualidad la obtención de la información relativa a la dirección IP desde la que se remitieron los correos electrónicos en los que se solicitaba la inserción de los anuncios...’ y por tanto no es posible averiguar que persona fue la que puso el anuncio a través de Internet.
En la fase de alegaciones -en su escrito con entrada el 16/10/07- adjuntan comunicación del citado proveedor en que hace constar la dirección IP (***********. .....X....) desde donde se enviaron los anuncios origen de los hechos denunciados, pero este dato ni siquiera se comenta posteriormente.
A tenor de los criterios de graduación de las sanciones recogidos en el artículo 45.4 de la LOPD, y en especial en relación al volumen de tratamientos efectuados y a la falta de intencionalidad y de beneficios obtenidos por “SOCIEDAD A”, procede imponer una sanción de 3.000 €, atendiendo así las alegaciones, en ese sentido, formuladas por la empresa expedientada.

Una de las ventajas de editar en internet: cualquier error de edición puede ser subsanado al instante, mientras que cuando un medio impreso ya ha sido distribuido y está en manos de los lectores... no hay nada que hacer.
Es de suponer que a partir de ese momento la revista habrá hecho algo tan sencillo como una simple llamada de comprobación para verificar que los números de teléfono que se recogen en el formulario son reales.