30 de junio de 2008

Por si no había quedado claro

El hombre es el único animal que tropieza dos veces en la misma piedra... y además a la segunda se rompe la cabeza.

Tenemos primero el Procedimiento Nº PS/00291/2005, un clásico envío de spam sancionado (en la época Piñar) con 1.000€.

La cosa podía haber quedado ahí, pero resulta que el denunciante se encuentra, curiosamente el mismo día que al denunciado se le comunica el inicio del expediente, con que su dirección electrónica ha sido dada de alta sin su consentimiento en una serie de listas de distribución.
Denunciados los hechos de nuevo ante la AEPD, la inspección constata que todas las altas se produjeron en un intervalo de tiempo de apenas media hora, localiza varias IP's de conexión y a través de un número de teléfono acaba... ¿lo adivinas?, de nuevo en casa del denunciado.
Y aunque no se puede probar que en todos los casos de altas falsas la acción se iniciara desde el denunciado, pero teniendo en cuenta que en al menos cuatro de las ocasiones hay coincidencia de IP´s, para terminar el Procedimiento Nº PS/00369/2007 :

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad SERVICIOS INFORMÁTICOS ESPECIALIZADOS EN EL TRATAMIENTO DE EMPRESAS, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

28 de junio de 2008

Alguien quiere contactar con la secretaria

Perdón, es con la Secretaría (hay que ver lo que cambia una tilde).

En el procedimiento sancionador PS/00431/2007, instruido por la Agencia Española de Protección de Datos a SIMOES BIS, S.L., vista la denuncia presentada por el MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO - SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN, se demostraron los siguiente HECHOS:

PRIMERO: La recepción de una comunicación electrónica (SMS) en el número de teléfono móvil “#######” del que es titular la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, del Ministerio de Industria,Turismo y Comercio, con el texto “Contactofoto: Una persona muy interesada en contactar contigo y conocerte te envía su foto, para descargarla y verla envía CONOCER al ###. Foto real C1.2m” remitida desde el número “###”. Dicho mensaje fue enviado a las 18:26:29 horas del 21/05/07 desde el número ### a través del centro de mensajes “+ #######” (folios 6, 9, 14-15,31-33).
SEGUNDO: SIMOES BIS reconoció haber efectuado el envío del citado mensaje (folio 9).


El texto de la Resolución recuerda que "Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica", es decir que un SMS entra de lleno en tal definición, y por ello:

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad SIMOES BIS, S.L., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 600 € (seiscientos euros), de conformidad con lo establecido en el artículo 39.1.c) de la citada LSSI.


La enorme implantación de la telefonía móvil en nuestro país, con un índice de penetración superior al 100%, el impacto casi seguro e inmediato en el usuario de un mensaje SMS, y el progresivo abaratamiento de las comunicaciones (con la posibilidad de contratar "paquetes" de cientos o miles de envíos con importantes descuentos), está acercando la publicidad por SMS al mundo de la microempresa, pero hay que tener cuidado. Disponer del número móvil de un cliente (por ejemplo por que lo ha dado al rellenar los datos para una factura o para ser avisado al terminar una reparación) no autoriza el envío de SMS publicitarios, salvo que este hecho sea especificamente indicado dentro de la correspondiente claúsula o política de privacidad.

23 de junio de 2008

Espiando desde la maceta

Algunos han visto demasiadas películas o visitan con un exceso de frecuencia "La tienda del espía".

En el procedimiento sancionador PS/00479/2007, instruido por la Agencia Española de Protección de Datos a D. R.R.R., vista la denuncia presentada por Dª. L.L.L., contra D. R.R.R. en calidad de propietario de la vivienda ubicada en la (C/...............................), por la instalación en la citada vivienda de diversas cámaras de videovigilancia, una de las cuales se encuentra dirigida al edificio colindante en la (C/................) y, al menos una de ellas, al exterior de la vivienda dirigida a la vía pública, la Policía Nacional de Canarias verificó que:

En la terraza exterior de la vivienda sita en la (C/...............................) se encuentra una maceta de color blanco con un agujero orientado hacia el balcón de la denunciante, en el que se presume la existencia en su interior de una micro-cámara, toda vez que hacia el interior de la referida maceta se dirigen unos cables provenientes del interior de la vivienda.
Asimismo, en la esquina superior derecha de la puerta del garaje del propietario de la citada vivienda, hay un conjunto de macetas con pequeños agujeros, pudiéndose comprobar visualmente, como en el interior de uno de ellos se encuentra colocada una lente, supuestamente perteneciente a la óptica de una micro-cámara de vigilancia, sin poderse precisar el ángulo de visión, aunque se presume pudieran captar imágenes ajenas a la vivienda.


Por supuesto no había cartel con el pertinente preaviso ni tampoco autorización para instalar las cámaras, así que:

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad D. R.R.R., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 600 € (seiscientos euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.


Se baja de nivel la sanción ya que:

En el presente caso, ha quedado acreditado que D. R.R.R. instaló en la terraza de su domicilio, sito en (C/...............................), un sistema de videovigilancia cuya cámaras enfocan a zonas colindantes a su vivienda y ajenas a la misma, toda vez que así consta en la declaración realizada ante el Juzgado de Instrucción nº 0A, en (......). Además, Han quedado constatados indicios suficientes de tal instalación en la inspección de datos de fecha 10/01/2006. No obstante, en el presente caso, no consta acreditado que el citado sistema de videovigilancia disponga de dispositivos desproporcionados con la función para la que fue instalado del tipo captación de imágenes mediante sistema “fotográfico” o proximidad mediante sistemas tipo “zoom”. Además, la grabación de las imágenes se realiza de forma aleatoria sin que se haya constatado la instalación de sistemas de direccionamiento remoto o automático. En consecuencia, procede la aplicación de lo dispuesto en el citado artículo 45.5 de la LOPD, toda vez que se dan los requisitos exigidos en dicha norma. Por lo tanto, procede imponer una sanción de multa de 600 €.

17 de junio de 2008

¿Quién paga?

A raíz de un noticia en el diario Cinco Días que se resume así:

Un caso de varices puede salirle caro a Aresa. La Agencia Española de Protección de Datos (AEPD) impuso el pasado marzo a esta entidad de salud una multa de 60.101,21 euros por recabar información médica de una cliente sin su consentimiento expreso. El origen del caso se remonta a 2003, cuando la firma todavía no pertenecía a Mutua Madrileña. El grupo que preside Ignacio Garralda ha recurrido el fallo
(...)
El actual propietario de Aresa, el grupo Mutua Madrileña, reconoce haber recurrido la resolución de la Agencia Española de Protección de Datos ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional hace varios meses.
Si finalmente Aresa pierde el caso, la multa no recaería sobre la compañía que encabeza Ignacio Garralda, sino sobre sus anteriores propietarios, la familia Guerrero. Mutua pagó 352 millones de euros en diciembre de 2005 por la firma catalana de salud.


Alfredo C. me comenta por mail: "Creía que las empresas que compraban otras, si después de la compra "caía" una sanción era la compañía compradora la que se hacía cargo...".

Mi respuesta es que así ha sido hasta ahora, como por ejemplo en la resolución que ya comenté en otra nota titulada "Sanción heredada".

Y recientemente se he repetido en el Procedimiento Nº PS/00399/2007, que se inició cuando Dña. A.A.A. y la entidad Desarrollos Inmobiliarios La Rosa-Promociones, S.L. suscribieron un Contrato de Compraventa de “Vivienda Familiar Libre”. En dicho Contrato no constaba cláusula informativa alguna sobre el tratamiento y destino de los datos personales facilitados, ni consta que dicha información hubiese sido facilitada a Dña. A.A.A. por otro medio.

Según la inscripción de fecha dd/mm/aaaa, que consta en el Registro Mercantil Central, La sociedad Desarrollos Inmobiliarios La Rosa-Promociones, S.L. fue absorbida por la entidad GRUPO INICIARES, que se subrogó en todos los derechos y obligaciones de la sociedad absorbida. El anuncio de dicha fusión fue publicado en el Boletín Oficial del Registro Mercantil Central de fecha 03/07/2007.

Y por lo tanto la Resolución termina: IMPONER a la entidad GRUPO INICIARES, S.L., por una infracción del artículo 5.1 y 2 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01 € (seiscientos un euro con un céntimo de euro), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Es decir, que la única posibilidad de que la noticia citada tenga visos de realidad, sería que en el proceso de compraventa se hubiera incluido alguna claúsula legal al respecto.

16 de junio de 2008

Nivel de protección de datos en una asesoría

El concepto "asesoría" engloba diferentes tipos de orientaciones de negocio (basta echar un vistazo a esa sección en Páginas Amarillas), pero aquí me referiré a nuestro típico cliente, es decir, que se mueve en el ámbito de lo fiscal, laboral y contable y sus clientes son autónomos y micropymes.
Se trata de un tipo de cliente especialmente interesante, ya que además de pertenecer al prototipo al que queremos dirigirnos (la asesoría suele ser también una micropyme) tiene el importante valor de la prescripción respecto a sus empresas clientes.

En la sección Informes Jurídicos de la AEPD se ha publicado recientemente el Informe 0156/2008 titulado Medidas de seguridad en los ficheros de nóminas y demás especialidades, un informe más largo de lo habitual (11 páginas), prueba de la importancia que se le ha dado al tema.
Anteriormente teníamos también el Informe 0082/2008, pero este se limitaba a hacer un "copia/pega" del nuevo reglamento sin aportar apenas nada.

Independientemente de cualquier informe, la primera cuestión que puede llevar a una asesoría a tener que cumplir con el nivel medio de seguridad está en el artículo 81 del Real Decreto 1720/2007 (nuevo reglamento LOPD):

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:
a) Los relativos a la comisión de infracciones administrativas o penales.


Entrando ya en el Informe citado, comienza por analizar el asunto de los porcentajes de minusvalía (dato de salud) necesarios para calcular el porcentaje de retención a aplicar.

En primer lugar respecto a las medidas de seguridad que debe de aplicarse al fichero de nóminas, el artículo 81.6 del Real Decreto 1720/2007 señala que “6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.”
Por ello, los datos relativos a la minusvalía siguen siendo datos relativos a la salud, lo único que se permite es adoptar medidas de seguridad de nivel básico en cuanto a dicho dato se encuentre afectado o vinculado al cumplimiento de deberes públicos, como sería el supuesto del fichero de nóminas en el que aparezca un porcentaje de minusvalía para calcular el nivel de retención aplicable en nómina, conforme a lo previsto en el artículo 103.1 del Real Decreto Legislativo 3/2004, de 5 de marzo por el que se aprueba el Texto Refundido del Impuesto sobre la Renta de las Personas Físicas. En consecuencia si el dato de minusvalía se tratará para cuestiones que no constituyan el cumplimiento de deberes públicos, sí deberán de adaptarse mediadas de seguridad de nivel alto.


Continúa con la cuestión de las cuotas sindicales.

Lo mismo ocurrirá respecto de la retención de las cuotas sindicales. La deducción de la cuota sindical es una obligación del empresario que establece la Ley. En consecuencia, los datos relativos a la afiliación sindical siguen siendo datos especialmente protegidos, lo único que se permite es adoptar medidas de seguridad de nivel básico en cuanto a dicho dato se encuentre afectado o vinculado al cumplimiento de deberes públicos, al constituir un deber público del empresario la retención de la cuota sindical, según el artículo 11 de la Ley Orgánica 11/1985, si pueden adoptarse medidas de seguridad de nivel básico.

Sigue con el tema de los partes de baja.

La tercera cuestión hace referencia la artículo 81.5 del Reglamento en relación con un fichero en soporte papel en el que se recogen todos los partes de baja. Atendiendo al tenor literal del artículo 81.5 que establece “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.” .
Podemos concluir que al supuesto de hecho planteado en la consulta, no le resulta de aplicación ninguna de las dos excepciones, dado que no se van a realizar transferencias dinerarias y en cuanto a la segunda excepción alude al carácter incidental o accesorio, de los datos especialmente protegidos que se recojan en el fichero, y ese carácter incidental en ningún caso concurre en el supuesto mencionado, pues el fichero tan sólo contiene los partes de baja y además tiene carácter permanente.


Analiza un fichero de "horas sindicales".

En cuanto al fichero en el que sólo se contengan, datos de aquellos afiliados a un sindicato, que han disfrutado de las llamadas “horas sindicales” previstas en la Ley Orgánica 11/1985, constituye un fichero en el que aparecen datos especialmente protegidos y al que no le resulta aplicable ninguna de las excepciones anteriormente señaladas, por ello deben de adoptarse medidas de seguridad de nivel alto, dado que así resulta del contenido del artículo 81.3 del Reglamento que establece “Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.”

Y termina con un nueva confirmación del carácter restrictivo del artículo 2.2 del nuevo reglamento, ese que ha dado tanto que hablar (casi siempre erróneamente en mi opinión) y que dice:

Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.


Aquí recurre a otro informe anterior (Informe jurídico 42/2008) y reafirma la tesis que hemos siempre mantenido aquí:

Así sucedería en caso de que el tratamiento responda a relaciones “business to business”, de modo que las comunicaciones dirigidas a la empresa, simplemente, incorporen el nombre de la persona como medio de representar gráficamente el destinatario de la misma. Por el contrario, sin la relación fuera “business to consumer”, siendo relevante el sujeto cuyo dato ha sido tratado no sólo en cuanto a la posición ocupada sino como destinatario real de la comunicación, el tratamiento se encontraría plenamente sometido a la Ley Orgánica 15/1999, no siendo de aplicación lo dispuesto en el artículo 2.2 del Reglamento.

Como conclusión podemos decir que (en lo que se refiere a los temas tratados en este informe) para que una asesoría pueda mantenerse en un nivel bajo de seguridad debería al tiempo no llevar nunca sanciones administrativas ni penales de sus clientes y no tener ficheros con partes de baja u "horas sindicales".

En cualquier caso no olvidemos nunca la advertencia con la que se inicia la sección de Informes Jurídicos:

Es un objetivo de la Agencia Española de Protección de Datos atender todas las cuestiones que se plantean relacionadas con el derecho a la protección de datos, y en este sentido, se emiten los informes jurídicos que se publican en esta sección de la página web.
No obstante, debe significarse que dichos informes no tienen carácter vinculante y no prejuzgan el criterio del Director de la Agencia en el ejercicio de sus funciones, entre las que la Ley no prevé la evacuación de consultas vinculantes.

9 de junio de 2008

Jugando con la máquina de ensobrar

En el procedimiento sancionador PS/00442/2007, instruido por la Agencia Española de Protección de Datos a la entidad Euro Crédito EFC SA, vista la denuncia presentada por C.C.C. y en base a los siguientes,

HECHOS PROBADOS

1. A principios del mes de septiembre de 2006 C.C.C. recibió un sobre cerrado -aportado por el denunciante con su denuncia- en el que a través de la ventana se puede leer:
“SR C.C.C.
(C/......................)
(.............)
(.............)
…OS HA DEVUELTO IMPAGADO, EL RECIBO…
…SU CUENTA BANCARIA…”
Una vez abierto por el Inspector de Datos, en el interior contiene un único documento, de una sola hoja, en el que aparecen los referidos datos personales del denunciante (nombre apellidos y dirección) así como una indicación de impago: “…A FECHA DE HOY, SU BANCO NOS HA DEVUELTO IMPAGADO, EL RECIBO QUE HABIAMOS PRESENTADO EN SU CUENTA BANCARIA…”, que contiene el texto que se visualizaba a través de la ventanilla.

2. El escrito fechado el 15/08/06 es remitido por el servicio de atención al cliente de Euro Crédito EFC SA.

3. La Inspección de datos -en sede de la denunciada- ha comprobado la veracidad del documento incluido dentro del sobre aportado por el denunciante y que existe un contrato de tarjeta de crédito suscrito por el afectado con la referida entidad financiera, así como un impagado producido por la devolución de un recibo domiciliado de código de identificación *+*+*, que coincide con el del documento aportado por el denunciante.
La primera actuación de la inspección estimó que se trataba de un "hecho puntual" y en la resolución E/01116/2006 archivaba las actuaciones. Sin embargo, apenas un mes después se recibe en la Agencia un recurso de reposición fundamentado en que el hecho denunciado se ha repetido por parte de EURO CRÉDITO, por lo que la actuación de dicha entidad no puede considerarse un hecho puntual no sancionable. Se realiza actuación de los Inspectores de la Agencia en los locales de la entidad denunciada el día 17/10/07 y comprueban que hechos similares al denunciado se repite en algunas situaciones. Por ese motivo el recurso es estimado por resolución de 26/10/07, notificada al denunciante el 02/11/07 y a la denunciada el 05/11/07. La investigación continúa.

4. La impresión, ensobrado y entrega en correos de las cartas remitidas por EUROCREDITO es realizada por CETELEM SERVICIOS INFORMATICOS AIE, con quien suscribió un contrato de prestación de servicios para la realización de esa actividad. Los inspectores de la Agencia se desplazan a las instalaciones de esta, donde comprueban:
a) En la impresión y ensobrado de una muestra de 240 comunicaciones a clientes de EUROCREDITO, a partir de un fichero que se encontraba disponible para su tratamiento en ese día, que de las 240 comunicaciones, 32 de ellas se ensobran de forma manual debido a que la máquina las ha separado por la ocurrencia de algún tipo de error y el resto de documentos son ensobrados automáticamente por la máquina.
b) En los sobres cerrados es visible a través de la ventanilla de la que disponen los datos del nombre y apellidos del destinatario y su dirección postal, salvo en dos de ellos, en los que figura un número de contrato.
c) Al golpear los 238 sobres restantes verticalmente contra una mesa, en seis de ellos se hace visible parte del texto de la comunicación a través de la ventanilla del sobre. Ocurre en cuatro de los documentos ensobrados automáticamente y en dos de los ensobrados manualmente.
d) Abiertos los seis sobres citados en el punto anterior, se verifica que los documentos contenidos en los mismos se corresponden con dos modelos distintos de comunicaciones dirigidas a los clientes.

El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad Euro Crédito EFC SA, por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.g) de dicha norma, una multa de 60.102 € (sesenta mil ciento dos euros) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Lo más curioso de los Fundamentos de Derecho es que ante la alegación de la denunciada contra la "inusual e injustificada duración de las diligencias preliminares", se da un informe de lo más completo sobre la evolución del trabajo de la Agencia, con datos como que "entre 2003 y 2007, la actividad de la AEPD se ha incrementado un 120,03% en las actuaciones previas de inspección; un 224,03% en los procedimientos por infracción de la LOPD iniciados y un 194,30% en los resueltos; un 57,74% en los procedimientos de tutela de derechos iniciados y un 56,93% en los resueltos y un 162,38% en las resoluciones de archivo de las actuaciones. Todo ello con unos recursos humanos que han pasado de 35 a 58 personas (Δ65%) en el mismo período."
Y luego se nos aclara que "un incremento exponencial de las actuaciones de inspección, como se ha producido, puede generar dilaciones, considerando los medios disponibles, para la propuesta de iniciación de procedimientos sancionadores o de archivo de las actuaciones por parte de los instructores; dilaciones que responden a causas objetivas, aunque sean coyunturales (...)".
Y termina explicando que son coyunturales "Por una parte porque a lo largo de 2007 han tenido lugar incrementos de los medios adscritos a la Subdirección General de Inspección que ascienden a un total de 20 personas, lo que supone un incremento del 41% sobre las dotaciones del año 2006. Y, de otro, porque el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, aprobado por Real Decreto 1720/2007, de 21 de diciembre, establece que las actuaciones previas de inspección “tendrán una duración máxima de 12 meses a contar desde la fecha de la denuncia”, la petición razonada de otro órgano o el acuerdo del Director de la AEPD.Transcurrido dicho plazo “sin que se haya dictado y notificado acuerdo de inicio de procedimientos sancionador [se] producirá la caducidad de las actuaciones previas”. Con lo que la norma de desarrollo reglamentario ha limitado el plazo temporal para la realización de actuaciones inspectoras incrementando las garantías de los responsables de ficheros de tratamientos."

Es decir, que son conscientes de que tiene que ponerse las pilas y están en ello.

8 de junio de 2008

Veníamos a echar un vistazo

El peligro de recibir una denuncia por protección de datos no está sólo en la posible responsabilidad sobre los hechos denunciados, sino también en que el procedimiento de inspección que puede desencadenar deje al descubierto otras carencias de la empresa en el (in)cumplimiento de la LOPD.
Así el procedimiento sancionador PS/00470/2007, se inicia cuando tuvo entrada en la Agencia un escrito remitido por Doña A.A.A., en el que declara que algunos de sus familiares habían recibido un anónimo al que acompañaban copia de un informe clínico suyo y dirigido a ella, de fecha dd/mm/aaaa, emitido por un facultativo de Fiv Center Madrid, a la que responsabiliza de su entrega indebida.
Lo cierto es que ante lo que supongo imposibilidad por parte de los inspectores en identificar si el informe que recibieron los familiares había salido de la clínica o como ésta aseguró hubiera sido "una persona del entorno íntimo de la denunciante la que utilizara indebidamente el informe ginecológico de la denunciante", y ya que estaban por allí, se dedican a revisar el sistema informático de la clínica y al encontrar varias deficiencias (falta de contraseñas, ausencia de trazabilidades, etc...) se inicia el procedimiento por vulneración del artículo 9 de la LOPD (Seguridad de los datos), que termina así: IMPONER a la entidad FIV CENTER MADRID, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 12.000 € (doce mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.