25 de octubre de 2008

Te pedí que me olvidaras...

...y no me hiciste caso.

Podría ser el título de un bolero o de un tango, pero no.
Se trata del procedimiento sancionador PS/00229/2008, instruido por la Agencia Española de Protección de Datos a la entidad Data Integral Action, S.L., vista la denuncia presentada por D. O.O.O. tras recibir en su domicilio publicidad comercial de una entidad que había utilizado datos de la mercantil Data Integral Action, SL, (en adelante DATA).

El denunciante había solicitado con anterioridad la cancelación de sus datos, solicitud a la que contestó DATA, según escrito aportado por el denunciante en el que se procedía a la cancelación de sus datos.

Requerida información al respecto, DATA informó que “sin certeza sobre ello [...] pudo deberse a un involuntario error informático o humano que hubiese ocasionado que, pese a llevarse a cabo la cancelación, no se hubiese producido de hecho el bloqueo de los datos del interesado.”

DATA alega también un confuso argumento acerca del responsable del fichero y la existencia de un contrato con la tercera empresa que realizó los envíos, pero la Agencia es clara al respecto:
DATA indica que “usted no va a recibir nuevas comunicaciones comerciales, con la lógica excepción de algún envió que en este momento pueda encontrase en circulación”. A pesar de ello, constan dos envíos publicitarios.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Data Integral Action, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

19 de octubre de 2008

Me lo dijo por teléfono

Otros dos ejemplos más de lo importante que resulta la prueba del consentimiento inequívoco dentro de la protección de datos: dos empresas sancionadas con 6.000 y 60.000€ respectivamente, tras asegurar haber recibido por teléfono los datos que habían usado.

En el procedimiento sancionador PS/00497/2007, instruido por la Agencia Española de Protección de Datos a la entidad Finques Lapiedra, S.L., vistas las denuncias presentadas por Dª M.M.M. y Dª R.R.R. se demostró que Finques Lapiedra, S.L. emitió un recibo a nombre de Dña. R.R.R. como copropietaria de una plaza de parking, en concepto de “extra costas judiciales y gastos devolución bancaria”, en el que constan los datos personales de nombre y apellidos y dirección y número de cuenta bancaria de Dña R.R.R.
Según la empresa:
"Este dato fue notificada vía telefónica por una Sra. que decíase llamarse A.A.A. de la empresa Promociones Novas Formas, S.L. la venta de la plaza de parking. Dicha venta se había realizado a las Sras. R.R.R. y M.M.M., indicándonos sus datos personales como nombres, dirección, teléfono y DNI."
Y según AEPD:
Finques Lapiedra, S.L. no ha acreditado el consentimiento de la denunciante para el tratamiento de sus datos personales, por lo que debe entenderse vulnerado el artículo 6.1 de la LOPD.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Finques Lapiedra, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiuno) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Por otro lado en el procedimiento sancionador PS/00498/2007, instruido por la Agencia Española de Protección de Datos a la entidad Publicaciones Nacionales Técnicas Y Extranjeras, S.A., visto el escrito presentado por Dª L.L.L. en el que denunciaba  que contrató con dicha empresa la publicación de los datos de su clínica dental en la edición de la guía Puntex denominada “Quién es Quién en Sanidad Estética” y que la citada entidad también publicó en la referida guía, sin su consentimiento, su número particular de telefonía móvil.
Según manifestaciones de Publicaciones Nacionales Técnicas y Extranjeras, S.A., Dña. L.L.L. le facilitó el número de teléfono móvil telefónicamente para que fuera incluido en la aludida guía. Sin embargo Dña. L.L.L. ha manifestado que el número de teléfono móvil lo facilitó como teléfono de contacto. La empresa aportó el contrato suscrito por la denunciante para la publicación de la información relativa a su Clínica dental, pero en él que no consta el número de teléfono móvil.
Esta no fue su única alegación. Además añadió nada más y nada menos que:
La denunciante puso en conocimiento de la entidad su disconformidad con la publicación de su número de telefonía móvil y Publicaciones Nacionales Técnicas y Extranjeras, S.A. excluyó ese mismo día de la guía el referido dato, que los abogados de la denunciante, mediante burofax, solicitaron una indemnización a fin de solventar la reclamación que no fue aceptada por Publicaciones Nacionales Técnicas y Extranjeras, S.A., que de los hechos relatados se desprende la mala fe de la denunciante, que la denunciante es empresario individual por lo que el tratamiento de sus datos quedaría fuera del ámbito de aplicación de la LOPD, que el teléfono móvil no se asocia a ninguna persona física por lo que dicho dato no quedaría incluido en la definición de dato de carácter personal del artículo 3.a) de la LOPD, que Publicaciones Nacionales Técnicas y Extranjeras, S.A. actuó de buena fe, que obtuvo el consentimiento de la denunciante para el tratamiento de sus datos personales, para su publicación en la guía, cesión y transferencia internacional, y que no consta acreditado que se hayan publicado los datos de la denunciante sin su consentimiento.
La Agencia vuelve a ser categórica y reitera:
En definitiva, Publicaciones Nacionales Técnicas y Extranjeras, S.A. no ha acreditado el consentimiento de la denunciante, por lo que debe entenderse vulnerado el artículo 6.1 de la LOPD.
Y por ello:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Publicaciones Nacionales Técnicas Y Extranjeras, S.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 44.3.d) de la citada Ley Orgánica.

16 de octubre de 2008

Que no grabe no es excusa

Por tanto, la captación de imágenes, con independencia de su posible registro en soporte físico (grabación de las mismas) con fines de vigilancia y control, como es el caso que nos ocupa, se encuentra plenamente sometida a lo dispuesto en la LOPD.
La cita procede del procedimiento sancionador PS/00495/2007, instruido por la Agencia Española de Protección de Datos a la entidad LATIDO LATINO, S.L. tras recibir una denuncia de la Dirección General de Seguridad de la Policía Municipal de Madrid por la instalación de cámaras de videovigilancia sin que estuviera visible el obligado cartel informativo.
La representación de Latido Latino formuló alegaciones argumentando, en síntesis, que la citada cámara de videovigilancia estaba orientada exclusivamente sobre la puerta de entrada y que en ningún momento fueron grabadas las imágenes, pero como hemos visto la Agencia desestima lógicamente tal alegación.
Es importante aclarar que el hecho de que una videocámara no grabe las imágenes que toma sólo significa que no se está creando fichero alguno, y que por lo tanto la entidad responsable no deberá dar de alta nada ante el Registro General de la Protección de Datos, pero en absoluto quiere decir que esa circunstancia exima de la obligación de información a que hace referencia el art. 3 a) de la Instrucción 1/2006 , de 8 de noviembre, de la Agencia Española de Protección de Datos.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad LATIDO LATINO, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.000 € (dos mil euros) de conformidad con lo establecido en el artículo 45.4 y 5 de la citada Ley Orgánica.

11 de octubre de 2008

Intimidad entre vecinos

Hacía tiempo que no comentaba sanciones en el sector de comunidades de vecinos (aunque las sigue habiendo), así que hoy por partida doble.

En el primer caso, en el procedimiento sancionador PS/00057/2008 , instruido por la Agencia Española de Protección de Datos a la entidad D. M.M.M., S.L., (Barragaán S.L.) vista la denuncia presentada por D. P.P.P. que declaró que en la documentación entregada con el detalle del ejercicio 2006, para la junta general ordinaria de la Comunidad de Propietarios, Barragán, S.L. (contratado como administrador) presentó un informe con los coeficientes de porcentajes de participación en los elementos comunes de la finca, según consulta efectuada ante el Registro de la Propiedad Urbana. Además de esta información, en dicha consulta se adjuntaban datos como son la titularidad del inmueble, la cuota de participación de cada uno de los propietarios, banco donde se encuentra hipotecada la vivienda, importe y plazo de la hipoteca, escritura, notario, etc.
La Agencia considera excesiva tal información y por lo tanto resuelve:
PRIMERO: IMPONER a la entidad M.M.M., S.L., por una infracción del artículo 4.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000,00 € (seis mil euros con cero céntimos de euro) de conformidad con lo establecido en los artículos 45.2, 4 y 5 de la citada Ley Orgánica.

Por otro lado tenemos el procedimiento sancionador PS/00028/2008 , instruido por la Agencia Española de Protección de Datos a la COMUNIDAD DE PROPIETARIOS DE C/ MOTA DEL CUERVO 35, DE MADRID, vista la denuncia presentada por D. X.X.X. por haber expuesto en el tablón de anuncios de la CP del citado inmueble una convocatoria a Junta General Extraordinaria, en la que figuraba su nombre como deudor de la citada Comunidad. Denuncia ampliada posteriormente al producirse el abono de la deuda pero no corregirse el citado aviso.
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la COMUNIDAD DE PROPIETARIOS DE C/ MOTA DEL CUERVO 35, DE MADRID, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

6 de octubre de 2008

Un momento, por favor, lo estoy consultando

El procedimiento sancionador PS/00039/2008 se inicia tras la denuncia que D. M.M.M. (en lo sucesivo el denunciante) presentó ante la AEPD declarando que el abogado D. S.S.S. le llevó diversos asuntos para lo cual le facilitó sus datos y papeles, sin que le informase sobre el tratamiento informatizado, ni de la posibilidad de ejercer los derechos de acceso, rectificación y cancelación. Esta es la práctica habitual con todos los clientes del despacho profesional. Manifiesta también que los datos personales de los clientes son incluidos en un fichero automatizado ubicado en un ordenador que carece de contraseña de entrada, y que dicho fichero no se encuentra inscrito en la Agencia.
La oportuna inspección constató entre otros los siguientes hechos:

  • Los clientes no son informados conforme a las especificaciones del artículo 5 de la LOPD ya que se trata de asuntos de estricta confidencialidad de los clientes.
  • En cuanto a la inscripción del fichero en el Registro General de Protección de Datos, se encuentra en trámites de consulta al respecto al Colegio de Abogados de Madrid.
  • Aunque el despacho dispone de algunas medidas de seguridad tales como el acceso a los sistemas informáticos mediante contraseña o la instalación de cámaras de vídeo vigilancia, éstas no se encuentran recogidas en un documento específico.
  • El acceso al ordenador que contiene el fichero denominado “CLIENTES“ ,se realiza sin necesidad de introducir ningún tipo de contraseña. En el escritorio (pantalla acceso) existe un acceso directo al fichero de clientes sin necesidad de introducir una contraseña.

Una ley de diciembre de 1999, un profesional del derecho y una consulta pendiente: podría parecer el reparto de una comedia, pero no creo que le haya hecho gracia recibir esta notificación:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. S.S.S., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a D. S.S.S., por una infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
La próxima vez que un cliente me diga eso de "lo tengo que consultar con mi asesor", le explicaré que sí, y que su asesor con su abogado, y el abogado con el colegio, pero que mientras todos estos se ponen de acuerdo, lo mismo aparece por la puerta un inspector de la Agencia y se carga el invento, así que vamos a repasar usted y yo el artículo 9:
Seguridad de los datos
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Y el artículo 26:
Notificación e inscripción registral
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
La verdad es que no entiendo qué será lo que hay que consultar.