6 de octubre de 2008

Un momento, por favor, lo estoy consultando

El procedimiento sancionador PS/00039/2008 se inicia tras la denuncia que D. M.M.M. (en lo sucesivo el denunciante) presentó ante la AEPD declarando que el abogado D. S.S.S. le llevó diversos asuntos para lo cual le facilitó sus datos y papeles, sin que le informase sobre el tratamiento informatizado, ni de la posibilidad de ejercer los derechos de acceso, rectificación y cancelación. Esta es la práctica habitual con todos los clientes del despacho profesional. Manifiesta también que los datos personales de los clientes son incluidos en un fichero automatizado ubicado en un ordenador que carece de contraseña de entrada, y que dicho fichero no se encuentra inscrito en la Agencia.
La oportuna inspección constató entre otros los siguientes hechos:

  • Los clientes no son informados conforme a las especificaciones del artículo 5 de la LOPD ya que se trata de asuntos de estricta confidencialidad de los clientes.
  • En cuanto a la inscripción del fichero en el Registro General de Protección de Datos, se encuentra en trámites de consulta al respecto al Colegio de Abogados de Madrid.
  • Aunque el despacho dispone de algunas medidas de seguridad tales como el acceso a los sistemas informáticos mediante contraseña o la instalación de cámaras de vídeo vigilancia, éstas no se encuentran recogidas en un documento específico.
  • El acceso al ordenador que contiene el fichero denominado “CLIENTES“ ,se realiza sin necesidad de introducir ningún tipo de contraseña. En el escritorio (pantalla acceso) existe un acceso directo al fichero de clientes sin necesidad de introducir una contraseña.

Una ley de diciembre de 1999, un profesional del derecho y una consulta pendiente: podría parecer el reparto de una comedia, pero no creo que le haya hecho gracia recibir esta notificación:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. S.S.S., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a D. S.S.S., por una infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
La próxima vez que un cliente me diga eso de "lo tengo que consultar con mi asesor", le explicaré que sí, y que su asesor con su abogado, y el abogado con el colegio, pero que mientras todos estos se ponen de acuerdo, lo mismo aparece por la puerta un inspector de la Agencia y se carga el invento, así que vamos a repasar usted y yo el artículo 9:
Seguridad de los datos
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Y el artículo 26:
Notificación e inscripción registral
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
La verdad es que no entiendo qué será lo que hay que consultar.

5 comentarios:

MARIA ANGELES dijo...

Ese es el eterno problema de todos los CSI que nos dicen de consultar a su asesor a pesar de que por lo menos yo le digo que somos nosotros los que asesoramos a los asesores cuesta convencerles. Esta es una buena demostracion de lo que les asesoran....

Marketing Positivo dijo...

Efectivamente Mª Ángeles. Espero que esta resolución te ayude a que tus clientes lo vean un poco más claro. Saludos a Tenerife.

JMendi dijo...

Te agradezco esta búsqueda, me va a ser muy útil para un posible cliente.
Los CSI lo deberíamos llevar impreso en la cartera.

victor zurita dijo...

Tras leer la Resolución, cabe hacer hincapié en la falta de rigor al establecer el importe de la sanción, que estimo no procede en tanto objetivamente no existe atenuante alguno, y además, no se entiende que ejecuten las mismas con rebajas inopinadas, que lejos de ser ejemplarizantes, pueden producir relajación en la implantación de las medidas, que establece la LOPD, por parte de terceros. Se debe tener en cuenta, que los profesionales del Derecho, por razones obvias, en el ejercicio de su actividad profesional, tienen que ser escrupulosos en el cumplimiento de las leyes, qué como es el caso, atienden a un derecho fundamental, que recoge el Art.-18 de nuestra Carta Magna.
Y Resoluciones como estas, además del agravio que puede cometer con terceros damnificados, si cumplen firmeza, establecen nueva jurisprudencia, que hacen de la Ley y su Reglamento, un autentico choteo, por subjetiva y menor aporte a la seguridad jurídica, que pretende dar si cabe el RD 1720/2007.

Marketing Positivo dijo...

Victor: creo que 3.600€ la primera vez pueden ser suficientes como advertencia ¿no te parece? Entiendo tus argumentos desde el punto de vista jurídico, pero creo que en estos momentos es mejor trabajar para propagar la cultura de la protección de datos que ponernos muy severos con las sanciones.

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.