24 de noviembre de 2008

¿A quién le compra los datos D. T.T.T.?

El procedimiento sancionador PS/00413/2008, instruido por la Agencia Española de Protección de Datos a D. T.T.T., se inicio tras la denuncia presentada por D. S.S.S., en la que manifestaba haber recibido en su dirección personal de correo un correo comercial no solicitado de ...T.@.... Aseguró además:
“No haber solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio (incluidos pero no limitados a los siguientes: correo electrónico, suscripción web, suscripción postal o presencial).”
“No haber autorizado jamás a ningún tercero a solicitar o consentir el envío de comunicaciones comerciales en su nombre.”
“No mantener ni haber mantenido relación comercial alguna con el denunciado.”
El correo electrónico contenía información comercial con el siguiente texto:
“Con PromoBusiness tendrá todo un sistema automatizado de promoción por Internet donde podrá personalizar sus propias campañas, posibilitando la inclusión de películas Flash informativas, formularios de suscripción y cartas automatizadas. Además, en todo momento tendrá a su disposición un equipo de soporte que le ayudará a conseguir los resultados que espera.
Su único trabajo será atender a las personas realmente interesadas en su negocio. Sin duda, el mejor sistema de comercialización posible, donde ahorrará en gastos e incrementará su cartera de clientes potenciales.
Más de 1.000 millones de personas en todo el mundo utilizan Internet.
No pierda la oportunidad de descubrir el gran potencial de Internet como canal de promoción y publicidad.
. Consiga atraer visitas a su web.
. Consiga multiplicar sus clientes para su negocio.
. Consiga ampliar espectacularmente las ventas de sus productos/servicios.
. Consiga un sistema automatizado que le genere contactos de gente interesada en aquello que promocione, con sistema de seguimiento incorporado.
Regístrese ya en Promobussines: http://.....T....../......./”
Durante la oportuna investigación se constató que:
  • La dirección de correo “...T.@....” está registrada a nombre de D. T.T.T.
  • Se ha verificado que el enlace que contenía la reseñada comunicación comercial estaba asociado a la página web ...T..-...../.....
  • Que el citado mensaje se envío desde la línea ********, utilizando la cuenta de correo “...T.@....”, la cual está registrada a nombre de D. T.T.T., quien también es titular del subdominio que figuraba incluido en el texto de la comunicación comercial enviada al denunciante.
  • El representante de PROMO BUSINESS SOLUTIONS S.L., entidad cuyo objeto social es “La promoción de negocios de terceros a través de Internet, utilizando últimas tecnologías disponibles”, ha comunicado que el titular del subdominio “..T..-....” es el cliente de dicha entidad D. T.T.T., conforme prueban dos facturas emitidas por dicha entidad a nombre de dicha persona.
  • PROMO BUSINESS SOLUTIONS S.L. prestó al Sr. T.T.T. un servicio de marketing on-line, constándoles que dicho cliente “activo varias campañas de publicidad dirigida para atraer visitas a otros negocios usando nuestra herramienta y por consiguiente el subdominio.” .
D. T.T.T. manifestó en su escrito de contestación a la información que le fue requerida durante las actuaciones previas de investigación que:
“el único dato que figura en nuestra base de datos , correspondiente a dicha dirección de correo electrónico: ...S.@.... es el propio correo electrónico y que su adquisición fue realizada a través de una base de datos de correos electrónicos facilitada por una empresa (............) previo pago de la misma, y no tenía ningún tipo de relación contractual con el titular de la referida dirección de correo.” (La negrita es mía.)
 La AEPD conluye:
A la vista de tales manifestaciones se acredita que el imputado no contaba con autorización expresa del destinatario de la citada comunicación comercial para su envío, ni que éste hubiera sido solicitado por el denunciante, con el que el prestador de servicios no mantenía una relación contractual previa.
Y por lo tanto el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. T.T.T., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una sanción de 600 € (Seiscientos euros) de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

Y yo me pregunto: ¿cuál será la misteriosa empresa a la que D. T.T.T. compró una base de datos de correos electrónicos sin consentimiento "previo pago de la misma"?

¿Investigará la AEPD esta cuestión, o como tantas otras veces lo dejará correr al no haber una denuncia concreta?

22 de noviembre de 2008

Primero lo primero

El procedimiento sancionador PS/00143/2008, instruido por la Agencia Española de Protección de Datos a la entidad Cafe Iruña S.A., se inició vista la denuncia presentada por D. O.O.O. Y D. Z.Z.Z.en la que declararon, en calidad de miembros de CCOO en el comité de empresa de la entidad Café Iruña S.A., que en el interior del “Café Iruña” de (.......) se habían instalado varias cámaras de videovigilancia, tanto en el área de atención al público, como en el área de utilización exclusiva de los empleados. Manifiestaron que tenían conocimiento de que las imágenes obtenidas tienen un tratamiento posterior, sin que se haya creado ningún fichero ni se informe adecuadamente a los usuarios ni a los trabajadores.

Café Iruña se había preocupado de muchos detalles acerca del asunto de la videovigilancia:
  • Contrato de instalación y mantenimiento del sistema de videovigilancia con la empresa SERCOIN NAVARRA S.L.
  • Todas las imágenes se centralizan en el dispositivo videograbador desde el que se pueden visualizar y que las almacena, por un periodo no superior a 4 días.
  • Se instalaron en las puertas de entrada al local sendos carteles informativos de la operación del sistema de videovigilancia (aunque la AEPD recomienda sustituirlos por los sugeridos en la instruccion 1/2006).
  • El sistema de videovigilancia sólo es accedido y gestionado por el gestor de Café iruña, sin que ninguna otra persona tenga acceso a las imágenes ni se hayan proporcionado a terceras personas excepto a las Fuerzas y Cuerpos de Seguridad del Estado y para la resolución de conflictos judiciales.
  • Incluso aseguró que todos los empleados y el comité de empresa estabán informados de la existencia de las videocámaras y del tratamiento que se daba a las imágenes obtenidas, mediante instrucciones verbales proporcionadas por la dirección.
(Lo de "instrucciones verbales" me recuerda a Me lo dijo por teléfono).

Claro que lo primero es lo primero, y según el artículo 26 de la LOPD:
Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
Pero en lo que se refiere al presente procedimiento:
En el Registro General de Protección de Datos no consta ningún fichero inscrito a nombre de Café Iruña S.A. ni al NIF **********.
Y sobre la información a los trabajadores:
El representante de dicha entidad no ha podido acreditar que haya informado a los denunciantes, trabajadores de su empresa, previamente a la instalación de dicho sistema de videovigilancia por lo que cabe estimar cometida la infracción del artículo 5 de la LOPD, por la que se ha instruido el presente procedimiento.
A este respecto el artículo 18.1 del Real Decreto 1720/2007 ya citado establece que, el deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CAFÉ IRUÑA S.A., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01 € (seiscientos un euro con un céntimo de euro) de conformidad con lo establecido en el artículo 45.1,4 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad CAFÉ IRUÑA S.A, por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euro con un céntimo de euro), de conformidad con lo establecido en el artículo 45.1, 4 de la citada Ley Orgánica.

17 de noviembre de 2008

Actos relativos a (...) realizados por parte de terceras señoras a las que tiene alquiladas varias habitaciones

El procedimiento sancionador PS/00175/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la COMUNIDAD DE VECINOS CAPITAN ESPONERA 6 DE ZARAGOZA, se inció tras la denuncia presentada por DÑA. X.X.X. en la que declaró:
Ha sido coaccionada e importunada por los vecinos de la Comunidad de Propietarios de Capitán Espinera nº 6 de Zaragoza (en lo sucesivo la Comunidad de Propietarios), con motivo de ejercer su profesión como (...........) en su inmueble, así como por actos relativos a  (...........) realizados por parte de terceras señoras a las que tiene alquiladas varias habitaciones.
Entre las coacciones se encuentra la instalación de una cámara de vigilancia, instalada en los elementos comunes, que permite grabar imágenes, dentificar tanto las señoras que ejercen la (...........) como a los clientes, lo cual supone un tratamiento ilegítimo de datos de carácter personal.
Las imágenes captadas por la cámara pueden visualizarse en todos los televisores de la Comunidad de Vecinos y ser grabadas y reproducidas por cualquier persona que disponga de un televisor y un aparato de grabación.
La AEPD envía dos inspectores a la finca que verifican la presencia de las cámaras y la existencia de carteles que simplemente avisan de zona videvigilada.
Los inspectores visitan después a la denunciante en su ¿vivienda? ¿lugar de trabajo?, y allí:
Se verificó la existencia de un televisor doméstico en el interior del inmueble, comprobándose que se encontraba conectado al cable de antena en la entrada correspondiente del aparato. Se verificó que se podían visualizar los diferentes canales de televisión.
Se verificó que estableciendo el canal nº 1 en el citado televisor se muestra en pantalla el portal de la finca.
Se comprobó, mediante el desplazamiento al portal de una de las personas presentes en el domicilio en ese momento, que la imagen que se visualizaba en el televisor se correspondía con el hall de entrada de la finca. Se obtuvieron dos fotografías de la pantalla del televisor.
La imagen era visualizada en blanco y negro, y permitía discernir las figuras de las personas que acceden a la finca, así como, a través de los cristales de la puerta, las personas que circulan cercanas a la misma por la vía pública. Se realizó una fotografía en la que aparecen personas circulando por la vía pública.
Los inspectores se dirigen entonces al representante de la Comunidad, cuya hilarante y alucinante respuesta resumo:
El sistema instalado se integra por una cámara de video conectada a la instalación de antena comunitaria de la finca, de tal modo que todos los vecinos que dispongan de un televisor puedan visualizar las imágenes captadas por la cámara sin mas que sintonizar el canal de la frecuencia adecuada.
El sistema se adquirió sin la facilidad de grabación de imágenes que puede integrar, debido a que desconocían si esta posibilidad está o no permitida por ley.
Por otro lado es posible realizar grabaciones mediante la conexión de un sistema de grabación doméstico (video, DVD, etc ) a la antena comunitaria, si bien la Comunidad en ningún momento ha realizado grabaciones de tipo alguno, no conservando por tanto ninguna grabación de imágenes. Por ello, la Comunidad no ha procedido a la notificación de la creación de fichero alguno a la Agencia Española de Protección de Datos, ya que lo entiende innecesario.
En el momento de la instalación del sistema, el técnico encargado se desplazó por cada una de las viviendas con objeto de explicar el funcionamiento a los vecinos, así como la configuración de los televisores para poder visualizar las imágenes. No existe normativa interna emitida por la Comunidad con respecto a la posibilidad o pertinencia de la grabación de las imágenes por parte de los vecinos.
(La negrita es mía)
Y añade en una posterior declaración:
Que pongo de manifiesto la existencia en el piso (...........) de la calle Capitán Espinera nº 6 de Zaragoza, de una (...........) o (...........), ejercicio de la (...........) que, como bien se sabe, es una actividad ilegal que está prohibida en todas las ordenanzas municipales...
La AEPD solicitó a la Comunidad de Propietarios que informara y remitiera los siguientes documentos:
Identificación de la empresa de seguridad que ha realizado la instalación de las videocámaras y copia del contrato de prestación de servicios firmado con la misma.
Copia de la documentación acreditativa de que la empresa de seguridad está autorizada por el órgano administrativo competente del Ministerio del Interior como empresa de seguridad privada.
Interesa igualmente nos informen y acreditan si han tomado las medidas necesarias para que las imágenes captadas por las cámaras no sean visualizadas por los vecinos en sus pantallas de Televisión, visualización que constituye un desvío de la finalidad de la instalación de las citadas cámaras.
No hubo respuesta.

Quizás no se tomaron el asunto muy en serio.

Imagino al gesto cuando les llegó el aviso de Propuesta de Resolución con dos multas de 60.101,21 €, por las infracciones del artículo 6.1 y 4.1 de la LOPD, tipificadas como graves en el artículo 44.3.d) de dicha norma.

Entonces se apresuraron a declarar:
“...la Comunidad de propietarios a la que represento pretendiendo ser respetuosa con la legalidad, y siguiendo los criterios marcados con la Agencia de Protección de Datos, ha procedido a la retirada de la cámara de seguridad en su momento instalada en la Comunidad de Propietarios sita en la calle Capitán Esponera numero seis de Zaragoza, llevándose a efecto esta operación por la empresa Systems Niscayah, S.A., sita en la (c/...........................), y autorizada por el Ministerio de Interior como empresa de seguridad privada. Documento numero UNO Y DOS.
Asimismo, el técnico de la citada empresa, Don (...), ha procedido a la desconexión del cable basante de la señal que unía la cámara con la antena de la Comunidad, de manera que ya no se puede visualizar imagen alguna en la pantalla de los televisores de los vecinos de la Comunidad de propietarios de Capitán Esponera numero 6, tal y como se acredita en el documento numero TRES...”
Pero ya era tarde, claro. Y si además con declaraciones tan poco afortunadas como las citadas se lo has puesto fácil a un jurista para que se luzca, te cae encima todo éste arsenal jurídico en los Fundamentos de Derecho:
  • Ley 23/1992, de 30 de julio, de Seguridad Privada (Incumplimiento: obligación de que las cámaras sean instaladas por una empresa autorizada por el Ministerio del Interior)
  • Artículo 4.1 de la LOPD (Incumplimiento: recogida de datos no pertinentes y excesivos. Infracción grave)
  • Artículo 6.1 de la LOPD (Incumplmiento: falta de consentimiento de los afectados. Infracción grave)
Eso sí, atemperado todo ello por el recurso al manido artículo 45.4 de la LOPD:
Por ello, y considerando los criterios de graduación de las sanciones recogidas en el artículo 45.4 de la LOPD y, en concreto, la ausencia de reincidencia, por un lado, y la suscripción de contrato con empresa autorizada por el Ministerio del Interior para el desmontaje del sistema anteriormente instalado, por otro, procede la imposición de una sanción por importe de 601,01 euros, por cada una de las infracciones cometidas.

14 de noviembre de 2008

Mira bien dónde tiras la basura

El procedimiento sancionador PS/00129/2008 , instruido por la Agencia Española de Protección de Datos a la entidad AUTO ESCUELA PALOMERO, S.A., se inicia tras una denuncia presentada por el AYUNTAMIENTO DE MADRID, POLICÍA MUNICIPAL, UNIDAD DE MEDIO AMBIENTE, que encontró en un vertido, en el “Camino ......” (distrito de ......), de diversa documentación, entre la que figuran “fichas, archivos y documentación varia con datos de carácter personal, perteneciente a alumnos de la autoescuela PALOMERO”. En el informe se especifica que “la cantidad de documentación es de 21 bolsas de tamaño grande”.

El representante de AUTO ESCUELA PALOMERO reconoció los documentos relacionados como pertenecientes a la actividad que desarrolla la compañía, de enseñanza para la obtención del permiso de conducir. Asimismo, dicho representante manifestó lo siguiente:
(...) Hace unas semanas AUTO ESCUELA PALOMERO, SA. recopiló documentación antigua de 5 de las secciones ubicadas en Madrid, con objeto de que fuese desechada. Para evitar que los datos personales contenidos en los documentos pudiesen ser recuperados por terceros, AUTO ESCUELA PALOMERO, SA. decidió que todos ellos fuesen entregados en un punto municipal de reciclaje de papel, en concreto, en el ubicado en la (c/....................). AUTO ESCUELA PALOMERO, S.A. desconoce las circunstancias por las que la documentación desechada a través de un procedimiento oficial ha sido hallada en el vertedero al que hace referencia la Policía Municipal.
Aunque más tarde alega alega que el desecho de los residuos se encomendó a una empresa autónoma con la que contrató la reforma de uno de sus locales.

Pero el caso es que:
Los Servicios de Inspección de la Agencia Española de Protección de Datos verificaron que en los datos de al menos seis personas referidas en los documentos hallados por la Inspección Central Operativa del Cuerpo de Policía Municipal del Ayuntamiento de Madrid, Unidad de Medio Ambiente, figuraban en el fichero automatizado de alumnos de Auto Escuela Palomero, S.A.
Y además:
El representante de Auto Escuela Palomero, S.A., durante la Inspección desarrollada por los Servicios de Inspección de la Agencia Española de Protección de Datos, manifestó que dicha entidad no disponía de ningún documento en el que se detallen las medidas de seguridad establecidas por la misma, en particular, las adoptadas para impedir cualquier recuperación posterior de la información almacenada en los soportes que se van a desechar.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AUTO ESCUELA PALOMERO, S.A., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

9 de noviembre de 2008

Desde el blog de Marketing Positivo

Hay algunas Resoluciones de la Agencia Española de Protección de Datos que fueron en su momento comentadas por diferentes razones en el blog de Marketing Positivo.

Ahora me ha parecido interesante recopilarlas e incluirlas aquí.

Son resoluciones sancionadoras que en principio no corresponden al propósito de este blog, que como se indica bajo el título:
Las resoluciones y noticias aquí citadas se refieren siempre a autónomos, microempresas o pymes, es decir, se dejan deliberadamente de lado las que se refieren a grandes empresas que tiene problemáticas específicas. Se trata de ver cómo la LOPD afecta al grueso del tejido empresarial español.
Se salen por tanto de la norma, pero debido a la repercusión social que las sanciones sobre grandes empresas o instituciones suelen tener en los medios de comunicación, implican también una ola expansiva que termina por llegar hasta las microempresas.




3 de noviembre de 2008

No se lo digas a mi hermano

El procedimiento sancionador PS/00478/2007 se inició cuando tuvo entrada en la Agencia Española de Protección de Datos un escrito de D.V.V.V. (en lo sucesivo el denunciante) en el que manifestó que la entidad P.S., S.L., (que gira comercialmente bajo el nombre Bufete P.S., en lo sucesivo P.S.), en representación de Gas Natural “envió el pasado 8 de enero de 2007 una carta a D.M.M.M., hermano mío, afirmando que yo, V.V.V. adeudo la suma de 749,72 euros mas gastos (no especificados) a Gas Natural SDG, SA”. Asimismo, declara que entiende que los datos de su hermano, cliente de Gas Natural, han debido ser proporcionados por dicha entidad.

Requerida información a la entidad P.S. en relación con el envío del citado escrito, manifestó que el envío se produjo por “un error imputable a nuestro servicio de secretaría, introduciendo manualmente el nombre y dirección de la persona equivocada y que se encontraba en el campo inmediatamente posterior al del titular (debido a la coincidencia de los apellidos)”. Señala la entidad que “es por tanto un error humano, ya que la introducción de los datos erróneos se produjo manualmente”.

La agencia acepta la alegación de que el conocimiento de la información revelada a terceros por al entidad P.S., como es la relativa a una supuesta deuda del denunciante contraída con una tercera entidad, no permite concluir que tales datos sean suficientes para obtener una evaluación de la personalidad del individuo, requisito indispensable para tipificar la infracción como grave. En consecuencia, procede recalificar la tipificación inicial, tipificándola como leve.
No obstante, tal conducta denota una falta de diligencia debida, en especial por tratarse de una entidad especializada es ese tipo de tratamientos, por lo que procede graduar la infracción en cuantía media, en base a lo dispuesto en el artículo 45.4 de la LOPD, por lo que procede imponer una sanción de 3.000 €.

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad P.S., S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.4 de la citada Ley Orgánica.