29 de diciembre de 2008

Presunción de veracidad

El procedimiento sancionador PS/00307/2007, instruido por la Agencia Española de Protección de Datos a la entidad GUÍA TELEFAX ANUARIO PROFESIONAL, S.L., se inició tras la denuncia presentada por DON G.G.G., en la que declaraba que:
  • Sus datos personales se recogen en un sitio Web que funciona como buscador de empresas de Internet, figurando como titular de una empresa de portes y mensajería, pese a que, señala, “jamás he desarrollado actividad empresarial alguna”.
  • El teléfono que figura en Internet es el de su domicilio particular.
  • Nunca ha facilitado dato alguno de carácter personal a dicha empresa, ni autorizado a la misma para que se incorporen en un fichero automatizado o se publiquen en Internet.
  • Ignora como han podido llegar a dicha empresa sus datos y la información sobre su supuesta actividad empresarial.
  • Está recibiendo llamadas y comunicaciones publicitarias en base a su supuesta actividad económica publicitada en la guía telefax anuario profesional.

Tras la oportuna inspección se constató que dicho error se había mantenido durante varios meses visible en internet, aunque la empresa aseguró que dicha apreciación era falsa y que "la fecha que aparece en el documento obtenido por el Inspector ha podido ser tecleada voluntariamente".

Esta puesta en duda de la veracidad del inspector de la AEPD (sin aportar además la más mínima prueba), es uno de esos ejemplos de una defensa jurídica muy poco aconsejable. El redactor de la Resolución aclara la legislación aplicable a la figura del inspector:

El artículo 17.5 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora, establece:
“Los hechos constatados por funcionarios a los que se reconoce la condición de autoridad y que se formalice en documento público observando los requisitos legales pertinentes, tendrá valor probatorio, sin perjuicio de las pruebas que en defensa de los respectivos derechos o intereses puedan señalar o aportar los propios administrados.”
El artículo 40.2 de la LOPD indica:
“Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos."
A la vista de estos preceptos el instructor del procedimiento únicamente puede atenerse, como prueba constatada, a lo que figura reflejado en las actuaciones previas de investigación, realizadas por el Inspector que las realizó, por ser un documento público formalizado por autoridad pública. Las actuaciones del Inspector, como autoridad pública, tienen presunción de veracidad, no siendo acreditado lo contrario, salvo mediante una mera manifestación del imputado.

Y por lo tanto,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a GUÍA TELEFAX ANUARIO PROFESIONAL, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

18 de diciembre de 2008

“Super Buste XL”... sin consentimiento

El procedimiento sancionador PS/00404/2007, instruido por la Agencia Española de Protección de Datos a la entidad TELEOFFICE MARKETING COMERCIAL, S.L., se inició tras la denuncia presentada por la CONFEDERACIÓN DE CONSUMIDORES Y USUARIOS (CECU) acerca de la publicación en prensa por la entidad PARAMARKETING de unos anuncios que ofertaban el producto “Super Buste XL”, y en los que recababan los datos personales de las personas interesadas, sin incluir ninguna leyenda informativa relativa al consentimiento y tratamiento de esos datos.

En el anuncio objeto de la denuncia, no se indicaba la identidad ni el domicilio de la entidad responsable, aunque constaban números de teléfono y fax para efectuar los pedidos del producto anunciado. La única identificación que figuraba era “Paramarketin", pero la titularidad de los números de teléfono y apartado de correos que aparecían en el anuncio correspondía a Teleoffice Marketing Comercial, S.L. (TMC)

TMC alegó que es una empresa que se dedica a realizar para sus clientes las campañas de promoción y venta de productos, las labores de publicidad, la gestión y recaudación de pedidos, que éstos le encargan, de acuerdo a los contratos previamente suscritos.
  • Para cada cliente, TMC crea una base de datos. La titularidad de la misma corresponde al cliente correspondiente, si bien el personal de TMC tiene acceso para la gestión de los pedidos y realización de la facturación.
  • Para la recepción de los pedidos utiliza diversos canales como correo postal, teléfono, fax, correo electrónico, según lo pactado con el cliente. Los apartados de correos y los números de teléfono son de titularidad de TMC
Respecto al anuncio denunciado, se constató que TMC suscribió un contrato de prestación de servicios con PARAMARKETING LIMITED (en lo sucesivo PARAMARKETING). En su estipulación Primera se concreta que: “TMC se constituye como un mero receptor de las órdenes realizadas por PARAMARKETING, sin ser, por tanto, ni vendedor ni intermediario.” La única referencia a la LOPD se recoge en la estipulación quinta que dispone: “En cumplimiento de la Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre, si, como consecuencia de las llamadas realizadas, TMC obtuviera cualquier clase de datos de carácter personal de los receptores, independientemente de la obligación de confidencialidad aceptada, notificará a PARAMARKETING su obligación de comprometerse a informar a los receptores de las llamadas que facilitan sus datos de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y especificación, bajo los términos establecidos en la legislación existente.”

Es decir, que TMC intenta traspasar toda la responsabilidad a PARAMARKETING... pero no funciona.

La Agencia, en los Fundamentos de Derecho, explica que al no recoger este contrato las estipulaciones exigidas en el artículo 12 de la LOPD (Acceso a los datos por cuenta de terceros) no le es aplicable a TMC el régimen jurídico que diseña la citada Ley para el encargado del tratamiento, y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad TELEOFFICE MARKETING COMERCIAL, S.L., por una infracción del artículo 6.1 en relación con el 12 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.
Esta Resolución ha sido recurrida por el denunciado.

11 de diciembre de 2008

Déjà vu

El término déjà vu (en francés ‘ya visto’) o paramnesia describe la experiencia de sentir que ya se ha sido con anterioridad testigo o se ha experimentado previamente una situación nueva.

Esto es lo que me ocurre en ocasiones repasando las Resoluciones de la Agencia de Protección de Datos (AEPD), ya que algunos casos son tan absolutamente similares a otros, que aunque sean teoricamente nuevos para mí, me resultan tan familiares que dudo sino se tratará de una duplicación.

Así por ejemplo en el procedimiento sancionador PS/00132/2008, instruido por la Agencia Española de Protección de Datos a la entidad EDUGAMA ASOCIADOS, S.L., Doña V.V.V denunciaba que Edugama Asociados, S.L., empresa de publicidad, le había cargado en su cuenta bancaria un recibo de 334,08 €, sin que le hubiera facilitado sus datos personales ni le hubiera solicitado servicio alguno. La empresa aseguró que:
El servicio fue contratado por la denunciante telefónicamente y que los datos fueron facilitados por la misma para la contratación del servicio de inserción publicitaria.
Es decir, sin prueba alguna del consentimiento, y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad EDUGAMA ASOCIADOS, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21€ (sesenta mil ciento un euros con veintiún céntimos de euro), de conformidad con lo establecido en el artículo 45.4 y 4) de la citada Ley Orgánica.
Igualito que Me lo dijo por teléfono.


Y más cercano aún, en el procedimiento sancionador PS/00202/2008, instruido por la Agencia Española de Protección de Datos a la entidad AVERMEDIA TECHNOLOGIES, S.L., vista la denuncia presentada por DÑA. C.C.C., que tras ser despedida recibió en su domicilio varias comunicaciones informándole que había sido identificada como conductora en diversos procedimientos por infracciones de tráfico tramitados por el Ayuntamiento de (.......), cometidas en fechas posteriores a su baja en la empresa, con el vehículo que tuvo asignado para el desarrollo de su trabajo.
El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad AVERMEDIA TECHNOLOGIES, S.L., por una infracción del artículo 4.3 y 4 de la LOPD, tipificada como grave en el artículo 44.3.f) de dicha norma, una multa de 60.101,21€ (sesenta mil ciento un euros con veintiún céntimos de euro), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
Idéntico a Resoluciones (casi) paralelas (II).

4 de diciembre de 2008

Resoluciones (casi) paralelas (II)

Quedó claro desde el primer comentario a la nota anterior, gracias a la aportación de Víctor Z.
ONDU-EMBALAJE de forma estupida, no presenta el escrito de alegaciones que concede el procedimiento administrativo y además echa las culpas al encargado del tratamiento, intentando eludir la culpa y negligencia cometida, al no informar como es preceptivo, de la baja causada e informando del nombre del nuevo conductor.
Y a quien le parezca fuerte el adjetivo le diría que me parece efectivamente estúpido ni siquiera presentar un escrito de alegaciones cuando te estás jugando, como así fue finalmente, una sanción de 60.000€.
Notificada la citada propuesta, el plazo concedido a la entidad ONDU EMBALAJE para formular alegaciones transcurrió sin que se recibiese escrito alguno.
Quizás es que se lo tomaron a broma o van muy sobrados de caja.

ELECNOR alega, entre otras:
  • Que la empresa tiene implantados los mecanismos apropiados para respetar la LOPD.
  • Que realiza una importante labor formativa y de concienciación a sus empleados y proveedores, en cuanto al respeto a la LOPD, que impone, asimismo, en sus contratos con terceros y en los procedimientos a seguir por sus trabajadores.
  • Que desde la publicación de la LOPD, ha establecido diferentes protocolos y medidas de seguridad para asegurar el cumplimiento de la LOPD, desde el año 2002, habiendo realizado varias auditorias los años 2003, 2004, 2006 y 2007.
  • Que se ha llevado estrictamente el Registro de Incidencias, al que tuvo acceso esta Agencia.
  • Que se trata de un error puntual, por el incumplimiento de alguna de las personas que intervienen en el procedimiento del estricto protocolo que tiene establecido la entidad.
  • Que, en resoluciones anteriores, para la aplicación del artículo 45.5. de la LOPD, esta Agencia ha tenido en consideración las medidas implementadas para evitar situaciones futuras.
Y así efectivamente lo reconoce la AEPD:
Hay que considerar que ELECNOR, con objeto de remediar en el futuro la conducta imputada, ha adoptado una serie de medidas con las que pretende evitar la comisión de infracciones en matera de protección de datos de carácter personal. En relación con dichas circunstancias, se observa que concurre una cualificada disminución de la culpabilidad en la imputada que permite la aplicación, en el presente supuesto, del artículo 45.5 de la LOPD.
O dicho de otra forma: acaba usted de ahorrarse 54.000 €. Un buen día para alguien : )

1 de diciembre de 2008

Resoluciones (casi) paralelas (I)

Hechos probados
  1. En el procedimiento sancionador PS/00283/2008, D. O.O.O. denunció que recibió varias notificaciones de denuncias por infracciones de tráfico cometidas como conductor de un vehiculo que resultó haber sido alquilado por la empresa ELECNOR S.A., que había suscrito un contrato de alquiler de un vehículo en el que aparecía como conductor habitual D. O.O.O., que ni siquiera era empleado de la compañía, sino simplemente alguien que había dejado un currículum en un proceso de selección de personal.
  2. En el procedimiento sancionador PS/00200/2008, D. T.T.T. denunció que recibió varias notificaciones de denuncias por infracciones de tráfico cometidas como conductor de un vehiculo que resultó haber sido alquilado por la empresa ONDU EMBALAJE S.A., que había suscrito un contrato de alquiler de un vehículo en el que aparecía como conductor habitual D. T.T.T., que si bien había sido empleado y conductor de esa compañía, tras ser despedido habían olvidado comunicar el cambio de conductor a la empresa de alquileres.
Hasta aquí se parecen mucho, incluso se diría que el caso 1 es más grave que el 2, ya que en el primero ni siquiera había existido una relación laboral. Y sin embargo...

Resoluciones
  1. IMPONER a la entidad ELECNOR, S.A., por una infracción del artículo 4.3 y 4 de la LOPD, tipificada como grave en el artículo 44.3.f) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
  2. IMPONER a la entidad ONDU-EMBALAJE, S.A., por una infracción del artículo 4.3 y 4 de la LOPD, tipificada como grave en el artículo 44.3.f) de dicha norma, una multa de 60.101,21€ (sesenta mil ciento un euros con veintiún céntimos de euro), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
De ahí lo de casi paralelas. Y no, no es una errata.

Continuará

El jueves segunda parte con la explicación del misterio.

Mientras tanto se admiten Comentarios.