18 de diciembre de 2008

“Super Buste XL”... sin consentimiento

El procedimiento sancionador PS/00404/2007, instruido por la Agencia Española de Protección de Datos a la entidad TELEOFFICE MARKETING COMERCIAL, S.L., se inició tras la denuncia presentada por la CONFEDERACIÓN DE CONSUMIDORES Y USUARIOS (CECU) acerca de la publicación en prensa por la entidad PARAMARKETING de unos anuncios que ofertaban el producto “Super Buste XL”, y en los que recababan los datos personales de las personas interesadas, sin incluir ninguna leyenda informativa relativa al consentimiento y tratamiento de esos datos.

En el anuncio objeto de la denuncia, no se indicaba la identidad ni el domicilio de la entidad responsable, aunque constaban números de teléfono y fax para efectuar los pedidos del producto anunciado. La única identificación que figuraba era “Paramarketin", pero la titularidad de los números de teléfono y apartado de correos que aparecían en el anuncio correspondía a Teleoffice Marketing Comercial, S.L. (TMC)

TMC alegó que es una empresa que se dedica a realizar para sus clientes las campañas de promoción y venta de productos, las labores de publicidad, la gestión y recaudación de pedidos, que éstos le encargan, de acuerdo a los contratos previamente suscritos.
  • Para cada cliente, TMC crea una base de datos. La titularidad de la misma corresponde al cliente correspondiente, si bien el personal de TMC tiene acceso para la gestión de los pedidos y realización de la facturación.
  • Para la recepción de los pedidos utiliza diversos canales como correo postal, teléfono, fax, correo electrónico, según lo pactado con el cliente. Los apartados de correos y los números de teléfono son de titularidad de TMC
Respecto al anuncio denunciado, se constató que TMC suscribió un contrato de prestación de servicios con PARAMARKETING LIMITED (en lo sucesivo PARAMARKETING). En su estipulación Primera se concreta que: “TMC se constituye como un mero receptor de las órdenes realizadas por PARAMARKETING, sin ser, por tanto, ni vendedor ni intermediario.” La única referencia a la LOPD se recoge en la estipulación quinta que dispone: “En cumplimiento de la Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre, si, como consecuencia de las llamadas realizadas, TMC obtuviera cualquier clase de datos de carácter personal de los receptores, independientemente de la obligación de confidencialidad aceptada, notificará a PARAMARKETING su obligación de comprometerse a informar a los receptores de las llamadas que facilitan sus datos de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y especificación, bajo los términos establecidos en la legislación existente.”

Es decir, que TMC intenta traspasar toda la responsabilidad a PARAMARKETING... pero no funciona.

La Agencia, en los Fundamentos de Derecho, explica que al no recoger este contrato las estipulaciones exigidas en el artículo 12 de la LOPD (Acceso a los datos por cuenta de terceros) no le es aplicable a TMC el régimen jurídico que diseña la citada Ley para el encargado del tratamiento, y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad TELEOFFICE MARKETING COMERCIAL, S.L., por una infracción del artículo 6.1 en relación con el 12 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.
Esta Resolución ha sido recurrida por el denunciado.

13 comentarios:

victor zurita. dijo...

Estamos ante otro caso de prepotencia y de ignorancia inexcusable, de un lado no presenta las alegaciones pertinentes en defensa de sus legitimos intereses, y por otro intenta desmarcarse echandole la culpa a PARAMARKETING. Y ya es sabido que la Agencia dispara contra el arrogante, pues se demuestra su mala praxis y lejos de reconocerlo, actuando en consecuencia,
para evitar nuevos casos; se intenta escurrir... y claro...la Agencia Española le impone un mayor correctivo, por su indolencia. La relevancia de la sanción es la falta de información previa y el consecuente consentimiento. Y respecto del encargado del tratamiento la falta del control en las observancias de la ley, pues el contrato de prestación de servicios, debe atender, definiendo la finalidad, duración e instrucciones del responsable del fichero, estipulaciones que en este caso se obviaron.

Roberto García dijo...

Lo que no se entiende es cómo es posible que Paramarketing salga indemne del asunto.
En la Resolución se dice que hubo 150 respuestas al anuncio. Esos datos personales los tiene ahora Paramarketing, sin consentimiento y casi seguro sin alta de ficheros y sin documento de seguridad.
Y además, como prueba la misma resolución, ha vulnerado su responsabilidad "in eligiendo" (mal) a la empresa que iba a recoger los datos

esalconsultores.net dijo...

Supongo que al gerente de Paramarketing no le llegara la camisa al cuello, pensando en cuanto va a tardar la AGPD en iniciar un expediente sancionador. De todos modos me mosquea que el contrato entre las partes este redactado en ingles aunque despues de una busqueda en San Google de Paramarketing Limites parece que la empresa esta en Malaga...
En pricipio, y salvo opinion mejor fundamentada, lo que creo es que La Agencia solo puede sancionar a la empresa objeto de denuncia en este procedimiento y que deberia iniciar un nuevo expediente sancionador para "empurar" a la responsable del fichero.
De todos modos podria jugarme una mariscada a que suponiendo que inicie dicho procedimiento la denuncia no ira mas alla del art 26 (no inscripcion de ficheros) y del art 5 (falta de informacion) obviando todo lo demas (documento de seguridad y negligencia en la eleccion del encargado).
No se porque pero siempre lo hace asi. Supongo que seria una buena pregunta para hacer en Leganes en la proxima Sesion Abierta...

esalconsultores.net dijo...

Al releer la noticia veo que la resolucion esta recurrida y recuerdo las palabras de Roberto en otro post: "lo que ahora se ahorran en asesoramiento lo pagarán diez veces más caro en pleitos"
De todos modos ultimamente parece que los tribunales le estan dando algun palo que otro a la AGPD. Recuerdo una multa de 600€ a la Agencia por el tema de la Apostasia y una amonestacion por parte del Consejo General del Joder Pudicial porque la AGPD iba a mandar unos inspectores a algunos juzgados despues de una noticia aparecida en Tele5 sobre expedientes tirados a la basura. El CGPJ les ha dicho que no tienen competencias, que ya se encargan ellos y que no se les acurra asomar la nariz por ningun juzgado...

esalconsultores.net dijo...

Fe de erratas: Poder Judicial
Lo que hace el subconsciente, oye.

Marketing Positivo dijo...

esalconsultores.net: la AEPD inicia todos los procedimientos sancionadores de oficio, incluso cuando se recibe una denuncia (y por eso aunque se "retire" una denuncia no se detiene el procedimiento), así que está normativamente adecuada para haber ido contra Paramarketing. Quizás sea como dices que abre otro procedimiento, pero teniendo en cuenta que no es jurídicamente necesario y los antecedentes en casos similares... para mí que se van a ir de rositas.

Anónimo dijo...

@esaconsultores, dices:
"y una amonestacion por parte del Consejo General del Joder Pudicial porque la AGPD iba a mandar unos inspectores a algunos juzgados despues de una noticia aparecida en Tele5 sobre expedientes tirados a la basura. El CGPJ les ha dicho que no tienen competencias, que ya se encargan ellos y que no se les acurra asomar la nariz por ningun juzgado..."

No es la primera vez que la Agencia manda inspectores a juzgados, lo ha hecho muchas veces$. Vease el hecho probado cuarto: https://www.agpd.es/portalweb/resoluciones/admon_publicas/ap_2008/common/pdfs/AAPP-00053-2007_Resolucion-de-fecha-24-03-2008_Art-ii-culo-9-LOPD.pdf

Lo que pasa es que ahora no es un solo juzgado, son muchos. Por parte de la Agencia se podria argumentar por contra a los argumentos del CGPJ, en el sentido de que seguro que no es el Consejo el que, en el ambito de sus funciones, tiene que hacer las tareas de la Inspección de Datos, como tampoco lo hará de prevención de riesgos laborales, inspección anti incendios o inspección técnica de edificios.

Lo que pasa es que, sencillamente, los jueces no quieren admitir control alguno, salvo el suyo propio. Que ya sabemos como son los jueces en España.

Respecto de las apostasias, es otro tema. Hemos de ver como, aplicando la similitud, se pueda utilizar esa sentencia para sustraer de la LOPD muchos ficheros, con caracteristicas similares a los religiosos. El primer ejemplo que se me ocurre es el de los ficheros de videovigilancia. O el de acceso a edificios. Son ficheros historicos, sin duda (¿alguno no lo es?) y no están organizados con el criterio de identificadores de las personas que aparecen en ellos.

Pit.-

esalconsultores.net dijo...

Hola Pit (Brad?) :-)
Respecto a la apostasia me referia no tanto al hecho de la sentencia en si del Supremo que no deja de ser curiosa, siendo suave, si no a que al ser recurrida por la Agencia les impusieran 600€ de sancion por temeridad al argumentar que "la motivación de esta resolución del Supremo era manifiestamente irrazonable".
Como tu mismo señalas los jueces no quieren ningun tipo de fiscalizacion lo que provoca que no sean buenos tiempos judiciales para la AEPD.

Anónimo dijo...

@esaconsultores: si es que ¿a quien se le ocurre insultar a los jueces del Supremo en el propio documento de recurso? yo, es que aluciné. ¿El redactor del recurso es un pedazo de Abogado del Estado? Les suponía yo mas inteligencia. Además, no me parece a mí que el argumento de la irrazonabilidad de la sentencia sea un argumento, que digamos. Lo suyo habría sido atacar los argumentos de la sentencia, haber añadido otros, y finalmente, haber realizado unas conclusiones de extensión de la sentencia por analogía, incluso intentando llevarla al ridículo. Por ejemplo: si no se pueden cancelar datos históricos, ¿que dato de pasadas contrataciones no lo es? Hasta ahora, la Agencia había entendido por datos históricos aquellos específicamente definidos como tales por normas legales. Ahora, ¿cualquiera podría crear archivos de carácter histórico?. Además, la anotación marginal que imponía la Agencia no suponía, en realidad, que esos datos se borrasen, sino que quedasen bloqueados, no utilizables por el responsable del fichero.
Además, ahora están informatizando los ficheros en muchos obispados ¿que pasa con esos ficheros? No se, creo que el Abogado del Estado de la AGPD no se lo curró. O que la Iglesia sigue siendo muy poderosa, hasta el extremo de poder mediatizar las sentencias del Supremo.

Pit.-

Anónimo dijo...

Hola
Tengo una duda con respecto a la figura del encargado del tratamiento, por favor, ¿podríais orientarme?
Un hospital tiene contrato de prestación de servicios con laboratorio para que éste se encargue de los análisis clínicos. El hospital es responsable y el laboratorio es encargado. Pero si el laboratorio hace una web desde la que se pueden consultar los resultados de los análisis, previo login del usuario, ¿es responsable del fichero el laboratorio? Y la relación entre hospital y laboratorio, ¿es de cesión de datos?
Gracias por vuestra ayuda
Carlos F.

Marketing Positivo dijo...

Carlos F.: cuando se trata de un caso concreto es difícil dar una opinión sin disponer de la información completa.

Tal y como lo planteas sin más, sencillamente el laboratorio no puede hacer eso y en caso de denuncia sería tratado como responsable del fichero y recibiría una sanción importante.
Otra cosa que en el hospital, cada vez que hay que hacer una análisis, se pida al paciente (por escrito) el consentimiento para que pueda consultar el resultado via web o mejor aún que si paciente acude directamente al laboratorio, firme allí otro consentimiento que incluya la consulta web. En este segundo caso el laboratorio también sería responsable, pero de su propio fichero, que sería distinto del que posee el hospital.
Espero haber aclarado la duda, pero sin otros datos es difícil opinar más allá de esto.

Anónimo dijo...

El fichero generado por la grabación de imágenes en un hospital mediante cámaras de seguridad, debería tener aplicado un nivel de seguridad alto, ya que guarda datos que hacen referencia a la salud de los afectados (por ejemplo, imágenes de una persona que va en silla de ruedas). ¿Esto debería ser así? ¿Y las cámaras que graban en Ayuntamientos, por ejemplo? También deberían ser ficheros con un nivel de seguridad alto, porque pueden contener imágenes de curas, o de mujeres musulmanas fácilmente reconocibles por la ropa que utilizan y los pañueños(hace referencia a la religión). ¿Qué opinais?

Marketing Positivo dijo...

Anónimo: entiendo que no, los que citas serían ficheros obligados a cumplir medidas de seguridad de nivel bajo.
Las medidas exigibles no lo son exclusivamente por el tipo de datos que se tratan, sino también por su finalidad. Si le hago una radiografía a un accidentado estamos ante datos de nivel alto, puesto que tanto la información como su uso estan relacionados con el ámbito de la salud. Si ese mismo accidentado sale de mi clínica en silla de ruedas y así le graban mis cámaras de seguridad, el uso de esa información no tiene ninguna relación con la salud, y seguiría siendo un dato de nivel bajo. Como muy bien indicas sería el mismo caso que si las cámaras filman a una persona de color (no por eso sería un fichero con datos raciales) o a una mujer llevando el pañuelo musulmán (no por eso sería un fichero religioso).
Espero haberte aclarado la duda y gracias por la visita :)

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.