30 de diciembre de 2009

La modificación de la Ley Ómnibus en los sistemas de videovigilancia

La Agencia Española de Protección de Datos (AEPD) ha publicado hoy una nota informativa sobre la modificación de la Ley Ómnibus en los sistemas de videovigilancia, tras la entrada en vigor el 27 de diciembre de la Ley 25/2009, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios.

Los puntos destacados son:
  • Hasta la entrada en vigor de la Ley 25/2009, el 27 de diciembre, sólo era conforme a la legislación de protección de datos personales la utilización de dispositivos de videovigilancia si se había contratado con empresas de seguridad privada, debidamente autorizadas por el Ministerio del Interior.
  • La Ley Ómnibus reforma la Ley de Seguridad Privada, liberalizando esta actividad determinando que la venta, entrega, instalación o mantenimiento de estos sistemas podrá llevarse a cabo por particulares y empresas distintas de las de seguridad privada siempre que la instalación no implique una conexión con centrales de alarma.
  • Se modifica por tanto la exigencia de recurrir a empresas de seguridad autorizadas por el Ministerio del Interior y de notificar el contrato a dicho Departamento.
  • En todo caso, deberán cumplirse en el tratamiento de imágenes las normas establecidas en la legislación de Protección de Datos de Carácter Personal, entre las que se incluyen el deber de informar a los interesados, la inscripción de ficheros, y la implantación de medidas de seguridad.

Nota de Prensa completa.

(Madrid, 30 de diciembre de 2009). Hasta la entrada en vigor, el pasado 27 de diciembre, de la Ley 25/2009, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio (conocida como “Ley Ómnibus”), la legitimación para el tratamiento por particulares y empresas de imágenes captadas a través de dispositivos de videovigilancia sólo era posible en caso de que dichos sistemas hubieran sido contratados con empresas de seguridad privada, debidamente acreditadas ante el Ministerio del Interior, al que además debía notificarse el contrato que se hubiese celebrado, conforme a lo exigido por la Ley 23/1992, de 30 de julio de Seguridad Privada.

La Ley Ómnibus ha suprimido para la mayor parte de los casos estas exigencias, al liberalizar la comercialización, entrega, instalación y mantenimiento de estos dispositivos, de forma que ya no será necesario acudir para su puesta en funcionamiento a una empresa de seguridad privada ni cumplir las obligaciones de notificación del contrato al Ministerio del Interior.

En concreto, el artículo 14 de la nueva Ley modifica el artículo 5.1 e) de la Ley 23/1992, de 30 de julio de Seguridad Privada, añadiendo una Disposición Adicional Sexta a la Ley de Seguridad Privada con la siguiente redacción:
“Disposición Adicional Sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad:
Los prestadores de servicios y las filiales de empresas de seguridad que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidas de la legislación de seguridad privada, siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”
La interpretación de la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá: “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal.

No obstante, la instalación de un sistema de videovigilancia conectado a una central de alarma, sí seguirá requiriendo la concurrencia de los requisitos exigidos hasta ahora; esto es, que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento.

En todo caso, el tratamiento de las imágenes deberá cumplir los restantes requisitos exigibles en materia de protección de datos de Carácter Personal, recogidos en la Ley Orgánica y, en particular, en la instrucción 1/2006 de la Agencia Española de Protección de Datos, como son, entre otros, los relativos a que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida; el deber de informar a los interesados, tanto a través de la colocación de carteles informativos como mediante la puesta a disposición de aquéllos de impresos en que se detalle la información; la notificación de la existencia de los ficheros a la Agencia Española de Protección de Datos; o la implantación de medidas de seguridad.

22 de diciembre de 2009

Eso no te lo he dicho yo

El procedimiento sancionador PS/00025/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a D. C.C.C. (Talleres Castelar), se inicia tras la denuncia presentada por D. G.G.G., cliente del taller del anterior, tras recibir un cargo en su cuenta corriente por servicios prestados que ya había abonado con anterioridad.

El fichero de “Clientes” del taller contiene una ficha correspondiente a D. G.G.G. en la que constan sus datos personales relativos a nombre, apellidos, DNI y dirección, que se habían utilizado en ocasiones anteriores para facturar los servicios del taller. Además de dichos datos se encontró un área tachada que, según manifestó D. C.C.C., había contenido un número de cuenta bancaria del cliente, integrado por nueve dígitos, que él nunca había proporcionado.

La AEPD dictamina:
En el presente caso, C.C.C. es responsable de haber anotado en sus propios ficheros el dato personal del denunciante relativo a su cuenta bancaria, sin que conste acreditado que el mismo hubiese prestado su consentimiento para ello, no resultando suficiente a tales efectos las manifestaciones realizadas por C.C.C. sobre la obtención de dicho consentimiento del propio denunciante manifestado de forma verbal que, además, no ha sido reconocido por el mismo.
Por tanto, C.C.C. no ha justificado el origen del dato personal relativo a la cuenta bancaria del denunciante ni la prestación del consentimiento por parte del mismo para que aquél pudiera tratar este dato, registrándolo en sus ficheros y utilizando para hacer efectivo el cobro de la factura número ***, emitida en fecha 04/03/2007 a nombre del denunciante. Ambas actuaciones constituyen un tratamiento de los datos personales del denunciante sin su consentimiento, no excluido del ámbito de protección establecido en la LOPD, según ha quedado expuesto.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. C.C.C., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.000,00 € (dos mil euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

17 de diciembre de 2009

Empresas de seguridad privada contratadas por ayuntamientos

En el Informe 0569/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos, se responde a la cuestión sobre cual es la regulación normativa que debe de aplicarse para instalar cámaras de videovigilancia en la vía pública y en lugares públicos siendo el cliente un Ayuntamiento.

Tal y como se indicaba en la Guía de Videovigilancia editada por la AEPD:
La captación de imágenes en la vía pública está reserva a los Cuerpos y Fuerzas de Seguridad del Estado, y resultará aplicable la Ley Orgánica 4/1997 de 4 de agosto por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos.
El Informe señala que si un Ayuntamiento contrata la seguridad de su edificio con una empresa de seguridad privada, ésta deberá informarle de los extremos en los que podrá llevar a cabo su actividad, especialmente del artículo 4.3 de la Instrucción 1/2006 que dispone:
Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.
En consecuencia la normativa que debe de aplicar una empresa de seguridad privada cuando es contratada por un Ayuntamiento o cualquier organismo público es la Ley 23/1992 de 30 de julio de Seguridad Privada.

14 de diciembre de 2009

Supuestos en los que se puede comunicar información salarial para los embargos

En el Informe 0539/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), se da respuesta a uan consulta en la que se planteaba si las peticiones de información sobre sueldos y salarios realizados a la entidad consultante, por parte de diversas entidades puede ser atendida sin vulnerar la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

Se sobreentiende que se trata de comunicaciones de datos sin consentimiento del afectado, que rara vez estaría de acuerdo en ponérselo fácil a aquellos que pretendar embargar parte de su salario para cobrar deudas.

La AEPD, tras repasar la legislación afectada, afirma:
En virtud de lo expuesto podemos concluir que la cesión de la información salarial se puede comunicar sin el consentimiento de los afectados a la Administración Tributaria, pues así lo ampara el artículo 93 de la Ley General Tributaria y a los Tribunales encargados de las ejecuciones dinerarias amparados en los artículos 590 y 591 de la Ley de Enjuiciamiento Civil.

9 de diciembre de 2009

Criticar a un antiguo empleado en un blog

En el procedimiento sancionador PS/00044/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ECOSMEP, S.L.L., vista la denuncia presentada por M.M.M., se trata de la publicación en un blog de la empresa de determinados datos personales del denunciante sin su consentimiento.

Concretamente en la página referida aparece fechado el 6/12/2007, una información referida a M.M.M., en la que se usa el dato personal de nombre y apellidos, se da información de su retribución, horario laboral, que llevaba 3 años aprendiendo informática en la empresa, que estuvo de baja por estrés laboral, indicando que a los 4 meses de estar de baja “le despedí”, abonándole toda la indemnización”, además de otra información sobre la opinión que le merece al que suscribe el artículo: incompetente “sin pegar palo al agua”. Al final de artículo consta “Publicado por www....X...”. El artículo está suscrito en primera persona “Teníamos” a los 4 meses de estar de baja lo despedí”, ”el empleado al que despedimos.”, “Lo he tenido cerca de durante 5 años”. Esta información podía verse en abierto en la web a fecha 6/02/2008. Con fecha 13/03/2009, ECOSMEP aporta copia de impresión de la web, en la que se lee que se ha eliminado, así como la impresión de los caracteres de su nombre y apellidos en el buscador Google en el que no aparece relación alguna con ECOSMEP.

Aunque M.M.M. había sido efectivamente empleado de la empresa y ésta había obtenido por tanto legalmente sus datos a efectos del cumplimiento de la legalidad vigente en materia laboral, no tenía desde luego ningún consentimiento para una finalidad más amplia que la que subyace del vínculo laboral.

La AEPD afirma:
En este sentido, consta acreditado que los datos personales revelados por la denunciante fueron datos personales que unidos de por sí, forman un perfil en lo profesional del denunciante en la empresa ECOSMPE. Además, la información que se da aparte de esos datos, constituye un perfil, en este caso negativo en lo laboral del denunciante. La información asociada a los datos de carácter personal del denunciante perfilan aun más el ámbito laboral del denunciante, siendo y dándose un perfil laboral negativo del denunciante.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ECOSMEP, S.L.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

30 de noviembre de 2009

Nivel de seguridad en ficheros de recursos humanos y asesoría fiscal

Un nuevo informe del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) sobre un tema ya tratado con anterioridad en este blog, pero que sigue despertando dudas: en este caso el nivel de seguridad exigible a los ficheros mantenidos por los colegiados pertenecientes a la Corporación consultante y relativos a la gestión de recursos humanos de empresas clientes de los mismos o a la realización de actividades de asesoría fiscal de clientes que sean personas físicas.

El Informe 0511/2009 llega a las siguientes conclusiones:
  • En relación con los ficheros de gestión de nóminas o recursos humanos será posible la implantación de medidas de seguridad de nivel básico siempre que los datos de salud de los trabajadores se limiten a los enumerados en el apartado a) de este informe (grado o porcentaje de minusvalía, indicación del dato “apto” o “no apto”, y datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social).
  • En cuanto a los ficheros relacionados con la función de asesoría fiscal de los clientes, cabrá implantar sobre los mismos las medidas de seguridad de nivel básico siempre que el tratamiento de los datos de salud se limite al de discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado.
Nada nuevo, pero siempre es interesante retomar y aclarar las cuestiones relacionadas con la aplicación de la LOPD en asesorías, puesto que este tipo de empresas van a ser en muchas ocasiones las encargadas de solventar dudas sobre el cumplimiento de protección de datos a sus empresas clientes.

23 de noviembre de 2009

Compartir datos sin consentimiento

El procedimiento sancionador PS/00704/2008, instruido por la Agencia Española de Protección de Datos, se inicia tras la denuncia presentada por D. G.G.G. contra DIGITAL DISTRIBUTION MANAGEMENT, S.L. por comunicar sus datos de usuario del portal http://www....X..... a INVERLAND LEITARIEGOS, S.L., habiendo tenido constancia del hecho al intentar registrarse en el portal http://www....Y......

Ambas empresas comparten una plataforma tecnológica de apuestas con un modelo de negocio que pretende evitar que un usuario forme parte de los ficheros de ambas compañías simultáneamente. Para ello cuando un usuario se registra en uno de estos servicios, automáticamente se verifica si su código de usuario (número de pasaporte, D.N.I. o N.I.E.) figura ya inscrito en el fichero de usuarios del otro servicio. En tal caso, el sistema informa al usuario de que “Este NIF/NIE o pasaporte ya está registrado”, impidiéndole el alta.

Durante la inspección realizada, se pudo verificar que, tras dar de alta un nuevo usuario del servicio (identificado por un número de D.N.I. generado al azar) en el portal http://www....X....., ese mismo identificador de usuario era rechazado al intentar darlo de alta como usuario en el otro portal, obteniéndose el siguiente mensaje de error: “Este NIF/NIE o pasaporte ya está registrado. Por favor pónte en contacto con nuestro servicio de atención al cliente. E-mail duplicado. Por favor pónte en contacto con nuestro servicio de atención al cliente”. Esta circunstancia ocurria sin que en los Términos y condiciones de contratación se informara de este traspaso de datos.

Por lo tanto el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad DIGITAL DISTRIBUTION MANAGEMENT, S.L., por una infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45, apartados 3 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad LOTOSYSTEMS NETWORK, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45 apartados 2 y 5 de la citada Ley Orgánica.

16 de noviembre de 2009

Sanciones por videovigilancia (3)

Tercera recopilación de sanciones de la Agencia Española de Protección de Datos, por motivo de instalaciones de videovigilancia (aquí la primera y la segunda).
  • Procedimiento sancionador PS/00030/2009, instruido por la Agencia Española de Protección de Datos a la entidad COMUNIDAD DE PROPIETARIOS DE C/ DEL SOL, 5, en (..........), vista la denuncia presentada por D. M.M.M., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 1.200 €.
  • Procedimiento sancionador PS/00066/2009, instruido por la Agencia Española de Protección de Datos a GASOLINERA LOFER S.A., vista la denuncia presentada por D. G.G.G., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 €.
  • Procedimiento sancionador PS/00133/2009, instruido por la Agencia Española de Protección de Datos a la entidad BOWLING PARK, S.A., vista la denuncia presentada por ÁREA DE GOBIERNO DE SEGURIDAD Y MOVILIDAD, por una del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d de dicha norma, una multa de 1.500 €.
  • Procedimiento sancionador PS/00141/2009, instruido por la Agencia Española de Protección de Datos a Dª R.R.R., como titular del establecimiento BAZAR EURO 0,60 Y MAS, vista la denuncia presentada por POLICIA MUNICIPAL DE MADRID, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d de dicha norma, una multa de 2.000 €.
  • Procedimiento sancionador PS/00144/2009, instruido por la Agencia Española de Protección de Datos a la entidad X.X.X., vista la denuncia presentada por POLICIA MUNICIPAL DE MADRID, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d de dicha norma, una multa de 2.000 €.
  • Procedimiento sancionador PS/00208/2009, instruido por la Agencia Española de Protección de Datos a la COMUNIDAD DE TITULARES DE LOCALES DEL CENTRO COMERCIAL DE LA PLAYA DE AMADORES, vista la denuncia presentada por D. S.S.S., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 €.
  • Procedimiento sancionador PS/00280/2009, instruido por la Agencia Española de Protección de Datos a la entidad JUEMVIC, S.A., vista la denuncia presentada por la POLICÍA MUNICIPAL DE MADRID, por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 1.000 €.
  • Procedimiento sancionador PS/00300/2009, instruido por la Agencia Española de Protección de Datos a la entidad RENTAPINAR, S.L.U., vista la denuncia presentada por D. M.M.M., por una infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 €.
  • Procedimiento sancionador PS/00587/2008, instruido por la Agencia Española de Protección de Datos a la entidad TENESUR, S.A., vista la denuncia presentada DE OFICIO, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.500 €.

8 de noviembre de 2009

Guía de Relaciones Laborales de la AEPD

En el marco de la 31 Conferencia Internacional de Privacidad, la Agencia Española de Protección de Datos ha editado una interesante Guía de Relaciones Laborables donde se unifican varios de los conceptos, informes jurídicos y resoluciones ya indicados por la Agencia acerca de la protección de datos personales en las relaciones entre empresas y trabajadores, y que aquí se reúnen ahora en este documentos para unificar criterios.

La Guía se divide en cuatro bloques: Recursos humanos, Prevención de riesgos laborales, Controles empresariales y Relaciones con los sindicatos. Además se añade una sección sobre los deberes de los trabajadores que aaceden a datos de carácter personal. Para ello se recomienda:
  • Diseñar las funciones y responsabilidades de la plantilla de personal teniendo en cuenta su relación con el tratamiento de datos personales.
  • Formar adecuadamente a los trabajadores teniendo en cuenta su distinto grado de responsabilidad y garantizando que conozcan sus deberes de seguridad y secreto. La formación debe contribuir a crear una cultura de compromiso con la protección de datos.
  • Advertir y formar incluso a aquellos trabajadores que no teniendo una relación directa con los sistemas de información y los tratamientos de datos personales puedan poner en peligro el secreto o la seguridad de los mismos.


5 de noviembre de 2009

Grupos de empresas y la LOPD

Otro clásico en cuestiones planteadas por clientes: si tengo varias empresas que comparten bases de datos, basta con que la central cumpla la LOPD, ¿cierto? Pues no. Independientemente de que una serie de empresas compartan propietario o estén participadas, cada una es una persona jurídica con sus propias obligaciones legales, y de la misma forma que presentarán sus declaraciones de IVA o IRPF, su impuesto de sociedades, etc, de forma individual, cada una deberá afrontar el cumplimiento de sus obligaciones en el ámbito de la protección de datos.

El caso específico de la creación de una base de datos centralizada, que se sustenta de los datos de los empleados que envían a la misma las distintas empresas que forman el grupo, se trató en el Informe 0494/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD).

Siguiendo el criterio citado en el párrafo inicial, cada una de las empresas que integran el grupo será responsable del fichero de datos de sus correspondientes empleados, y por lo tanto la empresa central, que realmente estaría presntando un servicio de hosting (alojamiento de los ficheros) se configuraría como encargado de tratamiento, en el sentido del apartado g) del artículo 3 de la LOPD. Ello sucederá siempre que la empresa prestataria del servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar la base de datos, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá el consentimiento de los afectados.

En definitiva, la incorporación de los datos de los empleados a la base de datos centralizada, exige que cada empresa haya informado debidamente a los afectados en los términos del artículo 5.1 de la Ley Orgánica 15/1999 y que haya obtenido el consentimiento de éstos para la incorporación de su información personal en dicha base de datos. Y por lo tanto, en buena lógica, deberán formalizarse los correspondientes contratos de tratamiento de datos entre las diferentes empresas y la central.

27 de octubre de 2009

El Corredor de Seguros y los datos de los asegurados

El Informe 0463/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), aborda el asunto del tratamiento de los datos que un corredor de seguros puede efectuar tras haber extinguido unilateralmente la relación con la entidad tomadora de seguros.

La Ley 26/2006 de Mediación de seguros y reaseguros privados, en su artículo 62 regula la condición de responsable o encargado del tratamiento, que tienen los agentes de seguro, o corredores:
1. c) Los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.
Por lo tanto en su condición de responsable del tratamiento, la AEPD indica que habiendo dejado de ostentar la condición de mediador de seguros, debe de proceder a cancelar la base de datos.

Por otro lado el artículo 63 de la Ley 26/2006 en sus apartados 3 y 4 señala que:
3. Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:
a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades de ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o reaseguradora con la que fuese a celebrarse el correspondiente contrato.
b) Después de celebrado el contrato de seguro, exclusivamente para ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley o a los fines previstos en su artículo 26.3. Para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las establecidas en las dos letras anteriores, los corredores de seguros deberán contar con el consentimiento de los interesados.
4. Resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de sus datos para otras finalidades y, en particular, para la celebración de un nuevo contrato. En todo caso, el corredor de seguros y el corredor de reaseguros no podrán facilitar los datos del interesado a otra entidad distinta de aquélla con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco para ello.
Y aquí es donde la AEPD da verdaderamente en el clavo de porqué a un corredor de seguros le conviene sin duda cumplir la LOPD más allá de las obligaciones mínimas inherentes a su situación empresarial (responsable del tratamiento) hasta convertirse en un responsable del fichero:
En virtud del contenido del mencionado artículo, debemos de señalar que la correduría de seguros, si hubiera obtenido con anterioridad a la rescisión de la relación contractual, legítimamente el consentimiento de los asegurados, podrá seguir tratando los datos, en los términos en los que autorizó cada asegurado.

21 de octubre de 2009

Lo poco que valen tus datos... y lo caros que pueden salir

D. B.B.B. (en adelante el denunciante) denunció ante la Agencia Española de Protección de Datos (AEPD) a las compañías DE´NOGAL y GUPOST, manifestando que haber recibido un envío de publicidad no solicitada en su domicilio, conteniendo sus datos personales sin que haya existido ningún tipo de relación comercial previa. También, añadió que no figura la fuente de obtención de sus datos ni el contacto para poder hacer uso de sus derechos en cuanto al tratamiento de sus datos personales (cancelación, oposición, etc.).

La historia sobre de dónde habían sacado sus datos y cómo habían llegado hasta la empresa emisora es de lo más rocambolesca, y detalle más o menos, se resume así:
  • La entidad Arvato Services Iberia S.A., en virtud de acuerdo de distribución, le proporciona a Informa D & B, un fichero de base de datos de personales para marketing, en dicho fichero se encuentran los datos personales del denunciante, habiéndose acreditado su obtención de una fuente de acceso público (la Guía QDQ).
  • Informa D & B procedió a facilitar a GRUPO LIDER unos ficheros de marketing entre los que se encontraban el fichero que contenía los datos personales del denunciante.
  • GRUPO LIDER y GRUPO LINCE ASPRONA S.L.U (en adelante GRLAP) formalizaron un contrato de prestación de servicios para la realización de servicios de publicidad directa. En virtud del mencionado contrato, GRUPO LIDER facilitaba a GRLAP una base de datos, para la realización del envío publicitario, así como el texto comercial a incluir, y el formato del sobre a remitir en la campaña.
  • GRLAP no intervino en la creación, diseño o redacción del contenido de la comunicación comercial facilitada por GRUPO LÍDER, siguiendo las instrucciones recibidas de esta empresa, tampoco ha participado ni en el diseño de parámetros de la base de datos facilitada ni en la elaboración de la misma.
  • Como consecuencia de las relaciones jurídicas anteriormente referenciadas, el denunciante, recibió un envío comercial de la entidad DE`NOGAL en cuyo sobre consta su nombre, apellidos y domicilio “(C/.....................)”, también figura como empresa que realizó el franqueo “GUPOST”, fecha “9.5.08” y como remitente “de´nogal parking hipercor la flecha (.........)”. En el interior del citado sobre figuraba un documento publicitario –carta-descuento- de muebles “de´nogal.
  • En el envío publicitario recibido por el denunciante, en el que se tratan sus datos personales no consta información relativa al origen de sus datos ni la información relativa al ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.
Basándose en estos hechos probados, la AEPD acordó iniciar el Procedimiento Nº PS/00224/2009 a GRUPO LIDER DE COMPRAS, S.L. por la presunta infracción del artículo 5 en relación con el 30.2 de la LOPD, tipificada como GRAVE en el artículo 44.3 l) de la citada Ley Orgánica.

Las alegaciones de Grupo Líder resultaron ser de lo más variopintas, intentando cargar toda la responsabilidad sobre Informa e indicando que Avanto era el verdadero responsable del fichero, que dio determinadas instrucciones para su uso a Informa y que ésta último incumplió sus obligaciones al no informar a Grupo Líder de estas instrucciones (pags 5 a 7 del procedimiento).

La AEPD responde tajante en los Fundamentos de Derecho:
GRUPO LIDER DE COMPRAS S.L., (en adelante GRUPO LIDER), es de conformidad con las definiciones responsable del fichero y del tratamiento. Del fichero en tanto que lo adquirió de Informa D & B, de conformidad con las manifestaciones obrantes en el expediente y las facturas emitidas por ésta cuyo concepto consta “Base de Datos de Marketing”, (Folios 128 a 130). Responsable del tratamiento, en tanto que fija los parámetros de la campaña y contrato con GRUPO LINCE ASPRONA S.L.U. (en adelante GPLA), para la realización de servicios de prospección comercial, para lo cual GRUPO LIDER dio las instrucciones precisas, y en definitiva decidió sobre la finalidad, contenido y uso del tratamiento.
(...)
En definitiva, la representación de GRUPO LIDER pretende descargar la responsabilidad de su actuación en otras entidades que participaron en el itering relativo a la realización de la campaña publicitaria, de la que sale el envío objeto de discusión en el presente procedimiento.
Pues bien, admitiendo la interpretación de GRUPO LIDER, se estaría abonando zonas de impunidad en lo referente al tratamiento de datos personales, es decir, no se puede, al socaire de un incumplimiento de un contrato privado, dejar de observar los mandatos que la LOPD impone. Cualquier persona física o jurídica que intervenga en el tratamiento de datos personales ha de observar las prescripciones de la LOPD, y en el presente caso, GRUPO LIDER se constituye en responsable del tratamiento de conformidad con el art. 43 LOPD y lo expuesto en el Fundamento de Derecho anterior, y por tanto susceptible de generar responsabilidad por incumplimiento de la LOPD.
Pero es que además en el contrato entre Grupo Líder y GRLAP se especificaba:
“En consecuencia, corresponderá a la entidad LIDER DE COMPRAS, en su condición de titular y responsable del fichero o ficheros que pudieren ser objeto de tratamiento por parte de LINCE GUPOST, observar y cumplimentar cuantas obligaciones pudieren venir impuestas por la normativa legal.
Especialmente, y sin que ello tenga carácter exhaustivo, la entidad LIDER DE COMPRAS deberá cumplimentar o haber cumplimentado, por si misma, las obligaciones establecidas en la vigente Ley Orgánica 15/1999 en relación con la recogida de datos informaciones a facilitara los afectados, cumplimentación de los derechos de los mismos y formalización de las notificaciones que puedan proceder a la Agencia de Proteccion de Datos.”
Todo este enredo y trasvase de datos entre varias empresas no anula el hecho de los datos fueron obtenido de una fuente de acceso público (guía QDQ), pero la denuncia deja la descubierto que en el envío no se cumplían las obligaciones señaladas en el artículo 30.2 de la LOPD:
Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

Grupo Líder solicita también la aplicación del artículo 45.5 de la LOPD con el fin de reducir la posible sanción, pero tampoco lo consigue:
GRUPO LIDER solicita la aplicación del citado precepto, sin embargo no procede dicha aplicación, ya que pretende escudar el incumplimiento en que Informa no le suministró la información necesaria para el cumplimiento de la LOPD ( Págs. 4 a 6 de las alegaciones de GRUPO LIDER), afirmación en modo alguno se puede admitir.
GRUPO LIDER no ha mostrado un celo y diligencia, que debe ser de notable entidad en atención a su actividad mercantil de la que se infiere un continuo tratamiento de datos personales, al establecer ninguna previsión relativa a la información que debían ofrecer sus envíos publicitarios (...)
Un detalle que me ha llamado la atención es que en el procedimiento se especifica el tamaño de la base de datos vendida (un fichero con 9.935 registros que contenía Profesionales y Personas Físicas y otro de 1.779 registros), así como el precio facturado (1.502,47€), lo cual resulta en un precio de 13 céntimos de euro por cada registro. Y sin embargo el mal uso de los datos lleva a esta consecuencia:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GRUPO LIDER DE COMPRAS S.L., por una infracción del artículo 5 relacionado con el artículo 30.2, ambos de la LOPD, tipificada como grave en el artículo 44.3 l) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

14 de octubre de 2009

Informe Jurídico sobre la huella dactilar (y otros datos biométricos)

Hace unos días comentaba en el blog Marketing Positivo la Declaración de Infracción de la AEPD sobre la puesta en marcha por parte de un Museo público de un sistema de control de presencia de trabajadores basado en la huella dactilar. La AEPD sancionaba tal práctica sin entrar demasiado en el fondo del asunto, puesto que desde el incio quedaba claro que faltaba la pieza básica del cumplimiento de la LOPD: el consentimiento para el uso de datos personales, ya que tales datos habían sido recogidos sin haber procedido a informar previamente, de forma expresa, precisa e inequívoca, de ninguno de los extremos previstos en el artículo 5.1 de la LOPD.

Sin embargo uno de los habituales del blog comentaba:
¿Porqué no se entra nunca en la información excesiva?, ¿la huella no es información excesiva para prevenir una cosa tan nimia como un control de presencia?, ¿no hay técnicas eficaces y menos invasivas? ¿Los tornos y los vigilantes de seguridad no son suficientes? ¿cuando es suficiente? ¿tendras las empresas "información suficiente" alguna vez?
Aunque esto podría parecer un asunto alejado de la problemática de los profesionales y pequeñas empresas a quienes preferentemente se dirige este blog, resulta que el dueño de un taller mediano (15 empleados) me comenta que le han ofrecido montarle un sistema de control similar al comentado y ya que le ha parecido relativamente económico quiere saber si le puede dar problemas desde la perspectiva LOPD.

Como siempre que se da asesoramiento de tipo jurídico hay que extremar las precauciones, acudimos a la web de la AEPD por ver si entre sus miles de documentos hay más referencias al asunto, y así encontramos el Informe Jurídico 0368/2006. En este caso se respondía la cuestión de si puede establecerse un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos.

Primero se define el concepto de dato biométrico:
Son datos biométricos aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.
Después se cita documentación europea:
A nuestro juicio, tal y como se ha venido indicando por el Grupo de trabajo creado por el artículo 29 de la Directiva 95/46/CE, en el Documento de Trabajo sobre biometría, de fecha 1 agosto de 2003, la obtención de la huella dactilar como medio para identificar a los alumnos en el centro resulta excesivo y desproporcionado, para dicha finalidad.
Y finalmente se declara:
En consecuencia, entendemos que resulta desproporcionado y por ello contrario a lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999 antes citado, la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos.
¿Aplicación a una empresa en control de trabajadores? Aunque en el Informe no se trate el tema desde la perspectiva empresarial, entiendo que a falta de otro documento se puede traspasar el concepto y aconsejar tal y como se dice en el texto buscar un medio de control menos intrusivo.

8 de octubre de 2009

Ni se te ocurra enviar un spam a D. S.S.S.

Hace ya más de un año comenté aquí una sanción de las muchas que se dan por vulneración de la LSSI al realizar envíos comerciales no solicitados (spam) por correo electrónico, que tenía la peculiaridad de que el receptor denunciante había incluído un aviso en su web dejando las cosas bien claras:
ADVERTENCIA: En ningún caso la publicación de estos datos de contacto significa el consentimiento a recibir comunicaciones comerciales no solicitadas. Cualquier comunicación de este tipo recibida por correo electrónico es un delito tipificado por la LSSI y será denunciada ante la Agencia de Protección de Datos a efectos de abrir expediente sancionador, pudiendo resultar en sanciones de hasta 601.012,10 euros. Así mismo queda expresamente prohibido incorporar esta información en cualquier tipo de fichero informatizado sin el consentimiento previo de On-Line Services 2000, SL.
En aquel caso citado el denunciado había hecho caso omiso de tal advertencia y su acción terminó siendo sancionada con 600€.

Quizás con el fin de que no se sintiera sólo, quizás por una súbita epidemia de ceguera, o quizás simplemente porque buena parte de las empresas de email marketing (y el resto) manejan habitualmente la LOPD y la LSSI a beneficio de inventario, el caso es que On-Line Services y su responsable D. S.S.S.(probablemente como casi todos) sigue recibiendo spam... y además (a diferencia de casi todos) lo sigue denunciando. Y para muestra, no un botón, sino una buena y reciente colección:
  • En el procedimiento sancionador PS/00023/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad COCINEROS INFO COOKING SERVICES, S.L., vista la denuncia presentada por D. S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad COCINEROS INFO COOKING SERVICES, S.L., por una infracción del artículo 21.2 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
  • En el procedimiento sancionador PS/00232/2009, instruido por la AEPD a C.C.C., vista la denuncia presentada por S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a C.C.C., por una infracción del artículo 21 de la LSSI, apartado 1 y segundo párrafo del apartado 2 del mismo, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
  • En el procedimiento sancionador PS/00060/2009, instruido por la AEPD a la entidad GRUPO KREA 2000 COM NETWORK, S.L., vista la denuncia presentada por D. S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad GRUPO KREA 2000 COM NETWORK, S.L., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
  • En el procedimiento sancionador PS/00585/2008, instruido por la AEPD a la entidad GREEN TAL S.A., vista la denuncia presentada por S.S.S. y en base a los siguientes, el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad GREEN TAL S.A., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.800 €, de conformidad con lo establecido en el artículo 39.1 de la citada LSSI, teniendo en cuenta los criterios que se recogen en el artículo 40 de la misma norma.
Ya podemos decir que D. S.S.S. supera a Estación de Servicio Islares como el máximo justiciero de la protección de datos.

1 de octubre de 2009

Test psicotécnicos y comunicación de datos al Comité de Disciplina Deportiva

Dos nuevos Informes Jurídicos de la Agencia Española de Protección de Datos (AEPD) sobre datos de salud y el ámbito deportivo.
  • En el Informe 0414/2009, Comunicación de datos al Comité de Disciplina Deportiva, la consulta plantea si la comunicación de determinados datos relacionados con un expediente de disciplina deportiva resulta conforme con la LOPD. La AEPD aclara que siempre y cuando la información no se utilice para ningún otro fin, está entre las atribuciones legales de los Comités de Disciplina Deportiva recabar todos los datos necesarios para ejercer correctamente sus funciones investigadoras y sancionadoras.
  • En el Informe 0445/2009, La realización de test psicotécnicos implica el tratamiento de datos de salud, se analiza la actividad de una empresa que realiza evaluaciones psicotécnicas de aptitudes, características de personalidad y preferencias profesionales de los alumnos. Además de la obvia declaración del título, en el informe se aclara que podemos concluir que al tratarse de datos relacionados con la salud de los escolares, deberá contarse con su consentimiento expreso para que pueda procederse al tratamiento y tratándose de menores de edad, el artículo 13.1 del reglamento de desarrollo de la Ley Orgánica 15/1999 establece, como criterio general que “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores”.

28 de septiembre de 2009

Cesión de los TC2 y nóminas de los trabajadores de las subcontratas

El asunto de la obligatoriedad o no de la cesión de datos como los TC2 y las nóminas de empresas subcontradas a las empresas contratistas es uno de los que más veces me ha surgido entre las dudas de los clientes acerca de la aplicación de la Ley Orgánica de Protección de Datos (LOPD). La Agencia Española de Protección de Datos (AEPD) acaba de publicar sobre este tema el Informe Jurídico 0412/2009, (documento en PDF, si necesitas convertirlo o extraer datos de cualquier PDF a Excel puedes usar http://pdfextractoronline.com/es/) variando en parte la tesis mantenida hasta ahora.

Por una parte el artículo 42.1 del Estatuto de los Trabajadores dispone que
Los empresarios que contraten o subcontraten con otros la realización de obras o servicios correspondientes a la propia actividad de aquéllos deberán comprobar que dichos contratistas están al corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería General de la Seguridad Social, que deberá librar inexcusablemente dicha certificación en el término de treinta días improrrogables y en los términos que reglamentariamente se establezcan. Transcurrido este plazo, quedará exonerado de responsabilidad el empresario solicitante.
Como bien se aclara en el informe:
La comunicación de datos tales como el TC2 y las nóminas no permite amparase en el mencionado artículo, dado que dicho artículo es claro al concretar que, el contratista habrá de conocer, a través de los certificados previstos en el artículo 42.1 del Estatuto de los Trabajadores el cumplimiento por parte del subcontratista de sus obligaciones en materia de seguridad social en relación con los trabajadores subcontratados, dado que en caso contrario responderá del cumplimiento de dichas obligaciones.
Por otro lado el artículo 42.2 del Estatuto de los Trabajadores, impone al contratista principal una responsabilidad solidaria, responsabilidad que implica atender el cumplimiento de una obligación de naturaleza salaria y las referidas a la Seguridad Social durante el período de vigencia de la contrata.
El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.
En este caso la tesis de la AEPD se basa en el artículo 10.2 del Reglamento de Desarrollo de la LOPD
No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
En consecuencia, la cesión de los TC2 estaría amparada en el artículo 7.3 de la Ley Orgánica 15/1999, en relación con el artículo 42.2 del Estatuto de los Trabajadores y por el alcance que el Código Civil impone a las obligaciones solidarias.

En el caso de las nóminas se plantea el problema adicional de que en algunos casos aparecen datos relativos a la afiliación sindical, para efectuar los pagos de las cuotas correspondientes, siendo este un tipo de dato especialmente protegido. Pero ya que el pago de la citada cuota es una de las obligaciones del empresario que son de carácter solidario en el caso de la relación entre contratista y subcontrata, la AEPD utiliza un argumento similar al del caso anterior para igualmente declarar tal cesión conforme con la LOPD.

Eso sí, el Informe Jurídico advierte:
En todo caso, el acceso por parte del contratista debería limitarse a los datos relacionados con los trabajadores subcontratados y no a cualesquiera trabajadores de la empresa subcontratada.
Al propio tiempo, el hecho de que la comunicación de los datos se encuentre amparada por los artículos ya citados de la Ley Orgánica 15/1999 no eximirá a la empresa subcontratista del cumplimiento del deber de información, respecto de los trabajadores subcontratados, de la cesión de sus datos a la empresa contratista, toda vez que el artículo 5.1 a) de la Ley Orgánica impone al responsable del fichero el deber de informar acerca de los destinatarios de las cesiones de datos que se hubieran producido.

23 de septiembre de 2009

Actuando de buena fe

El procedimiento sancionador PS/00683/2008, instruido por la Agencia Española de Protección de Datos, se incia tras el escrito presentado por DÑA. M.M.M., en el que denuncia a la entidad Auto Plus Fleet Services, S.L. (en lo sucesivo AUTOPLUS FLEET), por tratar automatizadamente datos de carácter personal relativos a infracciones administrativas de tráfico y circulación de los ciudadanos, obtenidos de Boletines Oficiales estatales, provinciales y autonómicos. Asimismo, añade que dicha información puede ser consultada por cualquier ciudadano desde la página www…X… y que dicha entidad cruza el citado fichero con listas blancas de particulares para la realización de campañas de telemarketing y captación de clientes, cediendo para ello los ficheros a la empresa Axesor y a plataformas de telemarketing.

Se trataría de una infracción del artículo 7.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.

Tras la oportuna inspección, la empresa denunciada alegó que
No cuenta con un conjunto de datos de carácter personal sobre infracciones penales o administrativas organizados bajo ningún criterio, sino con un conjunto de ejemplares de Boletines Oficiales almacenados en formato digital, formato original en el que son publicados por sus respectivas fuentes, sobre los que cabe aplicar criterios de búsqueda de palabras porque así lo permite el formato en el que éstos se descargan de sus páginas web oficiales. De modo que en ningún momento ha incluido en ficheros de su propiedad datos relativos a la comisión de infracciones penales o administrativas.
Asimismo, alega que no tiene la consideración de responsable del fichero, puesto que no decide la finalidad y contenido de los Boletines Oficiales que almacena, ya que únicamente puede disponer sobre el uso que de la información que se proporciona en los mismos sin agregar datos adicionales, de modo que no puede considerársele responsable de un fichero sobre infracciones administrativas. Además, los Boletines Oficiales tienen la consideración expresa de fuentes accesibles al público, según se establece en el artículo 3, apartado j) de la LOPD, por lo que su consulta puede ser realizada por cualquier persona.
Ha actuado en todo momento de buena fe, cumpliendo con la normativa vigente en materia de protección de datos y con la convicción de que sus actuaciones eran conforme a derecho, con los ficheros de su titularidad debidamente inscritos en el Registro General de Protección de Datos, con el preceptivo documento de seguridad y con los correspondientes contratos de encargado del tratamiento exigidos por el artículo 12 de la LOPD con todos los prestadores de servicios que tienen acceso a datos personales de los que es responsable. Asimismo, consta que AUTOPLUS FLEET registró de forma previa al inicio de sus actividades los ficheros de los que es responsable en el Registro General de Protección de Datos, y entre ellos el fichero denominado “Potenciales Clientes”, notificado el 04/07/2006. En la notificación efectuada de dicho fichero se comunicaba que el mismo incluía, entre otros, datos relativos a infracciones de tráfico con la finalidad de ofrecer información sobre la publicación de infracciones de tráfico y ofrecer sus servicios. Igualmente se indicaba que el origen de estos datos eran fuentes accesibles al público.
Esta última alegación, dando un valor de validación sobre la legalidad del contenido de un fichero a la mera aceptación de su alta administrativa en le Registro, creo que es la primera vez que la leo y en cualquier caso seguro que no es muy habitual. Pero funciona. En los Fundamentos de Derecho se desestiman las primeras alegaciones:
En primer lugar, debe indicarse que, respecto de los ficheros que contengan datos relativos a la comisión de infracciones penales o administrativas, el artículo 7.5 de la LOPD es terminante al establecer de modo taxativo que estos datos “sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”. En consecuencia, el tratamiento de estos datos por parte de una entidad de derecho privado como AUTOPLUS FLEET resulta contrario a lo establecido en la citada Ley Orgánica, quedando limitado a las Administraciones Públicas en el ejercicio de las atribuciones que tengan conferidas, es decir, a aquellos casos en que el órgano responsable del fichero sea titular de la competencia que legitime el tratamiento y, exclusivamente, cuando así lo establezca una norma con rango suficiente.
De ello se desprende que, aunque los datos se hubieran obtenido de fuentes accesibles al público, o se trate de datos que puedan ser accedidos por terceros cuando una Ley lo permita, el tratamiento inconsentido de tales datos se encuentra vedado a AUTOPLUS FLEET, dada su naturaleza jurídico-privada.
Sin embargo se admite que:
En consecuencia, resulta que AUTOPLUS FLEET ha tratado datos relativos a infracciones de tráfico en un fichero previamente notificado al Registro General de Protección de Datos, con detalle de su estructura, que contempla la recogida de dichos datos de fuentes accesibles al público, e inscrito de conformidad por la Agencia Española de Protección de Datos. Por tanto, cabe deducir que AUTOPLUS FLEET actuó en el convencimiento de que dicha actuación se ajusta a la normativa de protección de datos de carácter personal, en la presunción de legalidad de las actuaciones de la citada Agencia. En consecuencia, respecto de la infracción del artículo 7.5 de la LOPD, es de apreciar una ausencia de culpabilidad en la conducta mantenida por AUTOPLUS FLEET, en virtud del citado principio de confianza legítima.
Y así llega la rebaja en la sanción:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AUTOPLUS FLEET SERVICES, S.L., por una infracción del artículo 7.5 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 euros (seis mil euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

17 de septiembre de 2009

No dejes los datos abandonados, ellos no lo harían contigo

Y es que pasear por internet es como surcar las aguas de los canales en Venecia: todo muy bonito hasta que de vez en cuando posas la mirada en alguna esquina abandonada donde se acumula la basura.

Así ocurrió en el procedimiento sancionador PS/00705/2008, instruido por la Agencia Española de Protección de Datos a la entidad ABANIKO MEDIA, S.L., vista la denuncia presentada por D. R.R.R., que declaró:
“…que el año pasado participé en el concurso promocional online de la película "7 Mesas de Billar Francés", sito en “http://www....X..../.....” donde introduje mis datos personales al inscribirme (nombre completo, login, password, dirección, teléfono, edad y correo electrónico).
Tiempo después volví a entrar en dicha página web y ésta redirigió a “http://www....X..../...../links/” donde se listaban una serie de ficheros (listado que adjunto como documento n° 1). En uno de ellos (llamado prueba.php) se mostraba mi dirección de correo, mi login y password, así como el de todos los demás participantes (…)
Que a fecha de 28 de Mayo de 2008 este listado sigue disponible para su visualización por cualquier usuario de Internet, sin ningún tipo de control de acceso, y cuenta con aproximadamente 1500 usuarios, correos y contraseñas. Adjunto la impresión de este enlace “http://www....X..../...../linksprueba.php/” como documento n° 2 (mis datos aparecen en la página 23 de dicho documento) (…)
Que el password mostrado en esa web (*****) es mi contraseña habitual para el acceso a ciertas páginas y cuentas de correo, razón por la cual he tenido que modificar todas ellas, y es muy posible que buena parte de los 1500 usuarios mostrados en ese fichero se encuentren en la misma situación sin saberlo. Estas contraseñas se almacenan en texto claro, sin ningún tipo de seguridad o cifrado (…)
Que la web no contaba ni cuenta actualmente con ninguna dirección de contacto para ejercer mi derecho a cancelar, rectificar o modificar los datos personales exhibidos en ese fichero (…)
Que el periodo de concurso parece haber terminado pero la web sigue permitiendo inscribirse y no ha destruido mis datos ni los del resto de participantes.”
En resumen, típico ejemplo de acción promocional en internet de carácter temporal, que una vez terminada... nadie recuerda retirar, con el agravante en este caso de que además su estado de abandono deja al descubierto datos de carácter personal de 1.500 personas.

La sociedad Abaniko, propietaria del dominio en cuestión, alegó la participación en la gestión del sitio de muchas otras empresas: hosting, posicionamiento, programación, etc..., que en todo caso sería encargada del tratamiento, e incluso intenta culpar al propio denunciante al asegurar que:
sólo la pericia de alguien muy especializado podía haber aprovechado algún resquicio de vulnerabilidad en los sistemas (mucho más allá de lo razonable) para introducirse en el dominio con finalidades ilegítimas, y producto de mis averiguaciones he podido comprobar que la persona del denunciante se corresponde con un asiduo de páginas de (…)
Se aporta (…) Algunas páginas extraídas del buscador GOOGLE donde aparece relacionado el nombre de D. R.R.R., acreditativas de la cualificación y preparación en temas informáticos y de redes sociales de la persona que se corresponde con el denunciante
Y sin embargo, poco después presenta escrito en el que comunica:
“…No obstante a ello, y entendiendo lo difícil de llegar a concluir el expediente, por las numerosas sociedades intervinientes, desde la responsabilidad que ostento en la representación de ABANIKO MEDIA, S.L., y en aras de no perjudicar a la sociedad que represento, de conformidad al artículo 8 del Real Decreto 1398/1993, vengo a reconocer voluntariamente la responsabilidad de ABANIKO MEDIA, S.L. en los hechos inspeccionados, con el exclusivo fin, de conseguir una resolución lo menos gravosa posible a los intereses que represento, por cuanto la situación económico-financiera y de tesorería de ABANIKO MEDIA, S.L. se encuentran en estos momentos muy delicada, resultando incluso, el mantenimiento de los puestos de trabajo altamente comprometida…”
Al haber reconocido los hechos imputados se procede resolver el procedimiento iniciado, y así
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ABANIKO MEDIA, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

8 de septiembre de 2009

Videovigilancia en entornos escolares

Ya que toca la vuelta al cole por estas fechas resulta oportuna la publicación del Informe Jurídico 0345/2009 de la Agencia Española de Protecciónde Datos (AEPD) sobre la videovigilancia por razones de seguridad en entornos escolares.

La consulta plantea si la instalación de cámaras que tienen en sus centros de enseñanza cumple con la legalidad vigente. Siguiendo la tesis ya expuesta en consultas similares respecto a otros ámbitos, la AEPD aclara que:
Al tratarse de motivos de seguridad resulta de aplicación la Ley 23/1992, de 30 de julio de de Seguridad Privada, en la que se fundamenta la legitimación para grabar las imágenes tanto de los menores de edad como de aquellas personas que acudan al centro.
(...)
En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de videovigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación.
Así, quedaría legitimado por la existencia de una norma con rango de Ley habilitante el tratamiento al que se refiere el apartado 2 de los citados con anterioridad, siempre que se cumplan los requisitos a los que se ha hecho referencia o concurra una de las excepciones previstas en el RSP, no siendo necesario el consentimiento del afectado”.
De este modo, el consultante deberá contratar con una empresa de seguridad que haya cumplido los requisitos antes expuestos, para que el tratamiento de las imágenes quedará legitimado, por la existencia de una norma con rango de Ley habilitante, no siendo por tanto necesario el consentimiento de los afectados.
Los requisitos que se acaban de exponer son aplicables cuando la finalidad de la grabación sea la seguridad, por el contrario si el tratamiento de las imágenes se efectúa con fines distintos a la seguridad será necesario obtener el consentimiento para legitimar el tratamiento.

3 de septiembre de 2009

Se lo llevó a casa un empleado

Hacía tiempo que no comentaba una sanción de la serie "se lo llevó a casa un empleado", para justificar la aparición en una red P2P de información con datos de carácter personal provenientes de una empresa.

En el procedimiento sancionador PS/00601/2008, instruido por la Agencia Española de Protección de Datos a la entidad OYONARTE INMOBILIARIA, S.L., vista la denuncia presentada por la POLICIA LOCAL DE OURENSE, quedó probado que en el eMule aparecían distintos ficheros con datos de carácter personal supuestamente relativos a titulares de viviendas de la ciudad de Alicante, al parecer gestionadas por ACAL Administradores.

Del análisis de los ficheros informáticos remitidos por la Policía Local de Ourense se observó que se trataba de varias tablas algunas de ellas con datos personales relativos a: propiedad, nombre, apellidos, dirección postal, teléfono, forma de pago, código de banco, cuenta de pago (20 dígitos), datos del pagador (nombre, apellidos, dirección postal y teléfono), coeficientes y cuotas. Constaba información de más de 6.000 personas.

Entre las actividades que desarrolla la sociedad Oyonarte Inmobiliaria se encuentra la de administración de fincas y, en particular la gestión económica, por lo que disponen de datos personales de sus integrantes, y para ello utilizan el nombre comercial ACAL.

Se verificó a través de la compañía Jazz Telecom, S.A. que los ficheros compartidos procedían de la conexión realizada a través de una dirección IP que correspondía a un particular.

Notificado el acuerdo de inicio, Oyonarte Inmobiliaria, S.L. formuló alegaciones, solicitando la aplicación del artículo 45.5 y alegando que el origen de la incidencia era que un empleado se llevó trabajo a su domicilio particular.

Este tipo de alegación, como ya hemos visto en numerosas ocasiones, es desestimada por la Agencia:
Así, Oyonarte Inmobiliaria, S.L. estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que incumplió esta obligación.
Aunque se utiliza en parte para justificar la aplicación del artículo 45.5 y por tanto una notable rebaja a la hora de aplicar el régimen sancionador:
En el presente caso, si bien la entidad imputada vulneró el principio de seguridad de los datos al no adoptar las medidas necesarias para evitar el acceso a los datos por parte de terceros, desde la óptica de la culpabilidad, ha de tomarse en consideración, como medida adoptada por la empresa, que el programa “eMule” no se encontraba instalado en los sistemas de la entidad, así como que no consta acreditada una actuación maliciosa por parte de la empresa, ya que la propia configuración del programa “eMule” permite el intercambio de información sin que sea necesaria una actuación intencionada para dar a conocer datos y archivos a terceros, a través de Internet. Por ello se aprecia, en este caso, una disminución cualificada de la culpabilidad del imputado, aunque no una ausencia total de la misma, por lo que procede aplicar el citado articulo 45. 5 de la LOPD procediendo imponer a dicha empresa una sanción de 6000 euros.
Si tenemos en cuenta la redacción del punto sexto de los Hechos Probados:
El 2 de marzo de 2009, se emite propuesta de resolución por la Instructora del procedimiento en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Oyonarte Inmobiliaria, S.L. con dos multas de 60.101,21 € cada una, por las infracciones del artículo 9 y 10 de la LOPD, tipificadas como graves en el artículo 44.3.h) y 44.3.g) de dicha norma.
El desenlace de la Resolución queda bastante suavizado:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad OYONARTE INMOBILIARIA, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.
De lo que no hay mucha noticia es de los aspectos documentales de la LOPD. Me quedo con la duda sobre la existencia del Documento de Seguridad, sobre si el empleado que se llevaba el trabajo a casa era norma o excepción y si se registraban estas salidas de soportes informáticos, sobre la formación e información recibida por los empleados de la compañía, etc.

20 de agosto de 2009

La videovigilancia continúa en racha

Como continuación de la recopilación anterior, una nueva colección de procedimientos por videovigilancia sancionados este mismo año:
  • Procedimiento Nº PS/00470/2008 instruido a la entidad Hospital Recoletas Castilla y León, S.L., vista la denuncia presentada por D. B.B.B., por una infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2 c) de dicha norma, una multa de 1.000 € (mil euros).
  • Procedimiento Nº PS/00059/2009 instruido a la entidad CIXTASBUR, S.A., vista la denuncia presentada por D. C.C.C., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 2000 € (dos mil euros).
  • Procedimiento Nº PS/00063/2009 instruido a la entidad TERMAS PALLARES, S.A., vista la denuncia presentada por la Federación de Comercio, Hostelería y Turismo de Aragón, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 1.500 € (mil quinientos euros).
  • Procedimiento Nº PS/00064/2009 instruido a la COMUNIDAD DE PROPIETARIOS DE AVDA. DE EXTREMADURA, 51, vista la denuncia presentada por Dª. U.U.U. y D. G.G.G., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2500 € (dos mil quinientos euros).
  • Procedimiento Nº PS/00085/2009 instruido a la entidad CAMPO DE GAMA, S.L., vista la denuncia presentada por Direccio General de Policia de la Generalitat de Catalunya, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 1.500 € (mil quinientos euros).
  • Procedimiento Nº PS/00120/2009 instruido a la entidad Comunidad de Propietarios CAMPS I FABRES, 3-1 de Barcelona, vista la denuncia presentada por D. X.X.X., por una infracción del artículo 5 en sus apartados 1, 2, 3 de la LOPD, tipificada como leve en el artículo 44.2 d) de dicha norma, una multa de 1.000 € (mil euros).
  • Procedimiento Nº PS/00065/2009 instruido a la entidad METROPOLITAN SPAIN S.L., vista la denuncia presentada por D. R.R.R., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 1.500 € (mil quinientos euros).
  • Procedimiento Nº PS/00122/2009 instruido a la entidad INTOGU, S.L., vista la denuncia presentada por la Policía Municipal de Madrid, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 1.500 € (mil quinientos euros).
  • Procedimiento Nº PS/00519/2008 instruido a la entidad P/R C.B., vista la denuncia presentada por D. R.R.R., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 1.000 € (MIL EUROS).
  • Procedimiento Nº PS/00609/2008 instruido a la entidad FITNESS FIRST ESPAÑA S.A., vista la denuncia presentada por la POLICIA MUNICIPAL DE MADRID-AREA DE GOBIERNO DE SEGURIDAD Y MOVILIDAD, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3. d) de dicha norma, una multa de 2.500 € (dos mil quinientos euros).
  • Procedimiento Nº PS/00639/2008 instruido a D. M.M.M., vista la denuncia presentada por la POLICIA LOCAL DE SAN MARTIN DE LA VEGA, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1000 € (mil euros).
  • Procedimiento Nº PS/00569/2008 instruido a DON F.F.F., vista la denuncia presentada por DON M.M.M., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.000 € (dos mil euros).

12 de agosto de 2009

Acceso por el empresario al correo electrónico de los trabajadores

Me han llegado un par de consultas acerca del asunto de la legalidad del control del correo electrónico de los empleados de una empresa. No hay mucho que opinar al respecto, la Agencia de Protección de Datos lo dejó claro en el Informe 0247/2008 del Gabinete Jurídico.

Puedes leer los 10 folios de argumentación jurídica, o puedes simplemente quedarte con el último párrafo:
En conclusión, podemos señalar que el artículo 20.3 del Estatuto de los Trabajadores habilita al Empresario a controlar el correo electrónico que él otorga a los trabajadores para el desarrollo de sus funciones, pero siempre que previamente haya informado sobre dicho extremo y cumpla de ese modo el deber de informar previsto en el artículo 5.1 de la Ley Orgánica 15/1999.

6 de agosto de 2009

Hago "chas" y aparezco "gogleado"

El procedimiento sancionador PS/00687/2008, instruido por la Agencia Española de Protección de Datos a la entidad CENTRO DE ESTUDIOS SAN MIGUEL DE ZARAGOZA, S.L., se inició a raiz de la denuncia presentada por DÑA. L.L.L. en la que indicaba que tras haber hecho un curso descubrió que introduciendo su nombre en el buscador de Internet GOOGLE aparecían todos sus datos personales, Nombre, Dirección, teléfono, Nº Seg. Social y dirección de e-mail, procediendo dicha ficha de la página web de la citada academia.

El centro de estudios explicó:
Debido a un desafortunado error técnico en la configuración de los equipos de comunicación (indebida apertura de un puerto en el router), una página destinada al uso interno del personal administrativo y de acceso restringido quedó temporalmente indexada por Google mostrando datos personales del alumno al realizar una búsqueda detallada…..”
En el instante que se produjo la incidencia…el responsable informático, corrige el error informático para evitar que se pueda acceder a la información a través del exterior del centro. Dicho error que permitió temporalmente acceder desde el exterior a esos datos, se produjo durante el proceso de actualización del servidor de información de Internet, quedando expuesta dicha información durante un periodo de tiempo no superior a 48 horas (…)

A la hora de establecer la sanción, el instructor indica:
Por otro lado, teniendo en cuenta que es un hecho aislado, con una duración temporal limitada, rápidamente corregida mediante las medidas adoptadas, tal como queda acreditado en el antecedente segundo, apartado b.2) y en las alegaciones a la propuesta de resolución posible apreciar la concurrencia de disminución de la culpabilidad y procede imponer la sanción en su cuantía de 2000 €.
Argumentos bastante razonables y además habituales en la aplicación del artículo 45.5 de la LOPD. Por eso sorprende que además se haya añadido este texto:
En el presente caso, teniendo en cuenta que Centro de Estudios no es una empresa vinculada directamente al marco de las nuevas tecnologías de la información, es por ello, que no cabe atribuirla un grado de culpabilidad en la no adopción de sus medidas de seguridad, equivalente a supuestos vinculados a profundos conocimientos técnicos.
Que yo recuerde este es un eximente novedoso: "empresa no vinculada directamente con las TIC". ¿Alguien lo conocía?

27 de julio de 2009

Actuaciones de oficio

Pese a estar normativamente más que adecuada para esa función, y a pesar del general incumplimiento de la LOPD, lo cierto es que la Agencia Española de Protección de Datos (AEPD) no tiene un gran historial de actuaciones de oficio. Sin embargo estos días se han publicado dos resoluciones iniciadas desde la AEPD a raiz de la publicación de ciertas noticias.

En el procedimiento sancionador PS/00686/2008, instruido por la Agencia Española de Protección de Datos a la entidad ARSYS INTERNET, S.L. se solicita el inicio de actuaciones previas, debido al presunto acceso ilícito a datos personales en los sistemas de información de la empresa dedicada a gestionar dominios de Internet. Junto a la orden de apertura, incluye: Noticia publicada en el periódico El País el día 11/6/2007, en cuyos titulares consta literalmente: Los datos de 120.000 usuarios españoles en manos de ‘ciberpiratas’.
Y aunque el titular era un tanto escandaloso y los afectados fueron en realidad menos de 10.000
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ARSYS INTERNET, S.L. por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 (seis mil euros) € de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

En el procedimiento sancionador PS/00138/2009, instruido por la AEPD a COMUNICACIONES REUNIDAS S.L., se trata del asunto, también muy comentado en su momento en especial en los medios de internet, de los sitios en los que por desconocimiento de la ley, error informático o mala voluntad ajena, se podían ver a través de cualquier ordenador las grabaciones de videocámaras conectadas a la red. Los inspectores comprobaron en una web que:
  • La cámara transmite imágenes en tiempo real del interior de una sala, despacho u oficina, siendo posible controlar el movimiento de la cámara tanto en horizontal como en vertical así como efectuar zoom sobre la imagen.
  • La instalación y resolución de la cámara permite identificar a las personas que se sitúen en su zona de cobertura como puede constatarse en las impresiones de pantalla incorporadas a la diligencia practicada en el mismo día de la consulta.
  • El visionado de la cámara es de libre acceso para cualquier usuario de Internet, ya que se ha realizado sin que haya existido ningún tipo de control de acceso previo y con la simple selección de la citada dirección Internet en el navegador.
Tras comprobar que el dominio correspondía a Comunicaciones Reunidas, S.L., la empresa alegó:
Que la única explicación que pueden dar al acceso a las imágenes emitidas por la cámara a través de Internet, no es otra que un posible fallo puntual en el sistema, muy difícilmente explicable conforme las normas de seguridad que se adoptaron en el momento de su instalación.
Excusa muy poco jurídica, que da como resultado que:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad COMUNICACIONES REUNIDAS S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.500 € (dos mil quinientos euros) de conformidad con lo establecido en el artículo 45.2.4 y 5 de la citada Ley Orgánica.

20 de julio de 2009

Y cuidado también con las copias de seguridad

Veíamos en la anterior nota que hay que tener cuidado con las disecciones que en marketing se hacen de las bases de datos para segmentar posibles clientes, ya que si uno de estos solicita al amparo de la LOPD ejercer su derecho de cancelación y que sus datos no sean usado en más ocasiones para la remisión de mensajes publicitarios, la entidad responsable de los datos deberá tener la precaución de bloquear o borrar tales datos no sólo en la base de datos original, sino en cualquiera de estas particiones que se hayan preparado en el tiempo y pudieran incluir los datos del sujeto en cuestión.

Ahora veremos que lógicamente lo mismo ocurre cuando se hace una copia de seguridad y ha de restaurarse posteriormente: habrá que incorporar todas las actuaciones realizadas sobre la base de datos desde el momento de la copia hasta el de la pérdida o deterioro del fichero, incluidas las realizadas al amparo de la LOPD.

Esto fue lo que se les olvidó a la entidad GREEN TAL S.A., que ya en el procedimiento PS/00309/2007 había recibido una sanción por enviar correo por enviar correo no autorizado a D. S.S.S. Por un fallo en el sistema de alojamiento en el servidor que GREEN TAL tenía contratado con ARSYS, se procedió a reinstaurar toda la información que constaba anteriormente, entre ella, la dirección del correo electrónico del denunciante. Este hecho provocó que en la siguiente campaña D. S.S.S. recibiera dos correos electrónicos que denunció a la AEPD, inciándose el procedimiento Nº PS/00585/2008.

Y a pesar de los intentos de alegaciones de GREEN TAL, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GREEN TAL, S.A., por una infracción del artículo artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 €, de conformidad con lo establecido en el artículo 39.1 c) y 40 de la citada LSSI.

16 de julio de 2009

Cuidado con las copias de la base de datos

El procedimiento sancionador PS/00032/2009, instruido por la Agencia Española de Protección de Datos a la entidad WOLTERS KLUWE ESPAÑA, S.A., se inició tras la denuncia presentada por A.A.A. en la que explicaba que tras haber solicitado a WOLTERS la cancelación de sus datos personales y haber recibido de dicha empresa la confirmación de tal cancelación, posteriormente recibió publicidad postal nominativa de la entidad.

Aunque WOLTERS había tomado la precaución de marcar los datos del denunciante como "Robinson", haciendo referencia a su deseo de no recibir más comunciaciones comerciales, ésta acción se llevó a cabo en la base de datos central, pero no en otro fichero elaborado con anterioridad por el departamento de marketing destinado a ser utilizado en distintas campañas de marketing posteriores. Este fue el fichero utilizado en la campaña de marketing origen de la denuncia y en la fecha de generación de este fichero, el Sr. A.A.A. no constaba como “Robinson”.

En sus alegaciones, además de reclamar una posible caducidad el procedimiento, WOLTERS intenta que se acepten tales datos como "distintos", argumentando que canceló y no volvió a usar los datos que el denunciante le había proporcionado como cliente, pero que los de la campaña objeto de denuncia provenían de fuentes de acceso público. Semejante enroque no es aceptado por la AEPD, en buena lógica ya que su implantación haría casi imposible el ejercicio del derecho de cancelación para una persona física, a la que obligaría a solicitarla tantas veces como orígenes distintos haya tenido la recopilación de esa información por parte de la entidad.

Por tanto, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad WOLTERS KLUWE ESPAÑA, S.A., por una infracción del artículo 16 de la LOPD, tipificada como grave en el artículo 44.3 f) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

13 de julio de 2009

Sobre los videoporteros

La Instrucción 1/2006 sobre videovigilancia excluye expresamente su aplicación a imágenes obtenidas en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar. Es por eso que en los casos en los que la utilización de videoporteros se limite a su función de verificar la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda, no será de aplicación la normativa sobre protección de datos.

El Informe 0335/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) responde a la cuestión de si la implantación de un videoportero que permite conectar la señal de la cámara a la red de televisión y visionar en la televisión todas las imágenes que capta la cámara, vulnera la LOPD.

Esta cuestión se analiza en la Guía de Videovigilancia en materia de videoporteros, señalando que:
Sin embargo, si el servicio se articula mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante, resultará de plena aplicación la Instrucción 1/2006.

Por lo tanto, cuando una cámara permite reproducir en tiempo real las imágenes que concurren en la portería de un edificio, su actuación excede con mucho del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, que conlleva la necesidad de legitimar dicho tratamiento en los términos del artículo 2 de la Instrucción 1/2006.

En consecuencia, se le aplicará a dicho tratamiento la misma legislación y requisitos que a cualquier instalación de videocámaras, en especial los que hacen referencia a la instalación del sistema por parte de una empresa de seguridad debidamente autorizada e inscrita en el registro del Ministerio del Interior, así como la comunicación al mismo ministerio del oportuno contrato por escrito con arreglo a modelo oficial con una antelación mínima de tres días a la iniciación de tales servicios.

6 de julio de 2009

Pero si nunca pasa nada...

... hasta que pasa claro, y entonces puede que te venga todo de golpe.

¿Cuántas veces hemos oído lo de "aquí no vienen inspectores", "a mí nadie me denuncia", "si me ponen una multa ya la pagaré", etc...? Hay esa creencia de que se puede incumplir una ley como la LOPD de rango orgánico y "no pasa nada", y en todo caso si ocurre algo ya se pagará y se resuelve... como si años y años de vulneración se fueran a pasar de rositas con una sanción de 600€.

Quizás eso pensaban en DATA INTEGRAL ACTION S.L., que total años y años de incumplimiento les habían dado unos beneficios que justifican pagar alguna pequeña sanción, pero por si acaso no les había quedado claro con lo que ya habían recibido y señalamos en la nota Reincidentes, ahí van dos más (y atentos a los montos):

Procedimiento Nº PS/00038/2009

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad, DATA INTEGRAL ACTION, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento uno con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Procedimiento Nº PS/00034/2009

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad DATA INTEGRAL ACTION, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

29 de junio de 2009

A título particular

Resulta habitual que ante la celebración de un evento de duración superior a un día, los organizadores negocien con los hoteles cercanos condiciones especiales para alojar a los invitados. Y no es extraño que los hoteles ofrezcan a estos la posibilidad de alargar su estancia y disfrutar así de unos días de descanso manteniendo el precio especial de la oferta, aunque la reserva y facturación se hagan a título particular.

Así ocurrió en un campeonato de pesca donde la Federación Gallega de Pesca negoció con la entidad CELUISMA un precio especial en su hotel Celuisma Torrelavega, y D. P.P.P. decidió llegar un día antes solicitando un reserva de pago directo por el cliente, ya que del resto se hacía cargo la Organización del campeonato.

El caso es que el importe de aquella reserva no fue satisfecho por el denunciante y con el ánimo de resolver amistosamente la situación, la cadena hotelera se puso en contacto con el Club de Pesca Deportiva “O CAPOTE”, del que es miembro el denunciante. Un cargo del club solicitó una copia de la factura, que le fue remitida por correo electrónico.

Enterado de esta circunstancia, D. P.P.P. interpuso denuncia ante la Agencia Española de Protección de Datos (AEPD) que inició el Procedimiento Nº PS/00541/2008 por vulneración del artículo 10 de la LOPD.

El hotel presentó copia del Registro de Clientes en el que se incluye la siguiente información:
El/los firmantes queda/n informado/s de que los datos que se solicitan son necesarios para la formalización y gestión de su estancia en el hotel y se incorporan al correspondiente fichero de clientes del hotel para uso interno y para las ofertas y realización de operaciones y contratación de los servicios de dicho hotel. PARA LO CUAL DAN SU AUTORIZACIÓN, así como a la cesión para las indicadas finalidades que puedan ser necesarias entre la entidad y otras sociedades relacionadas con la contratación de los servicios del hotel o auxiliares de éstas
En el escrito de alegaciones manifestó que el propio denunciante indicó verbalmente al personal del Hotel que el importe de la factura en cuestión debía exigirse al Club de Pesca “O CAPOTE”, cuyo “Cargo 1” contactó con el Director del citada establecimiento para informarle que asumía el pago y facilitarle la dirección de correo electrónico a la que remitir la factura. Asimismo, añade que en el momento de la recogida de los datos personales del denunciante, éste consintió expresamente la comunicación de sus datos a dicho Club, conforme a lo señalado en la cláusula informativa reseñada en el formulario cumplimentado, en el que se informa expresamente sobre la finalidad (“realización de operaciones y contratación de los servicios del Hotel”) y cesionarios de los datos (“entidades relacionadas con la contratación de los servicios del Hotel”), de modo que CELUISMA estaba habilitada para comunicar tales datos al Club “O CAPOTE”. Además, el denunciante conocía la intervención del citado Club en la contratación de los servicios del Hotel y se benefició de las especiales condiciones pactadas con el mismo.

En los Fundamentos de Derecho la AEPD indica:
En el presente caso, ha quedado acreditado que CELUISMA, como responsable del envío a un tercero de un duplicado de la factura emitida por dicha entidad a nombre del denunciante, no actuó con la diligencia debida al haber posibilitado que un tercero tuviese acceso a datos personales de aquél, por lo que se vulnera el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD.
Respecto a los consentimientos verbales o telefónicos supuestamente otorgados por el denunciante, tal y como suele ser habitual la AEPD los desestima por completo al considerarlos "no acreditados". Igualmente desestima que el alcance del consentimiento firmado en el Registro de Clientes ampare la cesión de datos a un tercero, aún cuando se pretenda un hecho legítimo como es el cobro de una factura impagada.

Y por lo tanto el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CELUISMA, S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.