27 de enero de 2009

Papel mojado

¿Qué es un derecho si no se puede ejercer?: papel mojado.

Toda persona física tiene derecho de acceso, rectificación, cancelación y oposición (los conocidos como derechos ARCO), sobre sus datos de carácter personal, y además el artículo 22.1 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), establece:
1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.
Sin embargo en el en el procedimiento sancionador PS/00514/2008, instruido por la Agencia Española de Protección de Datos a la entidad L.L.L., titular de "ANAIS CENTRO MÉDICO ESTÉTICO", vista la denuncia presentada por D. C.C.C., se demostró que el afectado, tras recibir mensajes SMS con publicidad del citado centro, intentó ejercer su derecho de cancelación a través del correo electrónico indicado a tal efecto en la página web de la denunciada, sin que dejar por ello de recibir SMS publicitarios, lo que llevó a la presentación de la denuncia.

La titular del referido Centro indicó que la solicitud de cancelación realizada con fecha 26 de febrero de 2008 por el afectado utilizando la dirección ..X.@.... no fue recibida por ESTETICA ANAIS, ya que dicha dirección fue insertada erróneamente al diseñar la configuración de la citada página Web, siendo la dirección correcta ..X2.@.....

En la copia del certificado expedido con fecha 15/07/2008 por el gerente de la entidad “3lemon”, empresa que diseñó la página web de ESTETICA ANAIS, consta que la dirección de correo errónea ha aparecido en la referida página Web entre el 1 de febrero y el 11 de julio de 2008, fecha en que se modificó la misma para incluir la dirección correcta ..X2.@.....

Por lo tanto no quedó acreditado que la Sra. L.L.L., en calidad de prestador de servicios, tuviera habilitado un procedimiento sencillo y gratuito para que los destinatarios de servicios pudieran revocar el consentimiento que hubieran prestado.

En consecuencia, la titular de ESTÉTICA ANAIS, incurrió en la infracción del artículo 22.1 de la LSSI, tipificada como leve en el artículo 38.4.h) de la citada norma, al no haber habilitado un procedimiento sencillo y gratuito que hubiera permitido al denunciante revocar el consentimiento prestado, puesto que el mecanismo de revocación no funcionó de forma efectiva y real entre el 01/02/2008 y el 11/07/2008, debiendo insistirse en que el ejercicio efectivo de dicho derecho hace necesario que se garantice a los destinatarios un
procedimiento que resulte válido y operativo una vez implementado.

En relación a los criterios de graduación de las sanciones recogidos en el citado artículo 40 y, en especial, a la ausencia de intencionalidad y de beneficios obtenidos por Dª. L.L.L., acreditados en el presente procedimiento, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a Dª. L.L.L., en calidad de titular del Centro “ANAIS CENTRO MÉDICO ESTÉTICO”, por una infracción del artículo 22.1 de la LSSI, tipificada como leve en el artículo 38.4.h) de dicha norma, una sanción de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

19 de enero de 2009

Plazos históricos para el cumplimiento del deber de informar

Alguien dirá que tengo un sentido del humor un tanto retorcido, pero me he reído leyendo el Informe 685/2008 del Gabinete Jurídico de la AEPD.

Resulta que algún ingenuo envía una consulta a la AEPD acerca de las dificultades que le plantea el cumplimiento del deber de información impuesto por el artículo 5 de la LOPD. La consultante indica que “tiene una base de datos que alberga información de alrededor de 47.000 clientes”, sin indicar el modo en que los datos fueron obtenidos y si fueron facilitados a la consultante por el interesado o los obtuvo de otras fuentes.

El Informe comienza por aclarar que tal deber "no es una cuestión novedosa en el presente momento" y explica las diferentes fases:
  1. La antigua Ley Orgánica 5/1992, de 29 de octubre, cuyo artículo 5.1 imponía el citado deber de información en el momento de la recogida de los datos del interesado. La citada Ley entró en vigor a los tres meses de su publicación en el Boletín Oficial del Estado, es decir, el 31 de enero de 1993, y en todo caso daba un año de plazo para informar a los interesados cuyos datos hubiesen sido recogidos con anterioridad.
  2. El artículo 5.1 de la Ley Orgánica 15/1999, vigente desde 14 de enero de 2000 impone el deber de informar a los afectados.
El Informe pone entonces en claro el concepto "deber de informar":
Quiere ello decir que cuando los datos se recogen de los afectados el deber de información al afectado no es posterior al tratamiento de sus datos, sino previo, debiendo verificarse en el momento en que el dato es recogido, sin que sea admisible considerar que será posible informar posteriormente a la recogida del dato acerca del tratamiento del mismo.
Con lo que concluye:
Teniendo en cuenta lo que se acaba de indicar y lo señalado expresamente por la consultante en el escrito dirigido a esta Agencia, la citada consultante debía haber cumplido con el deber de informar a los 47000 afectados de los que reconoce tratar datos de carácter sin haber cumplido con este deber hace, según los casos, nueve, quince o dieciséis años, por lo que no parece razonable que se invoque en el presente momento el elevado coste derivado del cumplimiento de una obligación tan largo tiempo pospuesto.
En fin, que resulta complicado sostener la tesis de que un largo incumplimiento legal me coloca en una situación complicada para cumplir ahora.

Y cuanto más se demore, peor.

14 de enero de 2009

Póngame otra, por favor

Esto de los déjà vu comienza a preocuparme. Repasando hoy nuevas resoluciones publicadas por la AEPD me encuentro en el procedimiento sancionador PS/00411/2008 como denunciante a ESTACIÓN DE SERVICIOS ISLARES, S.L.

Pero cómo, ¿eso no fue ayer? (¿será hoy el Día de la Marmota?)

Y no, es que resulta que el 23 de marzo D. E.E.E, representante de la empresa, no sólo interpuso la denuncia ya comentada, sino también otra contra MUNDOPETROLEO PETRORED S.L. por el mismo motivo: la recepción de faxes no solicitados.

Si en este caso la tramitación ha sido algo más larga (apenas seis meses, que tampoco está nada mal) se debe a que la denunciada sí utilizó los plazos de recurso que tenía a su alcance, aunque tampoco le sirvió para nada ya que todas sus alegaciones fueron desestimadas y la sanción es del mismo importe económico: 1.200 euros.

Ahora la duda está en saber si ese 23/3/08 el señor D. E.E.E. interpuso alguna otra denuncia más, o si viendo la efectividad del asunto se pondrá a ello. Y en cualquier caso ¿qué ocurriría si un día se presenta alguien en la sede de la Agencia y pretende inciar cientos de denuncias? (no sería muy difícil recopilar las pruebas documentales, bastarían tres o cuatro amigos con faxes empresariales y sacar spam nacional de una docena de cuentas de correo).

Y ya que estamos, ¡qué bonito es Islares!, ¿lo conoces?, te lo recomiendo.

13 de enero de 2009

Resolución récord: sanción en sólo 4 meses

El procedimiento sancionador PS/00409/2008 creo que tiene de momento el record a la más rápida resolución en la historia sancionadora de la Agencia Española de Protección de Datos (AEPD): resuelto en cuatro meses.

Con fecha de 23 de Mayo de 2008 tuvo entrada en la Agencia un escrito de Dª E.E.E., en representación de ESTACIÓN DE SERVICIOS ISLARES, S.L., en el que manifiestaba haber recibido por FAX publicidad no deseada, acreditando dicho extremo mediante la aportación de copia de dos FAX comerciales remitidos por INFORREG-Maella, S.L. (en lo sucesivo INFORREG) con fechas 29/10/2007 y 28/02/2008.

Durante la inspección se constató:
  • Para la venta de material informático, la entidad realiza campañas, fundamentalmente dirigidas a colegios, y en las cuales primeramente se realiza una llamada telefónica de contacto con el colegio, al que se pregunta si está interesado en recibir una oferta, en cuyo caso INFORREG se la envía por FAX. En relación con estas llamadas telefónicas, no se guarda registro de las mismas.
  • INFORREG no puede acreditar el consentimiento otorgado por el titular de ESTACIÓN DE SERVICIOS ISLARES, S.L. para el envío de los dos los FAX que la entidad denunciante ha recibido procedentes de INFORREG, ni obtener la lista de FAX enviados ese día.
  • La entidad utiliza un programa informático para el envío de los FAX que contienen las ofertas. En dicho programa no se puede guardar el registro de los FAX enviados porque el programa se bloquea y no permite su uso.
  • La entidad INFORREG mantiene una hoja de cálculo en formato Microsoft Excel que contiene un registro de contactos telefónicos previos a envíos de ofertas vía FAX en el ámbito de los colegios (Institutos de Educación Secundaria, IES).
Es decir, que mantienen un fichero con datos que seguro no está registrado en el RGPD, no tienen el consentimiento de los afectados y las medidas de seguridad son inexistentes.

Con fecha 17 de julio de 2008 el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la entidad INFORREG-MAELLA, S.L. pudiendo ser sancionada con multa de hasta 30.000 euros, de acuerdo con el artículo 39.1.c) de la LSSI.

Asimismo, se acordó notificar el citado acuerdo de inicio a la entidad imputada con la advertencia de que, de no efectuar alegaciones frente a dicho acuerdo de inicio, el mismo podría ser considerado como propuesta de resolución.

Notificado el Acuerdo de inicio con fecha 24 de julio de 2008 y transcurrido el plazo concedido para formular alegaciones al acuerdo de inicio sin que se hayan recibido las mismas, el citado acuerdo se considera propuesta de resolución, por lo que se procede a elevar el procedimiento a la resolución del Director de la Agencia.

En los Fundamentos de Derecho se resume:
En el presente caso, ha quedado acreditado que la entidad imputada remitió dos fax con contenido comercial al denunciante. No consta que la entidad imputada hubiese obtenido el consentimiento previo, expreso e inequívoco del destinatario de los dos fax que justificase los envíos denunciados. Por lo tanto, nos encontramos ante la vulneración de uno de los derechos de los abonados a los servicios de comunicaciones electrónicas recogidos en el artículo 38.3.h) de la LGT, desarrollado en el artículo 69.1 del mencionado Real Decreto 424/2005.
Y se añade una apostilla muy interesante:
Por otro lado, aunque los datos del destinatario de los faxes con contenido comercial hubieran sido obtenidos de la guías telefónicas editadas en papel, este hecho no exime de la obligación de obtener el consentimiento del destinatario de aquéllos para la remisión de envíos publicitarios vía fax, por cuanto las mismas no constituyen fuentes de acceso público para la remisión de faxes, de acuerdo con la LSSI y la LGT.
Dichas guías sí son fuentes de acceso público para un tratamiento de datos de acuerdo con la LOPD, pero para la remisión de escritos por correo ordinario.
Y por lo tanto, con fecha 24 de septiembre de 2008, apenas 4 meses y un día después de la denuncia, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INFORREG-MAELLA, S.L., por una infracción del artículo 38.3.h) de la LGT, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa 1.200 € (mil doscientos euros), de conformidad con lo establecido en el artículo 39.1.c) y 40 de la citada LSSI.

5 de enero de 2009

Sin ánimo de lucro

El procedimiento sancionador PS/00341/2007, instruido por la Agencia Española de Protección de Datos al INSTITUTO VALENCIANO PARA LA FORMACIÓN EMPRESARIAL (IVAFE), se inició tras la denuncia presentada por DÑA. G.G.G en la que manifestó haber recibido dos faxes con publicidad del IVAFE.
En los faxes se informa al receptor que IVAFE "pone a disposición de su empresa los siguientes cursos de formación organizados en la provincia de (........)” acompañando una relación de acciones formativas y una serie de medios de contacto para los interesados, todos ellos correspondientes al IVAFE.
IVAFE alega:
A ello debemos añadir que el IVAFE es una asociación sin ánimo de lucro, tal y como explicó su representante legal y queda reflejado en el acta de visita, y que únicamente presta un servicio que no conlleva contraprestación económica alguna, que consiste en “informar a empresas y trabajadores de cursos GRATUITOS de interés general y facilitar a los interesados los trámites de inscripción para tramitarla a las entidades que desarrollan la formación”, no constituyendo en ningún modo actividad económica o comercial al no recibir por ello ingresos ni directos, ni indirectos de ningún tipo (ni subvenciones, ni patrocinios, etc..) Por todo ello debemos llegar a la conclusión que el envío de la información realizada por el IVAFE no puede ser sancionada al amparo de la Ley de Servicios de la Sociedad y Comercio Electrónico (LSSI) por entender que la condición de asociación sin ánimo de lucro, y el hecho de prestar un servicio consistente en informar de cursos gratuitos de interés general para empresas y trabajadores así como facilitar los tramites de inscripción a los interesados, no supone en ningún modo actividad económica para el IVAFE dado que no obtiene retribución, ni directa ni indirecta, por la prestación del citado servicio tal y como se ha explicado con anterioridad, por lo que queda excluido de aplicación de la LSSI.
Sin embargo, puesto que ningún artículo de la LSSI regula la exigencia del consentimiento previo en función de la existencia o no de lucro, la alegación es desestimada y
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER al INSTITUTO VALENCIANO PARA LA FORMACIÓN EMPRESARIAL, por una infracción del artículo 38.3.h) de la LGT, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 600 € (seiscientos euros), de conformidad con lo establecido en el artículo 39.1.c) y 40 de la citada LSSI.