27 de enero de 2009

Papel mojado

¿Qué es un derecho si no se puede ejercer?: papel mojado.

Toda persona física tiene derecho de acceso, rectificación, cancelación y oposición (los conocidos como derechos ARCO), sobre sus datos de carácter personal, y además el artículo 22.1 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), establece:
1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.
Sin embargo en el en el procedimiento sancionador PS/00514/2008, instruido por la Agencia Española de Protección de Datos a la entidad L.L.L., titular de "ANAIS CENTRO MÉDICO ESTÉTICO", vista la denuncia presentada por D. C.C.C., se demostró que el afectado, tras recibir mensajes SMS con publicidad del citado centro, intentó ejercer su derecho de cancelación a través del correo electrónico indicado a tal efecto en la página web de la denunciada, sin que dejar por ello de recibir SMS publicitarios, lo que llevó a la presentación de la denuncia.

La titular del referido Centro indicó que la solicitud de cancelación realizada con fecha 26 de febrero de 2008 por el afectado utilizando la dirección ..X.@.... no fue recibida por ESTETICA ANAIS, ya que dicha dirección fue insertada erróneamente al diseñar la configuración de la citada página Web, siendo la dirección correcta ..X2.@.....

En la copia del certificado expedido con fecha 15/07/2008 por el gerente de la entidad “3lemon”, empresa que diseñó la página web de ESTETICA ANAIS, consta que la dirección de correo errónea ha aparecido en la referida página Web entre el 1 de febrero y el 11 de julio de 2008, fecha en que se modificó la misma para incluir la dirección correcta ..X2.@.....

Por lo tanto no quedó acreditado que la Sra. L.L.L., en calidad de prestador de servicios, tuviera habilitado un procedimiento sencillo y gratuito para que los destinatarios de servicios pudieran revocar el consentimiento que hubieran prestado.

En consecuencia, la titular de ESTÉTICA ANAIS, incurrió en la infracción del artículo 22.1 de la LSSI, tipificada como leve en el artículo 38.4.h) de la citada norma, al no haber habilitado un procedimiento sencillo y gratuito que hubiera permitido al denunciante revocar el consentimiento prestado, puesto que el mecanismo de revocación no funcionó de forma efectiva y real entre el 01/02/2008 y el 11/07/2008, debiendo insistirse en que el ejercicio efectivo de dicho derecho hace necesario que se garantice a los destinatarios un
procedimiento que resulte válido y operativo una vez implementado.

En relación a los criterios de graduación de las sanciones recogidos en el citado artículo 40 y, en especial, a la ausencia de intencionalidad y de beneficios obtenidos por Dª. L.L.L., acreditados en el presente procedimiento, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a Dª. L.L.L., en calidad de titular del Centro “ANAIS CENTRO MÉDICO ESTÉTICO”, por una infracción del artículo 22.1 de la LSSI, tipificada como leve en el artículo 38.4.h) de dicha norma, una sanción de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

9 comentarios:

Anónimo dijo...

Ya que la culpa del error es evidentemente de la empresa informática ¿podría exigir daños y perjuicios el centro de estética?

NFRMT dijo...

Qué suerte que siempre haya por ahí un informático a mano para echarle la culpa de todo. A saber si la dirección incorrecta no fue la que solicitó el cliente que se pusiese. Y luego estuvo ahí el mail varios meses mal y en el centro no se dieron cuenta del error, qué pasa, ¿nunca entran en su web? :P

victor zurita dijo...

Atendiendo a la doctrina que aplica la AEPD, sobre los vinculos contractuales de prestación de servicios, en el presente procedimiento, el Responsable del Fichero, no controla al encargado del tratamiento (in vigilando), por lo que supone ignorancia inexcusable, pues existe claramente culpa y negligencia manifiesta. Estimo correcta la sanción a ESTETICA ANAIS, ahora bien, cabe preguntarse si procede sanción para el E.T., por la misma razón. Según mi punto de vista, la sanción debería aplicarse al Responsable y al encargado por igual. ¿están de acuerdo?

NFRMTC dijo...

¡Pero qué manía! Otro a meterse con el informático.
A victor zurita le contesto que en ningún sitio se dice que la empresa informática fuese Encargada de Tratamiento, la resolución dcie literalmente: "empresa que diseñó la página web", no que tuviera ningúna acceso a los datos.
Cada palo que aguante su vela.

Anónimo dijo...

¿Y la sanción por los mensajes? porque ademas de facilitar el derecho de oposición, y para que existiese ese derecho de oposición, debia haber mensajes. De haberlos deberia sancionarse, y para mas de tres en menos de un año sería una falta grave. ¿no se sanciona? ¿ y no comprobaron los inspectores el numero de mensajes enviados al denunciante? ¿que pasa con las inspecciones? ¿todo lo hacen ahora por carta? Esta no es la Agencia que yo conocía, me la han cambiado.

Pit.-

esalconsultores.net dijo...

Recien aterrizado de la capital del Imperio (Madrid) despues de acudir a la sesion/toston de la AEPD volvemos con renovados brios.
Me habia asustado el titulo del post cuando lo he recibido en el correo y ya empezaba a pensar en nuevos agujeros de la LSSI pero parece que Jesus se apunta la moda "Tomatil" y utiliza titulares un pelin exagerados. ;-)
Lo primero que quiero analizar es el origen del dato de numero de movil y aqui viene la primera sorpresa... Si la clausula que aparece en la Resolucion es literal (no la añado para no hacer un megapost), desde cuando se puede hacer una clausula de consentimiento sin informar de la finalidad del tratamiento y sin especificar, al menos, los sectores de actividad de las empresas que recibiran los datos??? Dicho de otro modo, como puede ser valido un consentimiento expreso sin establecer los terminos de dicho consentimiento??? Misterio... Aconsejo el repaso al instructor del Art 11.3 de la LOPD
Por otro lado estoy de acuerdo con lo bien que vienen los informaticos (yo lo soy, pero me estoy quitando, lo juro) para colgarles todos los mochuelos posibles pero en este caso con un agravante: el gerente de la empresa informatica reconoce el error. Desde el punto de vista de la empresa sancionada, lo siguiente deberia ser ir al Juzgado mas cercano y ponerles una denuncia por neglicencia profesional con daños y perjuicios. Lo que tb esta claro es que NFRMTC tiene mas razon que un santo y no hay encargado de tratamiento (me gusta mucho lo del E.T. pero puede dar pie a confusiones) en este caso, pero creo que la negligencia esta muy clara.

Paco dijo...

NFRMTC: no te pongas tan corporativo :) que también hay informáticos chapuceros ¿o no?

Por otro lado, la verdad es que cada vez que visito una feria me mosquea un poco eso de que cedan mis datos a todos los expositores. Nunca he entendido mucho cómo va el tema. Aunque normalmente pongo un mail falso, je,je, y sólo doy el auténtico en los stands que de verdad me interesa. Aclaremos esto por favor.

Marketing Positivo dijo...

Pit, esal, Paco: la verdad es que colgué la sanción por el tema del rechazo a la cancelación, pero el tema ferias es otro asunto con miga (y lo sabemos muy bien porque GM2 tiene presencia en muchas). En este caso el documento informativo en la recogida de datos decía: "“De acuerdo con los términos establecidos en la L.O. 15/1999, mediante la cumplimentación del presente documento, el interesado consiente y autoriza expresamente que los datos en él solicitados serán incorporados a un fichero informatizado para uso de Feria de Zaragoza, siendo susceptibles de ser cedidos a empresas colaboradoras de la misma. El declarante podrá ejercer los derechos de acceso, rectificación y cancelación”. Aquí ni se identifica a las empresas a las que se cederán, ni se señala la finalidad, aunque también es cierto que sería materialmente imposible porque entonces el texto ocuparía varios folios, aunque quizás se aceptaría la remisión a otro documento o a un sitio web.
En cualquier caso lo cierto es que esto es así en la inmensa mayoría de ferias que se celebran en España y desde luego es más que discutible su legalidad. Claro que es tocar un tema económico, porque todas las ferias incluyen entre la lista de servicios que ofrecen (y en algunos casos con una valoración dineraria directa) esta posibilidad que parece tan golosa de acceder a los datos de todos los visitantes. Otra cosa es la verdadera validez desde el punto de vista del marketing de estas BBDD, ya que como dicen por ahí hay mucha información falseada. Los expertos en ferias ya sabemos que dar tu verdadero mail enla ficha te inunda la bandeja de entrada de bobadas sin interés.

esalconsultores: los titulares que intentan ser "graciosillos" en una noticia seria no vienen de nada "tomatil", es copia de las páginas salmón de El País (no sé si siguen con la misma onda porque hace siglos que dejé de comprar periódicos).

Anónimo dijo...

Tampoco me parece interesante darle más vueltas a un asunto así para reclamar una sanción de 600 euros. Mejor resolver el error y a seguir trabajando.

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.