24 de febrero de 2009

Detrás de los datos hay personas

El procedimiento sancionador PS/00380/2008, instruido por la Agencia Española de Protección de Datos a la CLINICA DE FATIMA, S.A., es un buen ejemplo de la trascendencia que puede suponer para una persona un manejo erróneo de sus datos personales. Y es que muchas veces se olvida que detras de los datos hay personas, y cada una tiene una vida y una historia anterior.

En este asunto estamos ante un caso de una adopción "difícil", ya que a la familia biológica del menor protagonista de esta historia le había sido prohibido por orden judicial el contacto con el niño. Sin embargo, siendo primero éste atendido en cierta ocasión en la clínica denunciada y posteriormente su hermano biológico, se produjo un error por parte de los servicios administrativos del centro, de forma que confundiendo uno con otro le acabaron proporcionando en la ficha de alta al hermano los datos del menor, circunstancia que aprovechó para presentarse en el nuevo domicilio, con las consiguientes molestias para el niño y sus padres adoptivos.

(Esto es un tanto confuso, pero peor es leer la Resolución completa donde aparecen y desaparecen como en un teatro desde AAA hasta FFF, por que en la historia completa se entrelazan las varias identidades del menor.)

En sus alegaciones la Clínica Fátima, con un cierto tono "agresivo" que intuyo no le ha favorecido en absoluto, intenta librarse del asunto echando la culpa a todos los demas: al hermano por no corregir el error y al denunciante por no rectificar las diferentes identidades de su hijo adoptivo. Y remata:
En resumen, si los afectados hubieran comunicado a la Clínica todas las circunstancias que acabamos de mencionar, no estaríamos ahora inmersos en este procedimiento.
Y si digo que este tono no me parece muy acertado es a la vista de algunas de las respuestas de la Agencia en los Fundamentos de Derecho, incluyendo referencias a asuntos que no parecen venir a cuento en este procedimiento aunque tiene su miga:
En el supuesto examinado, ha quedado acreditado que en la historia clínica de D. A.A.A. obrante en la Clínica Fátima fueron incorporados datos médicos de D. D.D.D., así como el nombre de la Mutua que abonaría las gastos económicos y el nombre de la empresa para la que debe prestar sus servicios, todo ello, en una historia clínica en la que obraba la edad en ese momento del titular de la misma, haciendo constar (15 años), siendo la edad mínima para la prestación de servicios laborales los 16 años.
Y dejando muy claro que:
No pueden ser tenidas en cuenta las alegaciones de la Clínica de que la urgencia médica impidió recoger los datos que identificaban al paciente, pues las dolencias que presentaba, no parecen que impidiese preguntarle por su DNI, su número de afiliación a la Seguridad Social, su fecha de nacimiento etc.
Y también que:
(...) la Clínica Fátima debe abrir historias clínicas por cada persona que es atendida en dicho centro y para ello debe exigir la documentación que identifique totalmente a las personas, DNI o similar y en ausencia de estos, un conjunto que datos como el nombre, apellidos, fecha de nacimiento, nombre del padre y madre, nº de la Seguridad Social del padre o de la madre (a través de las que recibe la sistencia), número de pólizas de compañías médicas, etc.
Y rematando sin piedad la última esperanza:
En consecuencia, no procede la aplicación del artículo 45.5 de la LOPD.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CLINICA DE FATIMA, S.A., por una infracción del artículo 4.3 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.

12 de febrero de 2009

Cada palo que aguante su vela

El procedimiento PS/00171/2008 es un clásico: dueño de negocio (en este caso un restaurante) que instala una cámara de videovigilancia sin cumplir ninguna de las condiciones a las que le obliga la LOPD y la Instrucción 1/2006 sobre videovigilancia, es decir, que ni inscripción de ficheros, ni cartel con aviso, ni información adicional, etc...

Además, en el acta levantada por la Policía Municipal de Madrid se hace constar que el titular de la licencia del establecimiento inspeccionado es titular de otro establecimiento en la misma dirección postal, en el que desarrolla la actividad de cafetería. Y ya que estamos, también ha instalado cámaras en este segundo local, con la misma ausencia de requisitos legales.

Lo interesante llega cuando el dueño de los negocios, en sus alegaciones, indicó que:
(...) ambos negocios se encuentran situados en el mismo domicilio, ocupando dos locales que se encuentran divididos por el portal de acceso a las viviendas, pero que mantienen una comunicación entre ellos, a través del citado portal, por lo que estima que se trata de un único negocio familiar.
Advierte que, a pesar de ello, en esta Agencia se siguen dos procedimientos sancionadores por la instalación de videocámaras, el presente procedimiento y el señalado con el número PS/00406/2008, sin considerar que se trata de una sola instalación. Así, invoca el principio nom bis in idem y solicita la declaración de nulidad de pleno derecho de los respectivos acuerdos de inicio de procedimiento. Asimismo, señala que en el citado procedimiento PS/00406/2008 se imputa una infracción del artículo 5 de la LOPD, diferente a la analizada en el presente caso.
(Este segundo procedimiento aún no se ha publicado, pero está claro que terminará en el mismo sentido.)

Este es uno de esos curiosos esquemas mentales que uno encuentra con cierta frecuencia en el asunto de protección de datos: empresario con dos negocios que entiende perfectamente que ha de pagar dos licencias de actividad, que ha de confeccionar dos declaraciones trimestrales de IVA, que presenta mensualmente dos pagos a la Seguridad Social por sus empleados, etc, etc... y que sin embargo asegura que la LOPD sólo una y más que de sobra.

Obviamente no es la idea de la Agencia:
JMA invoca el principio nom bis in idem, considerando que en esta Agencia Española de Protección de Datos se sigue otro procedimiento sancionador por la instalación de videocámaras en otro local de su propiedad, señalando que se trata de un único negocio, desarrollado en dos locales del mismo domicilio que mantienen una comunicación interna. Sin embargo, consta acreditado que en ambos locales se desarrollan actividades separadas, no habiéndose justificado por JMA que se trate de una única licencia de actividad, por lo que la alegación no puede ser estimada.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. M.M.M., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 600 (seiscientos euros), de conformidad con lo establecido en los artículos 45.2, 4 y 5 de la citada Ley Orgánica.

3 de febrero de 2009

Sopa de letras

El procedimiento sancionador PS/00183/2008, instruido por la Agencia Española de Protección de Datos a la entidad COALICIÓN DE ASOCIACIONES Y SINDICATOS INDEPENDIENTES (CASI), se inicia tras la denuncia presentada por la Agencia de Protección de Datos de la Comunidad de Madrid adjuntando escrito de D. R.R.R. en el que declara que a mediados del mes de enero de 2007 ha recibido por correo ordinario en su domicilio particular, una carta procedente de CASI, que contenía un escrito de exposición de su proyecto sindical y una solicitud para rellenar y poder concurrir a las elecciones sindicales del Ayuntamiento de Madrid. Él nunca ha facilitado sus datos personales a ese sindicato y desconoce cómo los han conseguido.

El sindicato denunciado alegó:
  • CASI se fundó en enero de 1995 y es el nombre actual de la antigua Coalición de Independientes que estaba formada por las asociaciones: FATAL, SIFAM y ATAGAM.
  • FATAL formalizó un acuerdo con el economato ECORE por el que sus afiliados y simpatizantes podían disfrutar de las ventajas de dicha organización. Este convenio funcionó desde el año 1992 hasta el año 2000.
  • Todo funcionario del Ayuntamiento que se considerara simpatizante de CASI podía al igual que sus afiliados, disponer de las ventajas de dicho Economato sin más que facilitar la dirección de correos a la que enviar la acreditación correspondiente en forma de carnet.
  • D. R.R.R. solicitó dicho carnet y disfrutó durante los años que permaneció vigente el acuerdo con ECORE de las ventajas correspondientes.
  • El 01/02/2007, el sindicato CASI recibió un escrito del Sr. R.R.R. por el que expresaba su deseo de ser dado de baja de la base de datos puesto que no quería recibir más documentación del sindicato, e informando que había denunciado en la Agencia de Protección de Datos para que investigaran de dónde había sacado el sindicato la información particular de su persona.
  • Esta carta la contestó el sindicato informándole que sus datos figuraban en sus ficheros dentro del archivo ECORE y que los datos los había facilitado él mismo para recibir el carnet. Atendiendo a su solicitud se eliminaban los datos personales del archivo.
  • El fichero ECORE se encuentra inscrito en la Agencia Española de Protección de Datos con código de inscripción ########. La finalidad es mandar información sobre temas sindicales a los trabajadores del Ayuntamiento por ellos autorizados.
Además en posteriores alegaciones añadieron:
que el uso que hicieron de los datos del denunciante no son contrarios a la Ley, pues fueron aportados por el Sr. R.R.R., quien no manifestó ninguna observación al respecto de limitar su uso.
Alegan que no se han utilizado los datos personales del denunciante con fines incompatibles con aquellos para los que se recogieron, en primer lugar, porque como simpatizante del sindicato, en uso del derecho de libertad sindical, es lógico que en periodos de elecciones sindicales se intente atraer su voto, y en segundo lugar, “porque los datos fueron dados voluntariamente para beneficiarse del carné del economato ECORE, cuestión esta que fue precisamente la que se realizó”.
Pero la Agencia, tras solicitar a CASI que aporte la ficha en la que se recogieron los datos del denunciante y la información que se le facilitó sobre su uso, y recibir la callada por respuesta, contesta en los Fundamentos de Derecho:
El principio de calidad que prohíbe utilizar datos para una finalidad incompatible o distinta de aquella para la que los mismos fueron recabados, se contiene en el Título II de la LOPD, como uno de los principios básicos de la protección de datos.
Las “finalidades” a las que alude este apartado 2 han de ligarse o conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”
En definitiva, los datos no pueden ser tratados para fines distintos a los que motivaron su recogida, pues esto supondría un nuevo uso que requiere el consentimiento del interesado.
En el caso que nos ocupa, el sindicato C.A.S.I. recabó los datos del denunciante con la única finalidad de proporcionarle el carné del economato sin que le informaran de la finalidad del fichero en el que incluían sus datos. A pesar de ello, CASI trató sus datos con el fin de enviarle información sobre su actividad sindical y pedirle su voto.
Pese a que el artículo 44.3.d) de la LOPD considera infracción grave tratar los datos de carácter personal para fines distintos de los que fueron señalados al recabarse, la Agencia vuelve a aplicar el "eximente reductor" del artículo 45 con argumentos tan curiosos como que el sindicato actuó "en la creencia de la utilización del derecho de libertad sindical y en la obtención válida de su consentimiento."

Por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad COALICION DE ASOCIACIONES Y SINDICATOS INDEPENDIENTES C.A.S.I., por una infracción del artículo 4.2 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.