29 de junio de 2009

A título particular

Resulta habitual que ante la celebración de un evento de duración superior a un día, los organizadores negocien con los hoteles cercanos condiciones especiales para alojar a los invitados. Y no es extraño que los hoteles ofrezcan a estos la posibilidad de alargar su estancia y disfrutar así de unos días de descanso manteniendo el precio especial de la oferta, aunque la reserva y facturación se hagan a título particular.

Así ocurrió en un campeonato de pesca donde la Federación Gallega de Pesca negoció con la entidad CELUISMA un precio especial en su hotel Celuisma Torrelavega, y D. P.P.P. decidió llegar un día antes solicitando un reserva de pago directo por el cliente, ya que del resto se hacía cargo la Organización del campeonato.

El caso es que el importe de aquella reserva no fue satisfecho por el denunciante y con el ánimo de resolver amistosamente la situación, la cadena hotelera se puso en contacto con el Club de Pesca Deportiva “O CAPOTE”, del que es miembro el denunciante. Un cargo del club solicitó una copia de la factura, que le fue remitida por correo electrónico.

Enterado de esta circunstancia, D. P.P.P. interpuso denuncia ante la Agencia Española de Protección de Datos (AEPD) que inició el Procedimiento Nº PS/00541/2008 por vulneración del artículo 10 de la LOPD.

El hotel presentó copia del Registro de Clientes en el que se incluye la siguiente información:
El/los firmantes queda/n informado/s de que los datos que se solicitan son necesarios para la formalización y gestión de su estancia en el hotel y se incorporan al correspondiente fichero de clientes del hotel para uso interno y para las ofertas y realización de operaciones y contratación de los servicios de dicho hotel. PARA LO CUAL DAN SU AUTORIZACIÓN, así como a la cesión para las indicadas finalidades que puedan ser necesarias entre la entidad y otras sociedades relacionadas con la contratación de los servicios del hotel o auxiliares de éstas
En el escrito de alegaciones manifestó que el propio denunciante indicó verbalmente al personal del Hotel que el importe de la factura en cuestión debía exigirse al Club de Pesca “O CAPOTE”, cuyo “Cargo 1” contactó con el Director del citada establecimiento para informarle que asumía el pago y facilitarle la dirección de correo electrónico a la que remitir la factura. Asimismo, añade que en el momento de la recogida de los datos personales del denunciante, éste consintió expresamente la comunicación de sus datos a dicho Club, conforme a lo señalado en la cláusula informativa reseñada en el formulario cumplimentado, en el que se informa expresamente sobre la finalidad (“realización de operaciones y contratación de los servicios del Hotel”) y cesionarios de los datos (“entidades relacionadas con la contratación de los servicios del Hotel”), de modo que CELUISMA estaba habilitada para comunicar tales datos al Club “O CAPOTE”. Además, el denunciante conocía la intervención del citado Club en la contratación de los servicios del Hotel y se benefició de las especiales condiciones pactadas con el mismo.

En los Fundamentos de Derecho la AEPD indica:
En el presente caso, ha quedado acreditado que CELUISMA, como responsable del envío a un tercero de un duplicado de la factura emitida por dicha entidad a nombre del denunciante, no actuó con la diligencia debida al haber posibilitado que un tercero tuviese acceso a datos personales de aquél, por lo que se vulnera el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD.
Respecto a los consentimientos verbales o telefónicos supuestamente otorgados por el denunciante, tal y como suele ser habitual la AEPD los desestima por completo al considerarlos "no acreditados". Igualmente desestima que el alcance del consentimiento firmado en el Registro de Clientes ampare la cesión de datos a un tercero, aún cuando se pretenda un hecho legítimo como es el cobro de una factura impagada.

Y por lo tanto el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CELUISMA, S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

18 de junio de 2009

No le contrates si no quiere

Los habituales movimientos de trabajadores entre empresas subcontratadas en el sector de la construcción pueden dar un severo disgusto en protección de datos sino se hacen con meticulosidad, como se puede ver en el procedimiento sancionador PS/00289/2007, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidades PLANET STEEL, S.L. y FERROINSA ACEROS Y FERRALLAS INDUSTRIALES, S.A.

Estando en situación de desempleo con derecho a prestación, D. L.L.L. se llevó una sorpresa un mes cuando percibió un importe inferior al reconocido inicialmente, comprobando, según la información facilitada por el Instituto Nacional de Empleo, que dicha prestación había sido suspendida por un alta en Seguridad Social formalizada por FERROINSA. Según consta en el “Informe de Vida Laboral” facilitado por la Tesorería General de la Seguridad Social, el denunciante figura como trabajador de dicha empresa por un periodo de 7 días, señalando como motivo de la baja el cese voluntario del mismo.

D. L.L.L. denunció ante la AEPD este uso indebido de sus datos personales, acompañando la denuncia con una Declaración Jurada, emitida para la reanudación de las prestaciones de desempleo, en la que manifiesta que en ningún momento ha prestado servicios en la empresa FERROINSA, y copia de la solicitud dirigida por esta empresa a la Tesorería General de la Seguridad Social, en la que solicita la anulación de los movimientos de alta y baja del denunciante en la empresa, causadas por un error administrativo de la entidad que motivó la suspensión de la prestación por desempleo que aquél venía percibiendo.
También denunció que ni FERROINSA ni PLANET STEEL habían inscrito fichero de datos personales alguno ante el Registro General de la Protección de Datos (RGPD).

FERROINSA tenía una relación de subcontrata con PLANET STEEL, última empresa en la que había trabajado D. L.L.L. antes de inciar su período de prestación por desempleo, y ambas compañías eran clientes de la misma asesoría.

Esta fue la cadena de errores que motivó el alta indebida del denunciante:
  • PLANET STEEL ofreció a D.L.L.L. un nuevo contrato de trabajo, que este no aceptó, pero por error se solicitó a la asesoría que tramitara el alta.
  • Al “Cargo 2” se le olvida pasar un parte de anulación del alta que en realidad nunca tendría que haberse comunicado, puesto que no se llega a iniciar la prestación laboral.
  • La asesoría se equivocó de empresa y realizó el alta en la Seguridad Social a nombre de FERROINSA.

Es interesante aclarar que según las empresas denunciadas D.L.L.L. sí aceptó de forma verbal el nuevo contrato que se le ofreció, y así lo declaró ante la AEPD uno de los jefes de obra, pero su afirmación no fue tomada en consideración al ser una manifestación de parte y, por tanto, necesitado de prueba.

Finalmente la Agencia explica:
En el presente caso ha quedado acreditado que PLANET STEEL trató los datos de carácter personal del denunciante, ordenando expresamente a la entidad que le presta servicios en gestión de personal la formalización del alta en Seguridad Social del mismo como trabajador de la entidad, a pesar de que el denunciante no había consentido la relación laboral ni formalizado ningún contrato de trabajo que regulara la misma.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad PLANET STEEL, S.L., por las infracciones de los artículos 6.1 y 26 de la LOPD, tipificadas como grave y leve, respectivamente, en los artículo 44.3.d) y 44.2.c) de dicha norma, una multa de 60.101,21 (sesenta mil ciento un euros con veintiún céntimos) y una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1, 2 y 4 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad FERROINSA ACEROS Y FERRALLAS INDUSTRIALES, S.A., por la infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Esta Resolución ha sido recurrida.

15 de junio de 2009

Reincidentes

Es merecedor de especial atención la circunstancia de que esta Agencia ha sancionado a DATA INTEGRAL ACTION S.L., por hechos similares durante el último año, pudiéndose apreciar la reincidencia en su actuación, por lo que atendiendo a lo expuesto no se aprecia una “cualificada disminución de la culpabilidad”, de conformidad con el apartado 5 del artículo 45, sin que proceda su aplicación.
Así queda escrito en el procedimiento sancionador PS/00596/2008, justo antes de entrar a matar:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Data Integral Action S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un mil con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.
Y es que hay quien sencillamente tiene políticas comerciales incompatibles con la Ley Orgánica de Protección de Datos, según se puede ver en:
Búsqueda de "Data Integral Action" en Google
políticas que dan este resultado:
Búsqueda de "Data Integral Action" en agpd.es
Y en la mayor parte de los casos, como en el ejemplo con el que comenzaba esta nota, por vulneración del artículo 6 de la LOPD, algo tan básico como recabar el consentimiento de los interesados para el uso de sus datos personales.

Para entender cuál es el mecanismo mental con el que esta clase de empresas trabajan no hay más que prestar atención a una de sus alegaciones:
En el presente caso, es imposible guardar prueba de la concreta fuente pública de la que se han obtenido cada uno de los datos existentes en el fichero. Si la administración esta imputando una infracción de tratamiento sin consentimiento, debe probarse que los datos no constaban en ninguna fuente publica en la fecha de la infracción.
El paraíso de los spammer: que cada ciudadano tuviera que probar para cada momento concreto que no había prestado su consentimiento (?)

Y aún así la AEPD parece aceptar el envite y en la resolución ya enlazada indica:
Realizada consulta a los repertorios telefónicos de abonados y otras fuentes de acceso público, no se han encontrado datos del denunciante.
Lo mismo en el procedimiento sancionador PS/00462/2008, contra la misma mercantil, donde se señala:
Por los servicios de Inspección de esta Agencia se realizó consulta a los repertorios telefónicos on-line de www….X… y www….Y… sin encontrarse datos de la denunciante.
Vamos, que ni por esas se libran.

Y de nuevo:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Data Integral Action, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un mil con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

9 de junio de 2009

Te invito a bailar salsa

D. S.S.S. recibió en su dirección de correo electrónico una comunicación comercial no solicitada remitida desde la cuenta de correo electrónico ....X.@... en cuyo asunto rezaba “invitación”, promocionando la asistencia a una discoteca:

Hola este domingo te invito a bailar salsa en la Discoteca Beethoven.
Nuevo ambiente latino, no te lo pierdas
(C/..................) i Contesta Telefono de Información ########.
Tomas la Diagonal dirección (......) en la (C/..................), tomas el lateral y en la primera que se puede a la derecha es la (C/..................) esta: LA DISCOTECA BEETHOVEN, o sea de Catalunya Radio sigues y esta en la siguiente esquina.

En el texto del reseñado correo no se ofrecía información alguna sobre el ejercicio del derecho de oposición del destinatario al tratamiento de sus datos con fines promocionales.

D. S.S.S. puso el asunto en manos de la Agencia Española de Protección de Datos (AEPD), que inició el Procedimiento Nº PS/00630/2008 y con su habitual poderío comprobó, mediante información facilitada por Telefónica de España S.A.U., que la dirección IP del ordenador desde donde se remitió el correo comercial estuvo asignada de forma dinámica el día en cuestión a una línea telefónica cuyo titular era M.M.M. Además se comprobó que el dominio del correo emisor del spam estaba a nombre de la misma persona.

D. M.M.M. no pudo acreditado contar con el consentimiento otorgado por el titular de la dirección de correo electrónico del denunciante para la remisión al mismo de la comunicación comercial, ni ha probado que ésta hubiera sido solicitada previamente, ni la existencia de una relación contractual previa mantenida con el destinatario del mismo.

Y por lo tanto
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. M.M.M., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una sanción de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

4 de junio de 2009

¿Se puede publicar el TC2 en un tablón de anuncios?

El Informe Jurídico 0247/2009 de la AEPD responde a la cuestión de si se puede legalmente publicar los TC2 en un tablón de anuncios con el fin de verificar que la empresa cumple correctamente su deber de pago a la Seguridad Social, en cumplimiento de una cláusula de un Convenio Colectivo que exige
.. La obligatoriedad de publicar en el tablón de anuncios los modelos TC1 y TC2 correspondientes al último mes en que se haya hecho efectiva la liquidación, para todas las empresas afectadas por este convenio.
Ante todo se aclara que la publicación en el tablón de anuncios de la empresa los TC2 constituye una cesión o comunicación de los datos de dichos trabajadores, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”. Además se considera que los citados documentos no se limitan únicamente a incluir una mera relación nominal de los trabajadores respecto de los cuales el empresario da cumplimiento a su obligación de abono de la correspondiente cuota, sino que introducen diversas informaciones referentes a los citados trabajadores, tales como su número de afiliación, si se encuentran en una de las situaciones especiales descritas en el Texto refundido de la Ley General de la Seguridad Social, aprobado por Real decreto Legislativo 1/1994, de 20 de junio, el tipo de contrato celebrado o la concurrencia de circunstancias que determinan la existencia de deducciones o compensaciones. Todo ello implica que dicho documento incluye datos que incluso pueden encontrarse vinculados con la salud de los trabajadores, relacionados con su salud laboral, incapacidades o minusvalías.

Así nos encontramos con que sólo sería posible tal publicidad obteniendo el consentimiento previo de los interesados o que una norma con rango de Ley habilite tal cesión.

La AEPD aclara:
el Convenio Colectivo no tiene el rango de Ley a los efectos de permitir una comunicación masiva de dichos datos.
Y ante la duda de cómo resolver entonces el asunto, la AEPD sugiere (siempre hay que recordar que estos informes no son vinculantes) hacerlo a través del Comité de Empresa ajustándose a las previsiones del articulo 64.1 del Estatuto de los Trabajadores, auqnue de paso advierte:
Debe, por otra parte recordarse que el Comité de Empresa, en virtud de lo establecido en el artículo 4.2 de la Ley Orgánica 15/1999, no podrá utilizar los datos cedidos para finalidades distintas de las que motivaron su recogida. en este caso, el correcto desenvolvimiento de la relación laboral y por tanto, deberá limitarse a la finalidad de control que el propio Estatuto atribuye al Comité de Empresa.

1 de junio de 2009

No le dejes el sobre a la vecina

D. M.M.M. prestó servicios como empleado de la entidad J.A. CONSTRUCCIONES hasta la rescisión de la correspondiente relación laboral, que quedó formalizada con efectos de 10/01/2008.

La empresa explica:
Comoquiera que D. M.M.M. (trabajador que fue de esta empresa) estaba de vacaciones en esas fechas, y era y es preceptivo legalmente, preavisarle la terminación de su contrato con 15 días de antelación, finalizado el mismo el 10/01/08, y no cogiendo el teléfono móvil pese a las numerosas llamadas que se le efectuaban, dos empleados de esta empresa intentaron hacerle entrega personal de dicha comunicación.
Para ello, se desplazaron a su domicilio, haciendo varias llamadas a su puerta, sin obtener respuesta. En un momento determinado, abrió la puerta de su casa la vecina, Dª R.R.R., quien junto con dichos empleados insistió en la llamada y, al seguir sin respuesta, se ofreció amablemente para entregársela. Ante ofrecimiento tan desinteresado los operarios así lo efectuaron.
La vecina acusó recibo de la citada comunicación haciendo constar en el propio documento la siguiente indicación, junto con su firma: “R.R.R. 15 VECINA. Recibí”.

En la mencionada carta se recogían los datos personales de D. M.M.M. relativos a nombre, apellidos y domicilio, además de algunos datos correspondientes a la relación laboral que mantenía con J.A. CONSTRUCCIONES.

Posteriormente J.A. CONSTRUCCIONES remitió a D. M.M.M. un burofax en el que se le indica lo siguiente:
... le acompañamos la carta de terminación de contrato, que al no encontrarse Ud. en la empresa, acudimos a su domicilio arriba indicado, y al no hallarle, se la dejamos a su vecina Dª R.R.R., el día 27-12-2007, para que se la entregara.
Con estos documentos D. M.M.M. presentó la correspondiente denuncia ante la AEPD.

Tras recibir la comunicación de inicio del procedimiento sancionador PS/00564/2008, J.A. CONSTRUCCIONES, presentó escrito de alegaciones, en el que manifiestaban que no fueron los representantes de la empresa los que facilitaron a la vecina del denunciante la carta por la que se comunicaba al mismo la finalización del contrato laboral, sino dos compañeros de trabajo con los que aquel mantiene una cierta amistad, que se acercaron a su domicilio ante la ausencia del trabajo del denunciante. En definitiva, alegaron que los hechos se produjeron erróneamente por unos compañeros.

Parece un poco feo intentar descargar la responsabilidad en dos trabajadores compañeros del denunciante, pero en cualquier caso como muy bien aclara la AEPD en los Fundamentos de Derecho
El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática.
Y como ya sabemos, el responsable del fichero no puede "culpar" a ningún empleado (al menos en el proceso administrativo), así que finalmente:
En el presente caso, ha quedado acreditado que J.A. CONSTRUCCIONES, como responsable de la entrega a un tercero de la comunicación dirigida al denunciante por la que se le informaba sobre la rescisión de la relación laboral, no actuó con la diligencia debida al haber posibilitado que esa tercera persona tuviese acceso a datos personales de aquél, por lo que se vulnera el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad J.A. CONSTRUCCIONES, S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.