27 de julio de 2009

Actuaciones de oficio

Pese a estar normativamente más que adecuada para esa función, y a pesar del general incumplimiento de la LOPD, lo cierto es que la Agencia Española de Protección de Datos (AEPD) no tiene un gran historial de actuaciones de oficio. Sin embargo estos días se han publicado dos resoluciones iniciadas desde la AEPD a raiz de la publicación de ciertas noticias.

En el procedimiento sancionador PS/00686/2008, instruido por la Agencia Española de Protección de Datos a la entidad ARSYS INTERNET, S.L. se solicita el inicio de actuaciones previas, debido al presunto acceso ilícito a datos personales en los sistemas de información de la empresa dedicada a gestionar dominios de Internet. Junto a la orden de apertura, incluye: Noticia publicada en el periódico El País el día 11/6/2007, en cuyos titulares consta literalmente: Los datos de 120.000 usuarios españoles en manos de ‘ciberpiratas’.
Y aunque el titular era un tanto escandaloso y los afectados fueron en realidad menos de 10.000
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ARSYS INTERNET, S.L. por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 (seis mil euros) € de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

En el procedimiento sancionador PS/00138/2009, instruido por la AEPD a COMUNICACIONES REUNIDAS S.L., se trata del asunto, también muy comentado en su momento en especial en los medios de internet, de los sitios en los que por desconocimiento de la ley, error informático o mala voluntad ajena, se podían ver a través de cualquier ordenador las grabaciones de videocámaras conectadas a la red. Los inspectores comprobaron en una web que:
  • La cámara transmite imágenes en tiempo real del interior de una sala, despacho u oficina, siendo posible controlar el movimiento de la cámara tanto en horizontal como en vertical así como efectuar zoom sobre la imagen.
  • La instalación y resolución de la cámara permite identificar a las personas que se sitúen en su zona de cobertura como puede constatarse en las impresiones de pantalla incorporadas a la diligencia practicada en el mismo día de la consulta.
  • El visionado de la cámara es de libre acceso para cualquier usuario de Internet, ya que se ha realizado sin que haya existido ningún tipo de control de acceso previo y con la simple selección de la citada dirección Internet en el navegador.
Tras comprobar que el dominio correspondía a Comunicaciones Reunidas, S.L., la empresa alegó:
Que la única explicación que pueden dar al acceso a las imágenes emitidas por la cámara a través de Internet, no es otra que un posible fallo puntual en el sistema, muy difícilmente explicable conforme las normas de seguridad que se adoptaron en el momento de su instalación.
Excusa muy poco jurídica, que da como resultado que:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad COMUNICACIONES REUNIDAS S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.500 € (dos mil quinientos euros) de conformidad con lo establecido en el artículo 45.2.4 y 5 de la citada Ley Orgánica.

20 de julio de 2009

Y cuidado también con las copias de seguridad

Veíamos en la anterior nota que hay que tener cuidado con las disecciones que en marketing se hacen de las bases de datos para segmentar posibles clientes, ya que si uno de estos solicita al amparo de la LOPD ejercer su derecho de cancelación y que sus datos no sean usado en más ocasiones para la remisión de mensajes publicitarios, la entidad responsable de los datos deberá tener la precaución de bloquear o borrar tales datos no sólo en la base de datos original, sino en cualquiera de estas particiones que se hayan preparado en el tiempo y pudieran incluir los datos del sujeto en cuestión.

Ahora veremos que lógicamente lo mismo ocurre cuando se hace una copia de seguridad y ha de restaurarse posteriormente: habrá que incorporar todas las actuaciones realizadas sobre la base de datos desde el momento de la copia hasta el de la pérdida o deterioro del fichero, incluidas las realizadas al amparo de la LOPD.

Esto fue lo que se les olvidó a la entidad GREEN TAL S.A., que ya en el procedimiento PS/00309/2007 había recibido una sanción por enviar correo por enviar correo no autorizado a D. S.S.S. Por un fallo en el sistema de alojamiento en el servidor que GREEN TAL tenía contratado con ARSYS, se procedió a reinstaurar toda la información que constaba anteriormente, entre ella, la dirección del correo electrónico del denunciante. Este hecho provocó que en la siguiente campaña D. S.S.S. recibiera dos correos electrónicos que denunció a la AEPD, inciándose el procedimiento Nº PS/00585/2008.

Y a pesar de los intentos de alegaciones de GREEN TAL, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GREEN TAL, S.A., por una infracción del artículo artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 €, de conformidad con lo establecido en el artículo 39.1 c) y 40 de la citada LSSI.

16 de julio de 2009

Cuidado con las copias de la base de datos

El procedimiento sancionador PS/00032/2009, instruido por la Agencia Española de Protección de Datos a la entidad WOLTERS KLUWE ESPAÑA, S.A., se inició tras la denuncia presentada por A.A.A. en la que explicaba que tras haber solicitado a WOLTERS la cancelación de sus datos personales y haber recibido de dicha empresa la confirmación de tal cancelación, posteriormente recibió publicidad postal nominativa de la entidad.

Aunque WOLTERS había tomado la precaución de marcar los datos del denunciante como "Robinson", haciendo referencia a su deseo de no recibir más comunciaciones comerciales, ésta acción se llevó a cabo en la base de datos central, pero no en otro fichero elaborado con anterioridad por el departamento de marketing destinado a ser utilizado en distintas campañas de marketing posteriores. Este fue el fichero utilizado en la campaña de marketing origen de la denuncia y en la fecha de generación de este fichero, el Sr. A.A.A. no constaba como “Robinson”.

En sus alegaciones, además de reclamar una posible caducidad el procedimiento, WOLTERS intenta que se acepten tales datos como "distintos", argumentando que canceló y no volvió a usar los datos que el denunciante le había proporcionado como cliente, pero que los de la campaña objeto de denuncia provenían de fuentes de acceso público. Semejante enroque no es aceptado por la AEPD, en buena lógica ya que su implantación haría casi imposible el ejercicio del derecho de cancelación para una persona física, a la que obligaría a solicitarla tantas veces como orígenes distintos haya tenido la recopilación de esa información por parte de la entidad.

Por tanto, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad WOLTERS KLUWE ESPAÑA, S.A., por una infracción del artículo 16 de la LOPD, tipificada como grave en el artículo 44.3 f) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

13 de julio de 2009

Sobre los videoporteros

La Instrucción 1/2006 sobre videovigilancia excluye expresamente su aplicación a imágenes obtenidas en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar. Es por eso que en los casos en los que la utilización de videoporteros se limite a su función de verificar la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda, no será de aplicación la normativa sobre protección de datos.

El Informe 0335/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) responde a la cuestión de si la implantación de un videoportero que permite conectar la señal de la cámara a la red de televisión y visionar en la televisión todas las imágenes que capta la cámara, vulnera la LOPD.

Esta cuestión se analiza en la Guía de Videovigilancia en materia de videoporteros, señalando que:
Sin embargo, si el servicio se articula mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante, resultará de plena aplicación la Instrucción 1/2006.

Por lo tanto, cuando una cámara permite reproducir en tiempo real las imágenes que concurren en la portería de un edificio, su actuación excede con mucho del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, que conlleva la necesidad de legitimar dicho tratamiento en los términos del artículo 2 de la Instrucción 1/2006.

En consecuencia, se le aplicará a dicho tratamiento la misma legislación y requisitos que a cualquier instalación de videocámaras, en especial los que hacen referencia a la instalación del sistema por parte de una empresa de seguridad debidamente autorizada e inscrita en el registro del Ministerio del Interior, así como la comunicación al mismo ministerio del oportuno contrato por escrito con arreglo a modelo oficial con una antelación mínima de tres días a la iniciación de tales servicios.

6 de julio de 2009

Pero si nunca pasa nada...

... hasta que pasa claro, y entonces puede que te venga todo de golpe.

¿Cuántas veces hemos oído lo de "aquí no vienen inspectores", "a mí nadie me denuncia", "si me ponen una multa ya la pagaré", etc...? Hay esa creencia de que se puede incumplir una ley como la LOPD de rango orgánico y "no pasa nada", y en todo caso si ocurre algo ya se pagará y se resuelve... como si años y años de vulneración se fueran a pasar de rositas con una sanción de 600€.

Quizás eso pensaban en DATA INTEGRAL ACTION S.L., que total años y años de incumplimiento les habían dado unos beneficios que justifican pagar alguna pequeña sanción, pero por si acaso no les había quedado claro con lo que ya habían recibido y señalamos en la nota Reincidentes, ahí van dos más (y atentos a los montos):

Procedimiento Nº PS/00038/2009

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad, DATA INTEGRAL ACTION, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento uno con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Procedimiento Nº PS/00034/2009

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad DATA INTEGRAL ACTION, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.