28 de septiembre de 2009

Cesión de los TC2 y nóminas de los trabajadores de las subcontratas

El asunto de la obligatoriedad o no de la cesión de datos como los TC2 y las nóminas de empresas subcontradas a las empresas contratistas es uno de los que más veces me ha surgido entre las dudas de los clientes acerca de la aplicación de la Ley Orgánica de Protección de Datos (LOPD). La Agencia Española de Protección de Datos (AEPD) acaba de publicar sobre este tema el Informe Jurídico 0412/2009, (documento en PDF, si necesitas convertirlo o extraer datos de cualquier PDF a Excel puedes usar http://pdfextractoronline.com/es/) variando en parte la tesis mantenida hasta ahora.

Por una parte el artículo 42.1 del Estatuto de los Trabajadores dispone que
Los empresarios que contraten o subcontraten con otros la realización de obras o servicios correspondientes a la propia actividad de aquéllos deberán comprobar que dichos contratistas están al corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería General de la Seguridad Social, que deberá librar inexcusablemente dicha certificación en el término de treinta días improrrogables y en los términos que reglamentariamente se establezcan. Transcurrido este plazo, quedará exonerado de responsabilidad el empresario solicitante.
Como bien se aclara en el informe:
La comunicación de datos tales como el TC2 y las nóminas no permite amparase en el mencionado artículo, dado que dicho artículo es claro al concretar que, el contratista habrá de conocer, a través de los certificados previstos en el artículo 42.1 del Estatuto de los Trabajadores el cumplimiento por parte del subcontratista de sus obligaciones en materia de seguridad social en relación con los trabajadores subcontratados, dado que en caso contrario responderá del cumplimiento de dichas obligaciones.
Por otro lado el artículo 42.2 del Estatuto de los Trabajadores, impone al contratista principal una responsabilidad solidaria, responsabilidad que implica atender el cumplimiento de una obligación de naturaleza salaria y las referidas a la Seguridad Social durante el período de vigencia de la contrata.
El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.
En este caso la tesis de la AEPD se basa en el artículo 10.2 del Reglamento de Desarrollo de la LOPD
No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
En consecuencia, la cesión de los TC2 estaría amparada en el artículo 7.3 de la Ley Orgánica 15/1999, en relación con el artículo 42.2 del Estatuto de los Trabajadores y por el alcance que el Código Civil impone a las obligaciones solidarias.

En el caso de las nóminas se plantea el problema adicional de que en algunos casos aparecen datos relativos a la afiliación sindical, para efectuar los pagos de las cuotas correspondientes, siendo este un tipo de dato especialmente protegido. Pero ya que el pago de la citada cuota es una de las obligaciones del empresario que son de carácter solidario en el caso de la relación entre contratista y subcontrata, la AEPD utiliza un argumento similar al del caso anterior para igualmente declarar tal cesión conforme con la LOPD.

Eso sí, el Informe Jurídico advierte:
En todo caso, el acceso por parte del contratista debería limitarse a los datos relacionados con los trabajadores subcontratados y no a cualesquiera trabajadores de la empresa subcontratada.
Al propio tiempo, el hecho de que la comunicación de los datos se encuentre amparada por los artículos ya citados de la Ley Orgánica 15/1999 no eximirá a la empresa subcontratista del cumplimiento del deber de información, respecto de los trabajadores subcontratados, de la cesión de sus datos a la empresa contratista, toda vez que el artículo 5.1 a) de la Ley Orgánica impone al responsable del fichero el deber de informar acerca de los destinatarios de las cesiones de datos que se hubieran producido.

23 de septiembre de 2009

Actuando de buena fe

El procedimiento sancionador PS/00683/2008, instruido por la Agencia Española de Protección de Datos, se incia tras el escrito presentado por DÑA. M.M.M., en el que denuncia a la entidad Auto Plus Fleet Services, S.L. (en lo sucesivo AUTOPLUS FLEET), por tratar automatizadamente datos de carácter personal relativos a infracciones administrativas de tráfico y circulación de los ciudadanos, obtenidos de Boletines Oficiales estatales, provinciales y autonómicos. Asimismo, añade que dicha información puede ser consultada por cualquier ciudadano desde la página www…X… y que dicha entidad cruza el citado fichero con listas blancas de particulares para la realización de campañas de telemarketing y captación de clientes, cediendo para ello los ficheros a la empresa Axesor y a plataformas de telemarketing.

Se trataría de una infracción del artículo 7.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.

Tras la oportuna inspección, la empresa denunciada alegó que
No cuenta con un conjunto de datos de carácter personal sobre infracciones penales o administrativas organizados bajo ningún criterio, sino con un conjunto de ejemplares de Boletines Oficiales almacenados en formato digital, formato original en el que son publicados por sus respectivas fuentes, sobre los que cabe aplicar criterios de búsqueda de palabras porque así lo permite el formato en el que éstos se descargan de sus páginas web oficiales. De modo que en ningún momento ha incluido en ficheros de su propiedad datos relativos a la comisión de infracciones penales o administrativas.
Asimismo, alega que no tiene la consideración de responsable del fichero, puesto que no decide la finalidad y contenido de los Boletines Oficiales que almacena, ya que únicamente puede disponer sobre el uso que de la información que se proporciona en los mismos sin agregar datos adicionales, de modo que no puede considerársele responsable de un fichero sobre infracciones administrativas. Además, los Boletines Oficiales tienen la consideración expresa de fuentes accesibles al público, según se establece en el artículo 3, apartado j) de la LOPD, por lo que su consulta puede ser realizada por cualquier persona.
Ha actuado en todo momento de buena fe, cumpliendo con la normativa vigente en materia de protección de datos y con la convicción de que sus actuaciones eran conforme a derecho, con los ficheros de su titularidad debidamente inscritos en el Registro General de Protección de Datos, con el preceptivo documento de seguridad y con los correspondientes contratos de encargado del tratamiento exigidos por el artículo 12 de la LOPD con todos los prestadores de servicios que tienen acceso a datos personales de los que es responsable. Asimismo, consta que AUTOPLUS FLEET registró de forma previa al inicio de sus actividades los ficheros de los que es responsable en el Registro General de Protección de Datos, y entre ellos el fichero denominado “Potenciales Clientes”, notificado el 04/07/2006. En la notificación efectuada de dicho fichero se comunicaba que el mismo incluía, entre otros, datos relativos a infracciones de tráfico con la finalidad de ofrecer información sobre la publicación de infracciones de tráfico y ofrecer sus servicios. Igualmente se indicaba que el origen de estos datos eran fuentes accesibles al público.
Esta última alegación, dando un valor de validación sobre la legalidad del contenido de un fichero a la mera aceptación de su alta administrativa en le Registro, creo que es la primera vez que la leo y en cualquier caso seguro que no es muy habitual. Pero funciona. En los Fundamentos de Derecho se desestiman las primeras alegaciones:
En primer lugar, debe indicarse que, respecto de los ficheros que contengan datos relativos a la comisión de infracciones penales o administrativas, el artículo 7.5 de la LOPD es terminante al establecer de modo taxativo que estos datos “sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”. En consecuencia, el tratamiento de estos datos por parte de una entidad de derecho privado como AUTOPLUS FLEET resulta contrario a lo establecido en la citada Ley Orgánica, quedando limitado a las Administraciones Públicas en el ejercicio de las atribuciones que tengan conferidas, es decir, a aquellos casos en que el órgano responsable del fichero sea titular de la competencia que legitime el tratamiento y, exclusivamente, cuando así lo establezca una norma con rango suficiente.
De ello se desprende que, aunque los datos se hubieran obtenido de fuentes accesibles al público, o se trate de datos que puedan ser accedidos por terceros cuando una Ley lo permita, el tratamiento inconsentido de tales datos se encuentra vedado a AUTOPLUS FLEET, dada su naturaleza jurídico-privada.
Sin embargo se admite que:
En consecuencia, resulta que AUTOPLUS FLEET ha tratado datos relativos a infracciones de tráfico en un fichero previamente notificado al Registro General de Protección de Datos, con detalle de su estructura, que contempla la recogida de dichos datos de fuentes accesibles al público, e inscrito de conformidad por la Agencia Española de Protección de Datos. Por tanto, cabe deducir que AUTOPLUS FLEET actuó en el convencimiento de que dicha actuación se ajusta a la normativa de protección de datos de carácter personal, en la presunción de legalidad de las actuaciones de la citada Agencia. En consecuencia, respecto de la infracción del artículo 7.5 de la LOPD, es de apreciar una ausencia de culpabilidad en la conducta mantenida por AUTOPLUS FLEET, en virtud del citado principio de confianza legítima.
Y así llega la rebaja en la sanción:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AUTOPLUS FLEET SERVICES, S.L., por una infracción del artículo 7.5 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 euros (seis mil euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

17 de septiembre de 2009

No dejes los datos abandonados, ellos no lo harían contigo

Y es que pasear por internet es como surcar las aguas de los canales en Venecia: todo muy bonito hasta que de vez en cuando posas la mirada en alguna esquina abandonada donde se acumula la basura.

Así ocurrió en el procedimiento sancionador PS/00705/2008, instruido por la Agencia Española de Protección de Datos a la entidad ABANIKO MEDIA, S.L., vista la denuncia presentada por D. R.R.R., que declaró:
“…que el año pasado participé en el concurso promocional online de la película "7 Mesas de Billar Francés", sito en “http://www....X..../.....” donde introduje mis datos personales al inscribirme (nombre completo, login, password, dirección, teléfono, edad y correo electrónico).
Tiempo después volví a entrar en dicha página web y ésta redirigió a “http://www....X..../...../links/” donde se listaban una serie de ficheros (listado que adjunto como documento n° 1). En uno de ellos (llamado prueba.php) se mostraba mi dirección de correo, mi login y password, así como el de todos los demás participantes (…)
Que a fecha de 28 de Mayo de 2008 este listado sigue disponible para su visualización por cualquier usuario de Internet, sin ningún tipo de control de acceso, y cuenta con aproximadamente 1500 usuarios, correos y contraseñas. Adjunto la impresión de este enlace “http://www....X..../...../linksprueba.php/” como documento n° 2 (mis datos aparecen en la página 23 de dicho documento) (…)
Que el password mostrado en esa web (*****) es mi contraseña habitual para el acceso a ciertas páginas y cuentas de correo, razón por la cual he tenido que modificar todas ellas, y es muy posible que buena parte de los 1500 usuarios mostrados en ese fichero se encuentren en la misma situación sin saberlo. Estas contraseñas se almacenan en texto claro, sin ningún tipo de seguridad o cifrado (…)
Que la web no contaba ni cuenta actualmente con ninguna dirección de contacto para ejercer mi derecho a cancelar, rectificar o modificar los datos personales exhibidos en ese fichero (…)
Que el periodo de concurso parece haber terminado pero la web sigue permitiendo inscribirse y no ha destruido mis datos ni los del resto de participantes.”
En resumen, típico ejemplo de acción promocional en internet de carácter temporal, que una vez terminada... nadie recuerda retirar, con el agravante en este caso de que además su estado de abandono deja al descubierto datos de carácter personal de 1.500 personas.

La sociedad Abaniko, propietaria del dominio en cuestión, alegó la participación en la gestión del sitio de muchas otras empresas: hosting, posicionamiento, programación, etc..., que en todo caso sería encargada del tratamiento, e incluso intenta culpar al propio denunciante al asegurar que:
sólo la pericia de alguien muy especializado podía haber aprovechado algún resquicio de vulnerabilidad en los sistemas (mucho más allá de lo razonable) para introducirse en el dominio con finalidades ilegítimas, y producto de mis averiguaciones he podido comprobar que la persona del denunciante se corresponde con un asiduo de páginas de (…)
Se aporta (…) Algunas páginas extraídas del buscador GOOGLE donde aparece relacionado el nombre de D. R.R.R., acreditativas de la cualificación y preparación en temas informáticos y de redes sociales de la persona que se corresponde con el denunciante
Y sin embargo, poco después presenta escrito en el que comunica:
“…No obstante a ello, y entendiendo lo difícil de llegar a concluir el expediente, por las numerosas sociedades intervinientes, desde la responsabilidad que ostento en la representación de ABANIKO MEDIA, S.L., y en aras de no perjudicar a la sociedad que represento, de conformidad al artículo 8 del Real Decreto 1398/1993, vengo a reconocer voluntariamente la responsabilidad de ABANIKO MEDIA, S.L. en los hechos inspeccionados, con el exclusivo fin, de conseguir una resolución lo menos gravosa posible a los intereses que represento, por cuanto la situación económico-financiera y de tesorería de ABANIKO MEDIA, S.L. se encuentran en estos momentos muy delicada, resultando incluso, el mantenimiento de los puestos de trabajo altamente comprometida…”
Al haber reconocido los hechos imputados se procede resolver el procedimiento iniciado, y así
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ABANIKO MEDIA, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

8 de septiembre de 2009

Videovigilancia en entornos escolares

Ya que toca la vuelta al cole por estas fechas resulta oportuna la publicación del Informe Jurídico 0345/2009 de la Agencia Española de Protecciónde Datos (AEPD) sobre la videovigilancia por razones de seguridad en entornos escolares.

La consulta plantea si la instalación de cámaras que tienen en sus centros de enseñanza cumple con la legalidad vigente. Siguiendo la tesis ya expuesta en consultas similares respecto a otros ámbitos, la AEPD aclara que:
Al tratarse de motivos de seguridad resulta de aplicación la Ley 23/1992, de 30 de julio de de Seguridad Privada, en la que se fundamenta la legitimación para grabar las imágenes tanto de los menores de edad como de aquellas personas que acudan al centro.
(...)
En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de videovigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación.
Así, quedaría legitimado por la existencia de una norma con rango de Ley habilitante el tratamiento al que se refiere el apartado 2 de los citados con anterioridad, siempre que se cumplan los requisitos a los que se ha hecho referencia o concurra una de las excepciones previstas en el RSP, no siendo necesario el consentimiento del afectado”.
De este modo, el consultante deberá contratar con una empresa de seguridad que haya cumplido los requisitos antes expuestos, para que el tratamiento de las imágenes quedará legitimado, por la existencia de una norma con rango de Ley habilitante, no siendo por tanto necesario el consentimiento de los afectados.
Los requisitos que se acaban de exponer son aplicables cuando la finalidad de la grabación sea la seguridad, por el contrario si el tratamiento de las imágenes se efectúa con fines distintos a la seguridad será necesario obtener el consentimiento para legitimar el tratamiento.

3 de septiembre de 2009

Se lo llevó a casa un empleado

Hacía tiempo que no comentaba una sanción de la serie "se lo llevó a casa un empleado", para justificar la aparición en una red P2P de información con datos de carácter personal provenientes de una empresa.

En el procedimiento sancionador PS/00601/2008, instruido por la Agencia Española de Protección de Datos a la entidad OYONARTE INMOBILIARIA, S.L., vista la denuncia presentada por la POLICIA LOCAL DE OURENSE, quedó probado que en el eMule aparecían distintos ficheros con datos de carácter personal supuestamente relativos a titulares de viviendas de la ciudad de Alicante, al parecer gestionadas por ACAL Administradores.

Del análisis de los ficheros informáticos remitidos por la Policía Local de Ourense se observó que se trataba de varias tablas algunas de ellas con datos personales relativos a: propiedad, nombre, apellidos, dirección postal, teléfono, forma de pago, código de banco, cuenta de pago (20 dígitos), datos del pagador (nombre, apellidos, dirección postal y teléfono), coeficientes y cuotas. Constaba información de más de 6.000 personas.

Entre las actividades que desarrolla la sociedad Oyonarte Inmobiliaria se encuentra la de administración de fincas y, en particular la gestión económica, por lo que disponen de datos personales de sus integrantes, y para ello utilizan el nombre comercial ACAL.

Se verificó a través de la compañía Jazz Telecom, S.A. que los ficheros compartidos procedían de la conexión realizada a través de una dirección IP que correspondía a un particular.

Notificado el acuerdo de inicio, Oyonarte Inmobiliaria, S.L. formuló alegaciones, solicitando la aplicación del artículo 45.5 y alegando que el origen de la incidencia era que un empleado se llevó trabajo a su domicilio particular.

Este tipo de alegación, como ya hemos visto en numerosas ocasiones, es desestimada por la Agencia:
Así, Oyonarte Inmobiliaria, S.L. estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que incumplió esta obligación.
Aunque se utiliza en parte para justificar la aplicación del artículo 45.5 y por tanto una notable rebaja a la hora de aplicar el régimen sancionador:
En el presente caso, si bien la entidad imputada vulneró el principio de seguridad de los datos al no adoptar las medidas necesarias para evitar el acceso a los datos por parte de terceros, desde la óptica de la culpabilidad, ha de tomarse en consideración, como medida adoptada por la empresa, que el programa “eMule” no se encontraba instalado en los sistemas de la entidad, así como que no consta acreditada una actuación maliciosa por parte de la empresa, ya que la propia configuración del programa “eMule” permite el intercambio de información sin que sea necesaria una actuación intencionada para dar a conocer datos y archivos a terceros, a través de Internet. Por ello se aprecia, en este caso, una disminución cualificada de la culpabilidad del imputado, aunque no una ausencia total de la misma, por lo que procede aplicar el citado articulo 45. 5 de la LOPD procediendo imponer a dicha empresa una sanción de 6000 euros.
Si tenemos en cuenta la redacción del punto sexto de los Hechos Probados:
El 2 de marzo de 2009, se emite propuesta de resolución por la Instructora del procedimiento en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Oyonarte Inmobiliaria, S.L. con dos multas de 60.101,21 € cada una, por las infracciones del artículo 9 y 10 de la LOPD, tipificadas como graves en el artículo 44.3.h) y 44.3.g) de dicha norma.
El desenlace de la Resolución queda bastante suavizado:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad OYONARTE INMOBILIARIA, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.
De lo que no hay mucha noticia es de los aspectos documentales de la LOPD. Me quedo con la duda sobre la existencia del Documento de Seguridad, sobre si el empleado que se llevaba el trabajo a casa era norma o excepción y si se registraban estas salidas de soportes informáticos, sobre la formación e información recibida por los empleados de la compañía, etc.