23 de septiembre de 2009

Actuando de buena fe

El procedimiento sancionador PS/00683/2008, instruido por la Agencia Española de Protección de Datos, se incia tras el escrito presentado por DÑA. M.M.M., en el que denuncia a la entidad Auto Plus Fleet Services, S.L. (en lo sucesivo AUTOPLUS FLEET), por tratar automatizadamente datos de carácter personal relativos a infracciones administrativas de tráfico y circulación de los ciudadanos, obtenidos de Boletines Oficiales estatales, provinciales y autonómicos. Asimismo, añade que dicha información puede ser consultada por cualquier ciudadano desde la página www…X… y que dicha entidad cruza el citado fichero con listas blancas de particulares para la realización de campañas de telemarketing y captación de clientes, cediendo para ello los ficheros a la empresa Axesor y a plataformas de telemarketing.

Se trataría de una infracción del artículo 7.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.

Tras la oportuna inspección, la empresa denunciada alegó que
No cuenta con un conjunto de datos de carácter personal sobre infracciones penales o administrativas organizados bajo ningún criterio, sino con un conjunto de ejemplares de Boletines Oficiales almacenados en formato digital, formato original en el que son publicados por sus respectivas fuentes, sobre los que cabe aplicar criterios de búsqueda de palabras porque así lo permite el formato en el que éstos se descargan de sus páginas web oficiales. De modo que en ningún momento ha incluido en ficheros de su propiedad datos relativos a la comisión de infracciones penales o administrativas.
Asimismo, alega que no tiene la consideración de responsable del fichero, puesto que no decide la finalidad y contenido de los Boletines Oficiales que almacena, ya que únicamente puede disponer sobre el uso que de la información que se proporciona en los mismos sin agregar datos adicionales, de modo que no puede considerársele responsable de un fichero sobre infracciones administrativas. Además, los Boletines Oficiales tienen la consideración expresa de fuentes accesibles al público, según se establece en el artículo 3, apartado j) de la LOPD, por lo que su consulta puede ser realizada por cualquier persona.
Ha actuado en todo momento de buena fe, cumpliendo con la normativa vigente en materia de protección de datos y con la convicción de que sus actuaciones eran conforme a derecho, con los ficheros de su titularidad debidamente inscritos en el Registro General de Protección de Datos, con el preceptivo documento de seguridad y con los correspondientes contratos de encargado del tratamiento exigidos por el artículo 12 de la LOPD con todos los prestadores de servicios que tienen acceso a datos personales de los que es responsable. Asimismo, consta que AUTOPLUS FLEET registró de forma previa al inicio de sus actividades los ficheros de los que es responsable en el Registro General de Protección de Datos, y entre ellos el fichero denominado “Potenciales Clientes”, notificado el 04/07/2006. En la notificación efectuada de dicho fichero se comunicaba que el mismo incluía, entre otros, datos relativos a infracciones de tráfico con la finalidad de ofrecer información sobre la publicación de infracciones de tráfico y ofrecer sus servicios. Igualmente se indicaba que el origen de estos datos eran fuentes accesibles al público.
Esta última alegación, dando un valor de validación sobre la legalidad del contenido de un fichero a la mera aceptación de su alta administrativa en le Registro, creo que es la primera vez que la leo y en cualquier caso seguro que no es muy habitual. Pero funciona. En los Fundamentos de Derecho se desestiman las primeras alegaciones:
En primer lugar, debe indicarse que, respecto de los ficheros que contengan datos relativos a la comisión de infracciones penales o administrativas, el artículo 7.5 de la LOPD es terminante al establecer de modo taxativo que estos datos “sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”. En consecuencia, el tratamiento de estos datos por parte de una entidad de derecho privado como AUTOPLUS FLEET resulta contrario a lo establecido en la citada Ley Orgánica, quedando limitado a las Administraciones Públicas en el ejercicio de las atribuciones que tengan conferidas, es decir, a aquellos casos en que el órgano responsable del fichero sea titular de la competencia que legitime el tratamiento y, exclusivamente, cuando así lo establezca una norma con rango suficiente.
De ello se desprende que, aunque los datos se hubieran obtenido de fuentes accesibles al público, o se trate de datos que puedan ser accedidos por terceros cuando una Ley lo permita, el tratamiento inconsentido de tales datos se encuentra vedado a AUTOPLUS FLEET, dada su naturaleza jurídico-privada.
Sin embargo se admite que:
En consecuencia, resulta que AUTOPLUS FLEET ha tratado datos relativos a infracciones de tráfico en un fichero previamente notificado al Registro General de Protección de Datos, con detalle de su estructura, que contempla la recogida de dichos datos de fuentes accesibles al público, e inscrito de conformidad por la Agencia Española de Protección de Datos. Por tanto, cabe deducir que AUTOPLUS FLEET actuó en el convencimiento de que dicha actuación se ajusta a la normativa de protección de datos de carácter personal, en la presunción de legalidad de las actuaciones de la citada Agencia. En consecuencia, respecto de la infracción del artículo 7.5 de la LOPD, es de apreciar una ausencia de culpabilidad en la conducta mantenida por AUTOPLUS FLEET, en virtud del citado principio de confianza legítima.
Y así llega la rebaja en la sanción:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AUTOPLUS FLEET SERVICES, S.L., por una infracción del artículo 7.5 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 euros (seis mil euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

9 comentarios:

esalconsultores.net dijo...

Despues de leer con cuidado la resolucion solo se me ocurre una cosa... Bravo!! Si señor!! La defensa ha sido brillante y abre una puerta bastante peligrosa ante la Agencia de Proteccion de Datos. La responsabilidad que tiene la APD ante la inclusion practicamente automatica de los ficheros registrados. Si la APD autoriza un fichero, debe constatar que los parametros incluidos en el formulario son correctos y si no debe informar de esa circunstancia. Por cierto, si se reconoce falta de culpabilidad por la confianza legitima, porque se sanciona? He localizado la resolucion R/01469/2008 de archivo de actuaciones en una situacion en la que se invoca el mismo concepto. Porque ahora no?

Marketing Positivo dijo...

Esalconsultores: gracias Alejandro por el comentario, últimamente te echábamos de menos por aquí ;-)

Respecto a la Resolución, la verdad es que hace ya un tiempo que dejé de intentar ver la lógica en las sanciones, y si repasas los comentarios de Pit a los últimos posts... pues apaga y vámonos, como dice el clásico.

esalconsultores.net dijo...

Hola Jesus!!
Sigo leyendo, casi diria que con avidez, tus posts asi como los acertados comentarios de Pit o NFRMTC o cualquier otro de los participantes en el foro. El problema es que yo soy de Ciencias y lo que yo considero arbitrariedades en la aplicacion del 45.5 me descolocan completamente. Me suena haber leido un post de Roberto diciendo que no hay que confundir la logica con la Justicia si no recuerdo mal referido a la famosa lista Robinson. Todavia estoy dandolo vueltas y tratando de digerirlo...
La verdad es que estoy bastante desilusionado con el funcionamiento de la AEPD y sigo pensando que es imprescindible la apertura de canales de comunicacion con la Agencia sea desde la APEP (que por cierto parece que se ha detenido un poco desde el impetu con el que se empezo) desde la DPI o desde donde sea.
En fin que siento el tocho y que estoy encantado de participar con mi modesta opinion en este foro.

Roberto García dijo...

Efectivamente amigo esalconsultores, mea culpa, es que yo sí soy de letras y peor aún ¡soy abogado! (¿quién me mandaría?) y desde luego confundir justicia (con minúsculas) con lógica es el peor error que se puede cometer ante cualquier tribunal.

Saludos a todos desde la capital de la niebla.

Anónimo dijo...

Me cuentan algunas de las razones por las que cada vez se hacen menos inspecciones y es para reir, por no llorar. ¿Han leido ustedes alguna vez el "chiste" de la regata entre un equipo japones y uno español? pues vean su aplicación practica:
Hace años, cuando a un inspector le asignaban una denuncia y consideraba que no podia ser investigada apropiadamente sin una inspección, solo tenia que pedir la autorización del director, e informar a un administrativo para que realizase los tramites de la comisión de servicio, compra de billetes, etc.
Pero el tiempo pasa, y se les exige que, ademas, rellenen un formulario para entregar al administrativo. Se incrementa la burocratización.
Sigue su evolución. Junto al formulario tienen que acompañar una copia de la denuncia (¡que ganas de gastar papel!).
Y sigue. Luego pasan a tener que pedir autorización a un controlador para pedir la autorización al director (¡una autorización para pedir una autorización!?¿, no entiendo nada ¿seré yo, o esto pinta de locos?)
Y todo promete que continuará.
¡Ahora entiendo porque, pese al aumento de denuncias, cada vez tengo que asistir a menos inspecciones!
Quien me lo contó ponia una cara de aburrimiento... y eso que lo conozco de hace años, y antes no era así. De esto tambien entiendo como es que los funcionarios se funcionarizan, los hacen así a base de aburirlos. Por eso tienen esas caras.
Pit.-

Mar Lboro dijo...

Cuando se confirma el alta de un fichero en el registro a través de la carta que recibe el responsable, allí está escrito que de este hecho no puede desprenderse el cumplimiento del resto de obligaciones de la LOPD, así que no entiendo porque esta confirmación se interpreta como una validación del contenido de dicho fichero.

Anónimo dijo...

HOLA he puesto mis datos en google y aparezco en axesor , esto es legal?que yo sepa no les he dado mi consentimiento, se puede denunciar ? ya que cualquiera puede ver que estoy de autonoma y donde.
gracias de antemano.

Marketing Positivo dijo...

Anónimo: si los datos son públicos (como los del Registro Mercantil), entonces no es necesario el consentimiento.

Anónimo dijo...

¿Y qué pasa con los falsos autónomos y los autónomos sin trabajadores y que no cuentan con un local? ¿Por qué todo quisqui tiene que conocer dónde se encuentran sus domicilios particulares? Mi hermano es un falso autónomo y aparece en Axesor donde pone que te facilitan la dirección de su casa y hasta el teléfono. ¿Esa información por qué es pública? ¿Dónde queda nuestro derecho a la intimidad?

Susana,
Muchas gracias y un saludo

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.