27 de octubre de 2009

El Corredor de Seguros y los datos de los asegurados

El Informe 0463/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), aborda el asunto del tratamiento de los datos que un corredor de seguros puede efectuar tras haber extinguido unilateralmente la relación con la entidad tomadora de seguros.

La Ley 26/2006 de Mediación de seguros y reaseguros privados, en su artículo 62 regula la condición de responsable o encargado del tratamiento, que tienen los agentes de seguro, o corredores:
1. c) Los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.
Por lo tanto en su condición de responsable del tratamiento, la AEPD indica que habiendo dejado de ostentar la condición de mediador de seguros, debe de proceder a cancelar la base de datos.

Por otro lado el artículo 63 de la Ley 26/2006 en sus apartados 3 y 4 señala que:
3. Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:
a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades de ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o reaseguradora con la que fuese a celebrarse el correspondiente contrato.
b) Después de celebrado el contrato de seguro, exclusivamente para ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley o a los fines previstos en su artículo 26.3. Para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las establecidas en las dos letras anteriores, los corredores de seguros deberán contar con el consentimiento de los interesados.
4. Resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de sus datos para otras finalidades y, en particular, para la celebración de un nuevo contrato. En todo caso, el corredor de seguros y el corredor de reaseguros no podrán facilitar los datos del interesado a otra entidad distinta de aquélla con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco para ello.
Y aquí es donde la AEPD da verdaderamente en el clavo de porqué a un corredor de seguros le conviene sin duda cumplir la LOPD más allá de las obligaciones mínimas inherentes a su situación empresarial (responsable del tratamiento) hasta convertirse en un responsable del fichero:
En virtud del contenido del mencionado artículo, debemos de señalar que la correduría de seguros, si hubiera obtenido con anterioridad a la rescisión de la relación contractual, legítimamente el consentimiento de los asegurados, podrá seguir tratando los datos, en los términos en los que autorizó cada asegurado.

21 de octubre de 2009

Lo poco que valen tus datos... y lo caros que pueden salir

D. B.B.B. (en adelante el denunciante) denunció ante la Agencia Española de Protección de Datos (AEPD) a las compañías DE´NOGAL y GUPOST, manifestando que haber recibido un envío de publicidad no solicitada en su domicilio, conteniendo sus datos personales sin que haya existido ningún tipo de relación comercial previa. También, añadió que no figura la fuente de obtención de sus datos ni el contacto para poder hacer uso de sus derechos en cuanto al tratamiento de sus datos personales (cancelación, oposición, etc.).

La historia sobre de dónde habían sacado sus datos y cómo habían llegado hasta la empresa emisora es de lo más rocambolesca, y detalle más o menos, se resume así:
  • La entidad Arvato Services Iberia S.A., en virtud de acuerdo de distribución, le proporciona a Informa D & B, un fichero de base de datos de personales para marketing, en dicho fichero se encuentran los datos personales del denunciante, habiéndose acreditado su obtención de una fuente de acceso público (la Guía QDQ).
  • Informa D & B procedió a facilitar a GRUPO LIDER unos ficheros de marketing entre los que se encontraban el fichero que contenía los datos personales del denunciante.
  • GRUPO LIDER y GRUPO LINCE ASPRONA S.L.U (en adelante GRLAP) formalizaron un contrato de prestación de servicios para la realización de servicios de publicidad directa. En virtud del mencionado contrato, GRUPO LIDER facilitaba a GRLAP una base de datos, para la realización del envío publicitario, así como el texto comercial a incluir, y el formato del sobre a remitir en la campaña.
  • GRLAP no intervino en la creación, diseño o redacción del contenido de la comunicación comercial facilitada por GRUPO LÍDER, siguiendo las instrucciones recibidas de esta empresa, tampoco ha participado ni en el diseño de parámetros de la base de datos facilitada ni en la elaboración de la misma.
  • Como consecuencia de las relaciones jurídicas anteriormente referenciadas, el denunciante, recibió un envío comercial de la entidad DE`NOGAL en cuyo sobre consta su nombre, apellidos y domicilio “(C/.....................)”, también figura como empresa que realizó el franqueo “GUPOST”, fecha “9.5.08” y como remitente “de´nogal parking hipercor la flecha (.........)”. En el interior del citado sobre figuraba un documento publicitario –carta-descuento- de muebles “de´nogal.
  • En el envío publicitario recibido por el denunciante, en el que se tratan sus datos personales no consta información relativa al origen de sus datos ni la información relativa al ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.
Basándose en estos hechos probados, la AEPD acordó iniciar el Procedimiento Nº PS/00224/2009 a GRUPO LIDER DE COMPRAS, S.L. por la presunta infracción del artículo 5 en relación con el 30.2 de la LOPD, tipificada como GRAVE en el artículo 44.3 l) de la citada Ley Orgánica.

Las alegaciones de Grupo Líder resultaron ser de lo más variopintas, intentando cargar toda la responsabilidad sobre Informa e indicando que Avanto era el verdadero responsable del fichero, que dio determinadas instrucciones para su uso a Informa y que ésta último incumplió sus obligaciones al no informar a Grupo Líder de estas instrucciones (pags 5 a 7 del procedimiento).

La AEPD responde tajante en los Fundamentos de Derecho:
GRUPO LIDER DE COMPRAS S.L., (en adelante GRUPO LIDER), es de conformidad con las definiciones responsable del fichero y del tratamiento. Del fichero en tanto que lo adquirió de Informa D & B, de conformidad con las manifestaciones obrantes en el expediente y las facturas emitidas por ésta cuyo concepto consta “Base de Datos de Marketing”, (Folios 128 a 130). Responsable del tratamiento, en tanto que fija los parámetros de la campaña y contrato con GRUPO LINCE ASPRONA S.L.U. (en adelante GPLA), para la realización de servicios de prospección comercial, para lo cual GRUPO LIDER dio las instrucciones precisas, y en definitiva decidió sobre la finalidad, contenido y uso del tratamiento.
(...)
En definitiva, la representación de GRUPO LIDER pretende descargar la responsabilidad de su actuación en otras entidades que participaron en el itering relativo a la realización de la campaña publicitaria, de la que sale el envío objeto de discusión en el presente procedimiento.
Pues bien, admitiendo la interpretación de GRUPO LIDER, se estaría abonando zonas de impunidad en lo referente al tratamiento de datos personales, es decir, no se puede, al socaire de un incumplimiento de un contrato privado, dejar de observar los mandatos que la LOPD impone. Cualquier persona física o jurídica que intervenga en el tratamiento de datos personales ha de observar las prescripciones de la LOPD, y en el presente caso, GRUPO LIDER se constituye en responsable del tratamiento de conformidad con el art. 43 LOPD y lo expuesto en el Fundamento de Derecho anterior, y por tanto susceptible de generar responsabilidad por incumplimiento de la LOPD.
Pero es que además en el contrato entre Grupo Líder y GRLAP se especificaba:
“En consecuencia, corresponderá a la entidad LIDER DE COMPRAS, en su condición de titular y responsable del fichero o ficheros que pudieren ser objeto de tratamiento por parte de LINCE GUPOST, observar y cumplimentar cuantas obligaciones pudieren venir impuestas por la normativa legal.
Especialmente, y sin que ello tenga carácter exhaustivo, la entidad LIDER DE COMPRAS deberá cumplimentar o haber cumplimentado, por si misma, las obligaciones establecidas en la vigente Ley Orgánica 15/1999 en relación con la recogida de datos informaciones a facilitara los afectados, cumplimentación de los derechos de los mismos y formalización de las notificaciones que puedan proceder a la Agencia de Proteccion de Datos.”
Todo este enredo y trasvase de datos entre varias empresas no anula el hecho de los datos fueron obtenido de una fuente de acceso público (guía QDQ), pero la denuncia deja la descubierto que en el envío no se cumplían las obligaciones señaladas en el artículo 30.2 de la LOPD:
Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

Grupo Líder solicita también la aplicación del artículo 45.5 de la LOPD con el fin de reducir la posible sanción, pero tampoco lo consigue:
GRUPO LIDER solicita la aplicación del citado precepto, sin embargo no procede dicha aplicación, ya que pretende escudar el incumplimiento en que Informa no le suministró la información necesaria para el cumplimiento de la LOPD ( Págs. 4 a 6 de las alegaciones de GRUPO LIDER), afirmación en modo alguno se puede admitir.
GRUPO LIDER no ha mostrado un celo y diligencia, que debe ser de notable entidad en atención a su actividad mercantil de la que se infiere un continuo tratamiento de datos personales, al establecer ninguna previsión relativa a la información que debían ofrecer sus envíos publicitarios (...)
Un detalle que me ha llamado la atención es que en el procedimiento se especifica el tamaño de la base de datos vendida (un fichero con 9.935 registros que contenía Profesionales y Personas Físicas y otro de 1.779 registros), así como el precio facturado (1.502,47€), lo cual resulta en un precio de 13 céntimos de euro por cada registro. Y sin embargo el mal uso de los datos lleva a esta consecuencia:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GRUPO LIDER DE COMPRAS S.L., por una infracción del artículo 5 relacionado con el artículo 30.2, ambos de la LOPD, tipificada como grave en el artículo 44.3 l) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

14 de octubre de 2009

Informe Jurídico sobre la huella dactilar (y otros datos biométricos)

Hace unos días comentaba en el blog Marketing Positivo la Declaración de Infracción de la AEPD sobre la puesta en marcha por parte de un Museo público de un sistema de control de presencia de trabajadores basado en la huella dactilar. La AEPD sancionaba tal práctica sin entrar demasiado en el fondo del asunto, puesto que desde el incio quedaba claro que faltaba la pieza básica del cumplimiento de la LOPD: el consentimiento para el uso de datos personales, ya que tales datos habían sido recogidos sin haber procedido a informar previamente, de forma expresa, precisa e inequívoca, de ninguno de los extremos previstos en el artículo 5.1 de la LOPD.

Sin embargo uno de los habituales del blog comentaba:
¿Porqué no se entra nunca en la información excesiva?, ¿la huella no es información excesiva para prevenir una cosa tan nimia como un control de presencia?, ¿no hay técnicas eficaces y menos invasivas? ¿Los tornos y los vigilantes de seguridad no son suficientes? ¿cuando es suficiente? ¿tendras las empresas "información suficiente" alguna vez?
Aunque esto podría parecer un asunto alejado de la problemática de los profesionales y pequeñas empresas a quienes preferentemente se dirige este blog, resulta que el dueño de un taller mediano (15 empleados) me comenta que le han ofrecido montarle un sistema de control similar al comentado y ya que le ha parecido relativamente económico quiere saber si le puede dar problemas desde la perspectiva LOPD.

Como siempre que se da asesoramiento de tipo jurídico hay que extremar las precauciones, acudimos a la web de la AEPD por ver si entre sus miles de documentos hay más referencias al asunto, y así encontramos el Informe Jurídico 0368/2006. En este caso se respondía la cuestión de si puede establecerse un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos.

Primero se define el concepto de dato biométrico:
Son datos biométricos aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.
Después se cita documentación europea:
A nuestro juicio, tal y como se ha venido indicando por el Grupo de trabajo creado por el artículo 29 de la Directiva 95/46/CE, en el Documento de Trabajo sobre biometría, de fecha 1 agosto de 2003, la obtención de la huella dactilar como medio para identificar a los alumnos en el centro resulta excesivo y desproporcionado, para dicha finalidad.
Y finalmente se declara:
En consecuencia, entendemos que resulta desproporcionado y por ello contrario a lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999 antes citado, la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos.
¿Aplicación a una empresa en control de trabajadores? Aunque en el Informe no se trate el tema desde la perspectiva empresarial, entiendo que a falta de otro documento se puede traspasar el concepto y aconsejar tal y como se dice en el texto buscar un medio de control menos intrusivo.

8 de octubre de 2009

Ni se te ocurra enviar un spam a D. S.S.S.

Hace ya más de un año comenté aquí una sanción de las muchas que se dan por vulneración de la LSSI al realizar envíos comerciales no solicitados (spam) por correo electrónico, que tenía la peculiaridad de que el receptor denunciante había incluído un aviso en su web dejando las cosas bien claras:
ADVERTENCIA: En ningún caso la publicación de estos datos de contacto significa el consentimiento a recibir comunicaciones comerciales no solicitadas. Cualquier comunicación de este tipo recibida por correo electrónico es un delito tipificado por la LSSI y será denunciada ante la Agencia de Protección de Datos a efectos de abrir expediente sancionador, pudiendo resultar en sanciones de hasta 601.012,10 euros. Así mismo queda expresamente prohibido incorporar esta información en cualquier tipo de fichero informatizado sin el consentimiento previo de On-Line Services 2000, SL.
En aquel caso citado el denunciado había hecho caso omiso de tal advertencia y su acción terminó siendo sancionada con 600€.

Quizás con el fin de que no se sintiera sólo, quizás por una súbita epidemia de ceguera, o quizás simplemente porque buena parte de las empresas de email marketing (y el resto) manejan habitualmente la LOPD y la LSSI a beneficio de inventario, el caso es que On-Line Services y su responsable D. S.S.S.(probablemente como casi todos) sigue recibiendo spam... y además (a diferencia de casi todos) lo sigue denunciando. Y para muestra, no un botón, sino una buena y reciente colección:
  • En el procedimiento sancionador PS/00023/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad COCINEROS INFO COOKING SERVICES, S.L., vista la denuncia presentada por D. S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad COCINEROS INFO COOKING SERVICES, S.L., por una infracción del artículo 21.2 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
  • En el procedimiento sancionador PS/00232/2009, instruido por la AEPD a C.C.C., vista la denuncia presentada por S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a C.C.C., por una infracción del artículo 21 de la LSSI, apartado 1 y segundo párrafo del apartado 2 del mismo, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
  • En el procedimiento sancionador PS/00060/2009, instruido por la AEPD a la entidad GRUPO KREA 2000 COM NETWORK, S.L., vista la denuncia presentada por D. S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad GRUPO KREA 2000 COM NETWORK, S.L., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
  • En el procedimiento sancionador PS/00585/2008, instruido por la AEPD a la entidad GREEN TAL S.A., vista la denuncia presentada por S.S.S. y en base a los siguientes, el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad GREEN TAL S.A., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.800 €, de conformidad con lo establecido en el artículo 39.1 de la citada LSSI, teniendo en cuenta los criterios que se recogen en el artículo 40 de la misma norma.
Ya podemos decir que D. S.S.S. supera a Estación de Servicio Islares como el máximo justiciero de la protección de datos.

1 de octubre de 2009

Test psicotécnicos y comunicación de datos al Comité de Disciplina Deportiva

Dos nuevos Informes Jurídicos de la Agencia Española de Protección de Datos (AEPD) sobre datos de salud y el ámbito deportivo.
  • En el Informe 0414/2009, Comunicación de datos al Comité de Disciplina Deportiva, la consulta plantea si la comunicación de determinados datos relacionados con un expediente de disciplina deportiva resulta conforme con la LOPD. La AEPD aclara que siempre y cuando la información no se utilice para ningún otro fin, está entre las atribuciones legales de los Comités de Disciplina Deportiva recabar todos los datos necesarios para ejercer correctamente sus funciones investigadoras y sancionadoras.
  • En el Informe 0445/2009, La realización de test psicotécnicos implica el tratamiento de datos de salud, se analiza la actividad de una empresa que realiza evaluaciones psicotécnicas de aptitudes, características de personalidad y preferencias profesionales de los alumnos. Además de la obvia declaración del título, en el informe se aclara que podemos concluir que al tratarse de datos relacionados con la salud de los escolares, deberá contarse con su consentimiento expreso para que pueda procederse al tratamiento y tratándose de menores de edad, el artículo 13.1 del reglamento de desarrollo de la Ley Orgánica 15/1999 establece, como criterio general que “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores”.