25 de noviembre de 2010

Revisa los comprobantes antes de dar copia

El procedimiento sancionador PS/00094/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a una asociación de madres y padres de alumnos (AMPA) se inicia tras la denuncia de un padre que al solicitar el comprobante de un impago que el AMPA le reclamaba, recibió copia del justificante bancario en el que constaba no solo el impago a nombre de su hija, sino además otros a nombre de dos alumnos del mismo colegio, incluyendo en ambos casos el numero de cuenta corriente y el motivo de la devolución.

Tras recibir la notificación del acuerdo de inicio de procedimiento sancionador, la entidad AMPA alegó no haber vulnerado la LOPD, por cuanto había obtenido el consentimiento de los padres de los afectados para la cesión de sus datos en el marco de su actividad. Asimismo, reiteró las manifestaciones efectuadas a los servicios de inspección de la AEPD, señalando que la información se facilitó al denunciante para atender la petición que el mismo había formulado a la Asociación y que dicha información no se cedió para que el denunciante hiciera un uso indebido de la misma. Finalmente, resaltaron que los propios afectados, valorando la ausencia de mala fe en la actuación de la AMPA, no presentaron denuncia alguna.

La Agencia admite en los Fundamentos de Derecho que en el denunciante había solicitado ante la AMPA que acreditasen la devolución de recibos de la misma emitidos a su cargo, pero aclara que esta solicitud no justifica la entrega de datos de terceros que figuran en el documento entregado al denunciante por la entidad imputada, que estaba obligada a respetar la confidencialidad de esa información y debió articular otro medio para atender la solicitud del denunciante sin que ello implicara la revelación de datos personales de terceros.

En referencia a un posible consentimiento de los padres de los alumnos afectados, se afirma que el documento aportado no acredita fehacientemente la identidad de las personas que lo suscriben y, en cualquier caso, no se refieren a los datos de los alumnos afectados, sino de los propios firmantes. Además, dicho documento, que autoriza la cesión en el marco de la actividad de la Asociación, no justifica la revelación de datos denunciada, por cuanto la misma no resulta necesaria para el desarrollo de la actividad de la AMPA.

Por tanto ha quedado acreditado que AMPA, como responsable de la entrega al denunciante del comprobante de devolución de recibos objeto de la denuncia, informó al mismo sobre recibos impagados por otros alumnos distintos a su hija, resultando que la entidad AMPA no actuó con la diligencia debida al haber posibilitado que una tercera persona tuviese acceso a la información señalada, por lo que se vulnera el deber de secreto a tenor del artículo 10 de la LOPD.

El incumplimiento del deber de guardar secreto establecido en el artículo 10 de la LOPD constituye, por regla general, una infracción leve y sólo constituye una infracción grave en los casos específicamente enunciados en el artículo 44.3.g), es decir, cuando la vulneración del deber de guardar secreto afecte a “... los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”.

En este caso, la AEPD sostiene que los datos personales contenidos en el comprobante de devolución de recibos, en concreto respecto del nombre, primer apellido y número de cuenta bancaria de dos alumnos, no permiten realizar una evaluación de la personalidad de los mismos, por lo que la vulneración del artículo 10 debe ser tipificada como infracción leve.

Y así, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AMPA CEIP ANTON BUSQUETS I PUNSET, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

18 de noviembre de 2010

Sanciones por videovigilancia (5)

Quinta recopilación en este blog de sanciones de la Agencia Española de Protección de Datos (AEPD), por motivo de instalaciones de videovigilancia (aquí la primera, la segunda, la tercera y la cuarta).

Fecha - Nº Expediente - Artº Infringido - Sancionado - Importe

10 de noviembre de 2010

Más de tres es pecado grave

El procedimiento sancionador PS/00191/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L., se inició tras denuncia de A.A.A. por haber recibido cuatro correos electrónicos no solicitados con información comercial de la citada empresa.

Ya que las cuentas de correo emisoras pertenecían a dos dominios propiedad de la empresa, y a que su proveedor de hosting informó que las IP habían sido en las fechas indicadas asignadas a la misma, no parecía quedar mucha duda sobre la autoría, y aunque la denunciada aseguró en un primer recurso que "No han remitido ninguno de los correos electrónicos referidos en el escrito de denuncia", al no volver a presentar alegación alguna durante el resto de fases del proceso, éste continuó con la calificación de falta grave, según el artículo 38.3.c) de la LSSI:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L, por una infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo 38.3 c) de la LSSI, una multa de 30.001 € ( treinta mil un euro) de conformidad con lo establecido en el artículo 40 de la citada LSSI.

5 de noviembre de 2010

Tienes que dejar que se opongan (siempre)

Ya se vió en Cuestión de detalles la importancia que tiene cumplir con las exigencias del artículo 21.2 de la Ley de Servicios de la Sociedad de la Información (LSSI), que en su párrafo final indica:
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
En el procedimiento sancionador PS/00278/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad JET MULTIMEDIA ESPAÑA S.A., estamos en una situación similar, ya que la denunciada envió por SMS un mensaje con el texto "Publi: El telefono ####### ha sido seleccionado para poder ganar 3000 euros. Si quieres conseguirlos envía la palabra ORO al ### -1,5e/sms", y aunque la receptora y denunciante había sido con anterioridad cliente de la empresa y no se discute la legitimidad para el envío del SMS, la AEPD señala:
En el presente supuesto, ha quedado acreditado que el denunciante recibió en su teléfono nº ####### el mensaje de texto que aparece en el Hecho Probado I y IV y no incluía la posibilidad de oponerse al tratamiento de sus datos con fines comerciales, tal como exige el último apartado del art. 21.2 de la LSSI. Sin que den cumplimiento al mandato del precepto los medios alternativos y la información de la pagina Web del denunciado referente a su política de privacidad, pues el articulo es claro en su redacción a la hora de establecer cuando se ha de ofrecer dicho procedimiento de oposición: " ….tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija".
Y así por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad JET MULTIMEDIA ESPAÑA S.A., por una infracción del artículo 21.2 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa de 600 euros ( seis cientos euros) de conformidad con lo establecido en el artículo 39 de la citada LSSI.

31 de octubre de 2010

De hermano a hermano

El procedimiento sancionador PS/00110/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a las entidades PESCATRADE, S.A. y FRIO DE CANTABRIA, S.A. (FRICANSA), se inicia tras la entrada en la AEPD de un escrito de D. A.A.A. (en adelante el denunciante) en el que declaraba que FRICANSA presentó en un juicio un correo electrónico, con un curriculum suyo adjunto, que el mismo denunciante había enviado con anterioridad a PESCATRADE, en solicitud de un puesto de trabajo.

Las empresas denunciadas alegaron que,
PESCATRADE es una empresa cántabra cuya actividad es la pesca, importación y venta de productos del mar. No dispone de camiones propios de distribución. Su gerente es el Sr. B.B.B.
FRICANSA es otra empresa cántabra de actividad la distribución de productos del mar, principalmente mediante camiones propios. Su gerente es el Sr. C.C.C., hermano del anterior.
Ambas compañías, de actividades complementarias, y que cuentan con una relación comercial desde hace años, además forman parte de un grupo empresarial, en el cual el Sr. B.B.B. es dueño de PESCATRADE y además es socio al 50% de FRICANSA. Es en el seno de este grupo empresarial en el que se produce la puesta en común del email de referencia, de gerente a gerente. Por tanto, no ha salido de este ámbito en ningún momento.

Asímismo añadieron que la cesión de datos personales “se realiza dentro de de un procedimiento judicial por despido”, que “se han cedido los datos dentro del marco contractual de las relaciones empresariales de un mismo grupo y en ejercicio del derecho de defensa” y que se produce la “puesta en común” de sus datos personales con el objetivo “del mejor ejercicio de su derecho a tutela judicial efectiva”.

La AEPD indica claramente que,
Los hechos expuestos llevan a concluir que la entidad PESCATRADE, S.A. recibió el C.V. del denunciante y lo facilitó a la entidad FRICANSA sin consentimiento del titular de los datos personales contenidos en el mencionado documento.

Reiterando además que ya en el juicio en el que pareció el citado curriculum, la defensa de denunciante presentó un escrito en el que se puede leer de manera literal:
“Que por medio del presente escrito vengo a interesar TESTIMONIO DE PARTICULARES referido los documentos que bajo los números 10 (folio 271) y 11 (folios 272 a 274) aportó la representación procesal de la demandada en el acto del juicio como prueba documental, por precisarlo para ejercer la acciones legales oportunas en relación con el derecho a la intimidad de datos personales, toda vez que los citados documentos consisten en un correo electrónico enviado por mi representado a un tercero ajeno al procedimiento y que obraba en poder de la empresa demandada sin ningún tipo de autorización del acto.”

Y a pesar de encontrar ciertos atenuantes, dado el carácter grave y muy grave de las vulneraciones,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad PESCATRADE, S.A. una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo 11 de la LOPD, tipificada como grave en el artículo 44.4.b) de dicha norma y de conformidad con lo establecido en el artículo 45.2, 3 y 5 de esa misma Ley Orgánica.
SEGUNDO: IMPONER a la entidad FRIO DE CANTABRIA, S.A. (FRICANSA) una multa de 6.000 € (seis mil euros) por la infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma y de conformidad con lo establecido en el artículo 45.1, 2 y 5 de esa misma Ley Orgánica.
Sobre este error de compartir datos entre empresas que tienen algún tipo de relación hay más información en el blog Ayuda Ley Protección Datos:

22 de octubre de 2010

No se ha obtenido constancia

El procedimiento sancionador PS/00282/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad TIEMPO BBDO, S.A. DE PUBLICIDAD, es un clásico ejemplo, (como otros ya tratados aquí anteriormente) de error en el envío de un correo electrónico a varios destinatarios, al colocar todas las direcciones de forma que los receptores ven el mail del resto, en vez de usando la casilla CCO (con copia oculta).

La compañía admitió el error afirmando que:
La colocación de las direcciones de correo en el campo CC, en lugar del campo CCO -como tendría que haber sido- se debió exclusivamente a un error humano, puntual y no deseado (...)
ya que en su Documento de Seguridad se reflejaba de forma expresa que:
En caso de tener que enviar correos electrónicos a más de un destinatario a la vez, es obligatorio utilizar la opción de copia oculta (CCO). En caso de duda sobre dicha funcionalidad, puede consultarse con su Responsable de Área o Departamento (...)

La AEPD indica que teniendo en cuenta los criterios de graduación de las sanciones recogidos en el artículo 45.4 de la LOPD y, en especial, la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento, procede la imposición de la sanción en su cuantía mínima, y por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad TIEMPO BBDO, S.A. DE PUBLICIDAD, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Sin embargo lo que me ha llamado la atención de esta Resolución es que dentro del proceso de investigación, se indica:
(...) se prevé la utilización del fichero “CONSUMIDORES WRIGLEY” (de cuya inscripción con tal nombre en el Registro General de Protección de Datos no se ha obtenido constancia)
lo cual es una evidente irregularidad sancionable, y sin embargo el asunto no se vuelve a mentar durante los folios siguientes, sencillamente se evapora.

Y recordemos que la AEPD no necesita de denuncia alguna para iniciar un procedimiento, es legalmente competente para inciarlo cuando le parezca oportuno. Se ve que no era el caso.

14 de octubre de 2010

A la segunda la vencida... y puede haber tercera

El procedimiento sancionador PS/00172/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad CASUARINA BEACH, S.L. (DORSIA CLÍNICA DE ESTÉTICA), se inició tras el incumplimiento por parte de la clínica de la resolución R/2270/2009, en la que se le instaba a que en el plazo de diez días procediera a facilitar el acceso completo a su historia clínica a la persona física denunciante.

La clínica había enviado un burofax a la denunciante listando una serie de documentos (“Contratos, Consentimiento informado, Evolución médica, Evolución post-quirúrgica, Análisis”), pero sin que estos estuvieran realmente incorporados al mensaje, figurando tanto en la carátula del Burofax, como en el documento de tramitación de envío de Correos, el hecho de que la comunicación constaba únicamente de un documento, excluyendo la carátula.

Tras notificar fehacientemente el Acuerdo de Inicio a la denunciada, y transcurrido el plazo concedido para formular alegaciones sin que se hayan recibido las mismas, el citado acuerdo se considera propuesta de resolución.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CASUARINA BEACH, S.L. (DORSIA CLÍNICA DE ESTÉTICA), por una infracción del artículo 15 de la LOPD, tipificada como grave en el artículo 44.3.e) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Y, además en cualquier caso:
SEGUNDO: INSTAR a CASUARINA BEACH, S.L. (DORSIA CLÍNICA DE ESTÉTICA), a facilitar, en el plazo de diez días desde la notificación de la presente resolución, el acceso a la afectada, de la historia clínica completa que ha venido solicitando, apercibiéndose de que en caso de no realizarse se podrá entender que concurren las causas necesarias para iniciar un procedimiento sancionador al estar incurso en el supuesto tipificado como muy grave en el artículo 44.4.h) de la LOPD.

17 de septiembre de 2010

A vueltas con las cuentas de los vecinos

El procedimiento sancionador PS/00216/2009, instruido por la Agencia Española de Protección de Datos (AEPD), se inició a raíz de la entrada en la AEPD de una denuncia en la que se señalaba que los administradores de fincas R & O DEL CASTILLO SLL entregaron a los propietarios que asistieron a una Junta de Propietarios, junto con las cuentas de la Comunidad, listados con los nombres y apellidos y los códigos completos de las cuentas bancarias de los propietarios que tienen domiciliado el abono de la cuota a la Comunidad.

El denunciante manifestó que
se entregaron a todos los propietarios que asistieron a la reunión unas hojas de información sobre las cuentas de la comunidad, entre esas hojas pusieron 6 hojas con los nombres, apellidos y los códigos de cuenta cliente.

El administrador alegó que se trataba de un documento contable que no incluía datos personales y que la única finalidad de la inclusión del documento en el dossier era que los propios comuneros pudieran entre otros comprobar directamente con copia de los documentos que la contabilidad de la comunidad, ante posibles dudas al respecto y así verificar especialmente las cuentas bancarias y los importes de comunidad que se venían percibiendo mensualmente, y más especialmente cuando se venía realizando una labor de insistencia en el pago y en la domiciliación de los pagos para una mejor gestión y una liquidez oportuna.

Sin embargo, una vez recibida la notificación de inicio del procedimiento, presenta nuevas alegaciones en las que:
Reconoce la responsabilidad en la comisión de la infracción, solicita que se apliquen las “reducciones” sobre el importe de la sanción, y se imponga la mínima, al no haberse causado daño, perjuicio, ni existir intencionalidad y no haberse incumplido advertencia alguna ni se ha dado alguna circunstancia que pudiera agravar los hechos, siendo un error consistente en incluir en un dossier de documentación, copia de un documento contable.

Pero no satisfechos con este primer cambio de postura (de "no incluye datos personales" a "reconoce la responsabilidad"), cuando reciben la propuesta de resolución (6.000€) por la infracción del artículo 10 de la LOPD, tipificada como leve, vuelven a presentar alegaciones en las que, primero
No reconoce la responsabilidad porque creía que la sanción que se impondría sería la mínima, y al recibir una propuesta con una cantidad mas elevada rechaza la comisión de la infracción.
y además exponen una batería de argumentos como la insistencia de que se trataba de documentos contables, que la documentación había sido verificada previamente por la Junta de Gobierno, y cita varios informes de la propia AEPD referentes a información compartida entre vecinos.

En los Fundamentos de Derecho, la AEPD explica:
No tiene nada que ver que a un documento se le identifique como contable para que pueda contener datos de carácter personal, como es el presente supuesto, en el que la relación de domiciliatiarios entregados al banco puede denominarse como se quiera, pero su contenido es referente a protección de datos de carácter personal, por cuanto quedan identificados titulares o propietarios con sus cuentas personales utilizadas para abonar los recibos a la Comunidad.
La Administradora puede entregar dossieres de personas que tienen domiciliado el pago en banco, incluso copia de las cantidades y fechas en que se abonan, pero no en este caso del número de cuenta bancaria, que no es un elemento común que deba ser compartido.

Por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a R & O DEL CASTILLO, SLL, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

22 de julio de 2010

El Tribunal Supremo confirma una sanción de 300.000€ por tirar expedientes médicos a la basura

En marzo del 2005 la Agencia Española de Protección de Datos (AEPD) dictó la Resolución PS-00144-2004 en la que resolvía:
Imponer a la SOCIEDAD TOCOGINECOLÓGICA DEL DR. (“C”), S.L. una multa de 300.506,05 € (trescientos mil quinientos seis euros con cinco céntimos) por la infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como muy grave en el artículo 44.4 g) de dicha norma.
Los hechos que habían motivado la sanción fueron el abandono en un contenedor de más de cien expedientes médicos con datos de carácter personal.

Ahora el Tribunal Supremo ha confirmado la sanción validando a su vez la resolución que en enero de 2007 dictó la Audiencia Nacional y que consideró adecuada la sanción impuesta a esta empresa.

La sociedad denunciada había alegado que la documentación fue arrojada al contenedor por un tercero, pero el Tribunal Supremo recuerda que esta persona era un empleado administrativo, "lo que excluye esa calificación de tercero y comporta la atribución de responsabilidad para la actora, sin que pueda, lógicamente y con seriedad, argumentar su falta de conocimiento de los hechos imputados con vulneración del principio de responsabilidad".

14 de julio de 2010

Te envío la sentencia por email

El procedimiento sancionador PS/00652/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la asociación Liga Reumatológica Asturiana (en lo sucesivo LRA), se inicia a raíz de la denuncia de D. H.H.H. (en lo sucesivo el denunciante), que manifiesta la vulneración de sus derechos que resulta del envío de un correo electrónico, dirigido a nueve destinatarios, al que se adjuntó copia en formato “pdf” de una Resolución del Servicio de Salud del Principado de Asturias (en lo sucesivo SESPA), dictada en un expediente disciplinario seguido contra el denunciante por falta grave, en la que se contienen los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, los hechos que determinaron la apertura del expediente y su calificación jurídica, así como la sanción impuesta.

La entidad LRA entregó una larga lista de alegaciones, incluyendo la caducidad del procedimiento; la no aplicación de la normativa de protección de datos al presente supuesto, en el que los datos analizados no están contenidos en un fichero estructurado; la participación de la LAR en las actuaciones seguidas por el SESPA contra el denunciante a instancia de una persona asociada a aquella entidad; que los destinatarios del correo electrónico objeto de la denuncia fueron exclusivamente los médicos integrantes del Comité Científico de la LRA; que los datos contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) aparecen en diversas páginas Web, que tienen la consideración de fuentes de acceso público, y en algunas listas de profesionales, como la “Guía Médica de Asturias” accesible a través de la Web del Diario “El Comercio”. Añadió que los datos no se realizó una difusión de los datos del denunciante, sino que fueron trasladados de forma restringida,

La AEPD comienza por indicar la primera vulneración de la LOPD por parte de LRA:
(...) no ha acreditado disponer del preceptivo consentimiento prestado al efecto por el titular de los datos.
Este hecho supone un tratamiento de datos de carácter personal sin consentimiento del afectado.
Por tanto, al no concurrir ninguno de los supuestos del artículo 6.2 de la LOPD que permiten excepcionar la obtención del consentimiento para el tratamiento de datos, se concluye que la actuación de la LRA constituye una vulneración al repetido articulo 6.1 de la LOPD.

Acerca de la alegación sobre la condición de parte interesada en el proceso:
(...) no cabe admitir que el acceso a los datos personales del denunciante por parte de la citada Asociación se justifique por la participación de la misma en el procedimiento disciplinario instruido por el SESPA. La solicitud de asesoramiento que el SESPA realizó al Comité Científico de la LRA, así como la condición de asociada -no acreditada- de una de las reclamantes en ese expediente, sin que se hubiese otorgado representación alguna a la Asociación, no convierte a ésta en parte del mismo.

Sobre el intento de LAR de que no se considere los datos parte de un fichero:
Asimismo, la entidad imputada señala que los hechos analizados están excluidos del ámbito de aplicación de la LOPD, que exige que los datos personales se encuentren contenidos en un archivo estructurado. A este respecto, en un supuesto similar la Audiencia Nacional ha declarado que “el tratamiento de los datos del denunciante está automatizado toda vez que tal información se difunde vía correo electrónico con un enlace o link al que tiene acceso la totalidad de la plantilla, resultando indiferente que la información sea o no difundida en una página web, pues vía Intranet era accesible, como ya hemos indicado, a la totalidad de la plantilla. Así, no puede limitarse la protección que regula el tratamiento del dato a la existencia de un fichero estructurado cuando tal tratamiento se efectúa, al menos en parte, de manera automatizada” (SAN de 11/03/2010).

Sobre la difusión de los datos del denunciado en internet:
Finalmente, señala la entidad LRA que los datos del denunciante contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) gozan de una amplia difusión en la red y han sido publicados por el propio denunciante, y que esto debe entenderse como una “actitud de consentimiento”. Sin embargo, no es cierto que todos los datos personales que figuran en la citada Resolución del SESPA, como son el DNI y las circunstancias relativas a la infracción sancionada, se encuentren divulgados en las distintas páginas Web aportadas por la Asociación. En cualquier caso, debe añadirse que una página web no tiene la consideración de fuente accesible al público, conforme a lo establecido en el artículo 3.j) de la LOPD.

Y por lo tanto, segunda infracción:
En el caso que nos ocupa, ha quedado acreditado que LRA remitió a terceros un documento en el que figuran los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, así como las circunstancias correspondientes al procedimiento disciplinario seguido contra el mismo, con indicación de la infracción declarada y la sanción impuesta. Esta información no puede ser facilitada a terceros, salvo consentimiento del denunciante o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso.

En estas circunstancias se comprueba que un mismo hecho, acceder a los datos del denunciante contenidos en la Resolución del SESPA y remitir ésta mediante un correo electrónico dirigido a diversos destinatarios, da lugar a las dos infracciones reseñadas, dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Por lo tanto procede subsumir ambas infracciones en una, y dado que, en este caso, ambas infracciones están tipificadas como graves, la AEPD considera que procede imputar únicamente la infracción del artículo 6.1 de la LOPD.

Esta consideración resulta extremadamente ventajosa para la parte denunciada, ya que la LOPD califica como leve, grave o muy grave la infracción del artículo 10, dependiendo del contenido de la información que ha sido indebidamente facilitada a terceros, y no de la mayor o menor difusión de los datos que, en todo caso, debería considerarse a efectos de graduar la sanción que pudiera imponerse. Ya que en el presente asunto nos encontramos con datos referentes a la comisión de una infracción administrativa, nivel medio, el supuesto a aplicar sería el de infracción grave, con una sanción mínima de 60.000 euros.

Sin embargo, a la hora de valorar la infracción del artículo 6.1, la "vencedora" del conflicto jurídico, no entra en consideración esta tipología de los datos, y la Agencia encuentra además eximentes a la hora de graduar la sanción:
En el presente procedimiento, atendidas las circunstancias expuestas, y, especialmente, que la entidad LRA estimó que actuaba en el marco de las finalidades específicas de la Asociación y que la información contenida en la Resolución dictada por el SESPA contra el denunciante resultaba de interés para el desarrollo de su actividad y de la correspondiente a su Comité Científico, cabe apreciar una disminución cualificada de la culpabilidad en los hechos imputados, por lo que procede aplicar lo dispuesto en el citado artículo 45.5 de la LOPD con imposición de una sanción según la escala correspondiente a las infracciones leves.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 euros (mil quinientos euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

7 de julio de 2010

Aparezco, facturo, desaparezco

El procedimiento sancionador PS/00478/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ARBALEX CONSULTING JURIDICO, S.L. (en adelante ARBALEX), se inició tras la denuncia presentada por D. A.A.A. y D. B.B.B. (en adelante los denunciantes) en la que manifestaban que se giró contra su cuenta bancaria un recibo por importe de 111,36 € emitido por ARBALEX con quien no habían contratado ningún servicio ni tenían ninguna relación contractual así como no le habían facilitado número de cuenta bancaria.

En la inspección realizada en las instalaciones de la empresa denunciada se constató que ofrecía servicios de asesoría jurídica por medio de equipos de abogados independientes, por periodos de un año. Habían remitido una carta a potenciales clientes, cuyos datos fueron recabados de fuentes de acceso público, y también un formulario para recabar los datos personales de todos aquellos que desearan contratar dichos servicios. Posteriormente se contactó, de igual modo, pero telefónicamente, con los potenciales clientes para recabar los datos que figuraban en el formulario. Los datos que se recabaron en las llamadas fueron los que figuraban en el formulario y la información fue almacenada directamente en el ordenador, no contando la entidad con soporte documental que acreditase la voluntad de contratación de sus clientes. La entidad tuvo posteriormente un periodo de inactividad y tras instalarse en su nueva oficina comenzó a facturar a los clientes que habían contratado sus servicios y aportado sus datos personales en las llamadas telefónicas.

Obviamente no se podía demostrar ningún consentimiento, ni en este caso ni probablemente en el de ninguno de los clientes facturados por esta empresa, que además a partir del inicio del procedimiento sancionador desapareció de sus instalaciones, teniendo que proceder la AEPD a la notificación del Acuerdo de inicio a través del tablón de anuncios del Ayuntamiento de Málaga y del Boletín Oficial del Estado, sin que se recibiera recurso alguno dentro del plazo previsto por ley.

El dictamen de la AEPD en los Fundamentos de Derecho es claro:
En el presente caso, ARBALEX CONSULTING JURIDICO, S.L. ha tratado los datos personales de D. A.A.A. y D. B.B.B. sin su consentimiento, en concreto, los datos personales necesarios para emitir y cargar en cuenta un recibo, y ha conculcado el principio de consentimiento regulado en el artículo 6.1 de la LOPD que encuentra su tipificación en el artículo 44.3.d) de dicha norma.

Y por tanto
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ARBALEX CONSULTING JURIDICO, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

30 de junio de 2010

Me voy... y de paso me llevo el fichero

El procedimiento sancionador PS/00613/2009 se inició tras tener entrada en la Agencia Española de Protección de Datos (AEPD) una reclamación interpuesta por D. A.A.A., (el denunciante, en lo sucesivo) poniendo de manifiesto lo siguiente :
El día 24 de octubre recibió por correo un escrito de la empresa EPIDERMOS ofreciendo sus servicios, ignorando quien es, no habiendo estado en sus consultorios.
Jamás les ha facilitado sus señas ni autorización alguna para dirigirse a él.

En el repertorio de abonados a servicios telefónicos no aparecían los datos personales del denunciante, pero la empresa denunciada aseguró que sólo había realizado el mailing a pacientes de su consulta y aportó una copia de la ficha con los datos personales del denunciante, aunque éste volvió a asegurar que no había mantenido ninguna relación con la denunciada y en referencia a la actuación médica referida en la citada ficha: "con quien yo concerté dicho chequeo fue únicamente con el INSTITUTO DEXEUS, S.A."

Lo que en realidad había ocurrido era que Epidermos había prestado durante un tiempo un servicio de chequeos dermatológicos para Dexeus, tratando entre otros pacientes al denunciante. En este caso Epidermos sería desde el punto de vista de la LOPD un Encargado del Tratamiento, que sólo puede usar los datos según las indicaciones del Responsable del Fichero, y que al terminar la relación entre ambas compañías (2006) debería haber destruido o al menos bloqueado tales datos.

Así lo expresa la Resolución sus Fundamentos de Derecho:
La relación profesional entre el Dr. y Dexeus no habilita a aquel para la realización del tratamiento de datos personales de aquellos pacientes ad livitum. Pues de lo contrario se estaría abonando una zona de impunidad para aquellos “profesionales” que prestan sus servicios a una entidad, y utilizan los datos de los clientes de esa entidad, en beneficio propio, pues no se puede olvidar que “el responsable del fichero” tiene que tener el consentimiento del interesado para el tratamiento o acreditar circunstancia que lo dispense, y en el presente caso, el responsable del fichero en el año 1997, era DEXEUS y no las personas individuales que prestaban servicios en él.
(...)
EPIDERMOS S.L trató datos personales del denunciante, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos, por tanto la actuación de la denunciada no es incardinable en ningún supuesto a la excepción a la prestación del consentimiento que recoge el artículo 6.2 de la LOPD, considerando vulnerado dicho precepto.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad B.B.B.., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 12.000 € (doce mil euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

23 de junio de 2010

Con Copia ... a miles

Dos casos de sanciones por envío masivo de correos electrónicos con las direcciones al descubierto:
  • En el procedimiento sancionador PS/00553/2009 el Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a BANKINTER S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 2.000 €
  • En el procedimiento sancionador PS/00679/2009 El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad SÁNCHEZ ROMERO GRUPO INMOBILIARIO INMOBILIARIA S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 3.000 €
En ambos casos la dirección de correo electrónico del denunciante particular se había compartido con más de 2000 otros afectados al estar todas dentro de la sección "Con Copia" en un envío masivo, y a partir de la fecha de los hechos citados comenzó a recibir frecuentemente publicidad de otras empresas con las que anteriormente no había contactado.

La entidad Sánchez Romero no remitió escrito de alegación alguno frente al acuerdo de inicio del procedimento, mientras que Bankinter alegó que obedeció a un error humano involuntario y no intencionado, adjuntando una copia del Código de Ética Profesional, de obligado cumplimiento por todos sus empleados, en cuyo apartado 3.4 se establece el deber de diligencia con el que debe realizarse el tratamiento informático y comercial de los datos de los clientes.

16 de junio de 2010

Dando ejemplo

El procedimiento sancionador PS/00096/2010, instruido por la Agencia Española de Protección de Datos (AEPD), se incia vista la denuncia presentada por Don B.B.B. contra Doña A.A.A. por no tener inscritos los ficheros de datos personales de su despacho profesional de abogados, del que dice haber sido cliente.

Tras verificar en el Registro General de Protección de Datos que no constaban ficheros inscritos cuyo titular sea Doña A.A.A, se procedió a la notificación del acuerdo de inicio a la entidad denunciada, según consta en el acuse emitido por el Servicio de Correos, sin que Doña A.A.A. presentara alegaciones al respecto.

Y por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a Doña A.A.A., por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de de seiscientos un euros con un céntimo de euro (601,01 €) de conformidad con lo establecido en el artículo 44. 1 y 4 de la citada Ley Orgánica.

9 de junio de 2010

El mercadillo de los datos

Hace casi dos años ya nos preguntábamos en este blog ¿A quién le compra los datos D. T.T.T.?, en referencia a una sanción por envío de spam sobre una base de datos adquirida y pagada a una empresa, y ahora nos volvemos a encontrar un caso similar en el procedimiento sancionador PS/00075/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad A.A.A., vista la denuncia presentada por B.B.B., en la que afirmaba lo siguiente:
Recibió el día 11 de septiembre de 2009 en la dirección de correo <...@1...> correo comercial no solicitado de dubon-group@dubon-group.es.
No ha solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio.
No ha autorizado jamás a ningún tercero a solicitar o consentir el envío de comunicaciones comerciales en su nombre.
No mantiene ni ha mantenido relación comercial alguna con la entidad anunciante

El contenido de la comunicación electrónica era la comercialización de ropa laboral, regalos de empresa y elementos de proteccion individual, encontrando cabida en la definición recogida en el Anexo f), párrafo primero de la LSSI, es decir, se trata de todas las formas de comunicaciones destinadas a promocionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o profesional.

En respuesta a la solicitud de información realizada por el inspector actuante, Dña. A.A.A. remitió un escrito en el que manifestó, en referencia al envío del correo electrónico en cuestión, que:
El origen del dato de la dirección de correo electrónico es una base de datos adquirida a Dña C.C.C., residente en Argentina, el 25 de agosto de 2009.
El correo fue remitido como parte de una prueba y en la que se adjuntaba un enlace para poder darse de baja.
Al recibir llamadas de dos personas indicándole que necesitaba autorización previa para mandar los mensajes decidió no seguir con los envíos por lo que no hay más envío que el mencionado .
Ha contactado con el denunciante para disculparse y éste le ha indicado que no ha recibido más mensajes originados por ella.

Evidentemente ninguno de los puntos señalados en el escrito de la denunciada sirve como defensa, por lo que el Director de la AEPD RESUELVE:
PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa 600 € (seiscientos euros) de conformidad con lo establecido en el artículo 40 de la citada LSSI.

26 de mayo de 2010

Cuidado con los tablones de anuncios

Ya es de sobra conocido por lo frecuente el caso de comunidad de vecinos sancionada por la Agencia Española de Protección de Datos (AEPD) con motivo de haber expuesto en un tablón en el portal (es decir, en un espacio accesible a terceros) la condición de moroso de uno de los vecinos. Además sabemos que el hecho de colocar el citado cartel en una zona sólo accesible a los vecinos, no le exime del resto de requisitos de la protección de datos, como es por ejemplo la exactitud de los datos (véase De oca a oca, la sanción me toca).

Habíamos visto también en Un cartel desproporcionado que el asunto llegaba al mundo empresarial con una sanción por la colocación en un tablón de anuncios de un cuadro en el que se hacía una valoración subjetiva de los conocimientos y eficacia de cada trabajador, aunque sabemos que en determinadas circunstancias pude ser lícito publicar el TC2 en un tablón de anuncios.

En el procedimiento sancionador PS/00353/2009, instruido por la AEPD a JOHNSON CONTROLS AUTOBATERIAS, S.A. tras la denuncia presentada por trabajadores del Comité de empresa, vemos otros caso de denuncia por publicar en “tablones de anuncio de la empresa” una relación de trabajadores diaria que contiene la situación de la plantilla de personal detallando el motivo de la ausencia del trabajo, el nombre y apellidos y como motivo ”enfermedad”, “fecha de baja”, “P.sindical”, ”Vacaciones”, “Falta”.

Pese a las alegaciones de la empresa en el sentido de que tal información era necesaria para la optimización de los procesos de trabajo y de su legalidad en función de varias normativas laborales, la AEPD indica:
(...) el uso de datos de carácter personal, debe en primer lugar ir precedido de una información por parte de la empresa, y de una finalidad así prevista por los ficheros que albergan dichos datos, lo que en el presente caso no se da ni en uno ni en otro sentido. Es decir, ni consta que se informara a los trabajadores que se van a exponer listados con sus datos referentes a las ausencias, ni consta que esta sea la finalidad del fichero que recoge sus datos. (...) pues estar ausente por enfermedad, o por accidente o de permiso, no atañe mas que a su titular.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a JOHNSON CONTROLS AUTOBATERIAS, S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

19 de mayo de 2010

No te quedes con los datos

El procedimiento sancionador PS/00223/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad EXPERT EJECUTIVOS, S.A. (CORREDURIA DE SEGUROS), parte de la denuncia presentada por A.A.A. en el que declaró que firmó un contrato de prestación de servicios con EXPERT para la gestión de la cartera de clientes de su firma ESTUDIO INTEGRAL, decidiendo posteriormente EXPERT la rescisión del mismo comunicándolo a ESTUDIO. No obstante, siguió tratando los datos de los clientes de la cartera de esta ultima, vulnerando la normativa vigente en materia de protección de datos. ESTUDIO al tener conocimiento del tratamiento de sus clientes requirió a dicha empresa que procediera a la devolución de su base de datos de clientes y cesara en dicho tratamiento hecho que hasta el momento no se ha producido.

Siguiendo las obligaciones de la reglamentación en protección de datos, ambas entidades habían suscrito un contrato de tratamiento de datos, donde se especificaba que el encargado del tratamiento, es decir, EXPERT, se compormetía entre otras cláusulas a:
  • Destruir o devolver al Responsable de Fichero los datos de carácter personal objeto de tratamiento, una vez cumplida la prestación de servicios, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento.
  • Mantener el secreto de los datos que trate durante la prestación del servicio, conforme al artículo 10 de la LOPD. Esta obligación subsistirá aún después de finalizar la prestación del servicio.

D. A.A.A. se dirigió a EXPERT por escrito en varias ocasiones, solicitando la devolución de todos los datos, delimitando plazos y designando al nuevo encargado del tratamiento. EXPERT por su parte aseguró ante la inspección que conservaba los datos a efectos de atender obligaciones fiscales y las posibles consultas de los clientes. Sin embargo el propio D. A.A.A. recibió una comunicación de EXPERT en la que le reclamaba el pago de un recibo devuelto, a la que contestó por email:
Asunto: recibo devuelto
Me habéis mandado una carta a mi. No podéis intervenir en la gestión para nada, ni notificar ni cobrar ni NADA de NADA. Todo debe de ser a través de E.E.E. (Grupo Mayo). Lo tenéis prohibido.

En la Fundamentos de Derecho la AEPD explica:
En el presente caso, EXPERT ni destruyó ni devolvió al responsable del fichero los datos de carácter personal objeto de tratamiento, sino que conservó y continuó tratando los datos que le habían sido facilitados como consecuencia de aquella relacióncontractual, constatándose la existencia en sus ficheros de información relativa a 4.571 pólizas en situación de baja, así como información relativa a 56 recibos en situación de gestión.
(...)
En conclusión, ha quedado acreditado que EXPERT decidió por su cuenta y riesgo, separándose de las instrucciones pactadas con el responsable del fichero, no devolviendo ni destruyendo los datos de carácter personal contenido en la base de clientes titularidad de ESTUDIO, una vez cumplida la prestación de servicio, al igual que cualquier soporte o documentos en que constara algún dato de carácter personal objeto de tratamiento y, por tanto, vulnerando el artículo 6.1 de la LOP, que encuentra su tipificación en el articulo 44.3.d) de la misma Ley.

Y por lo tanto
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad EXPERT EJECUTIVOS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 43.3.d) de dicha norma, una multa de 60.101,21 euros (sesenta mil ciento un euros con veintiún céntimos) y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica, en esa cuantía mínima.

Actualización 24/7/11

Hemos recibido desde la empresa denunciada la comunicación de que su recurso ante la Audiencia Nacional ha prosperado y la sanción ha sido anulada.

En el Fundamento cuarto la Sentencia entiende de aplicación no sólo el art. 6.1 de la LOPD en relación con el 12.3, sino también lo previsto en la ley 26/2006 de 17 de julio de mediación de seguros y reaseguros privados (art, 2 que describe las actividades de mediación, art. 26.3 sobre la obligación de facilitar información al tomador, asegurado y beneficiario del seguro, y el art. 44 que establece la obligación del corredor de seguros a atender y resolver las quejas y reclamaciones de su clientela).

Así, concluye indicando que "resulta verosímil la alegación reiteradamente efectuada por la entidad recurrente" ( algunas aseguradoras no efectuaron el cambio de código de corredor y que Expert necesitaba mantener los datos de los afectados por un periodo de tiempo, limitándose a unas pocas facturas pendientes de gestión para atender posibles consultas). y anula la sanción impuesta por la AEPD.


11 de mayo de 2010

Cuestión de detalles

El procedimiento sancionador PS/00373/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a una librería, se inció tras la denuncia presentada por D. A.A.A. al recibir dos comunicaciones comerciales en su dirección de correo electrónico acerca de novedades bibliográficas en el ámbito jurídico.

La librería aportó copia de una página de la Guía Oficial del Ilustre Colegio Oficial de Abogados de Sevilla del año 2008 en la que, entre los datos de otros colegiados, figuraban los datos del denunciante, habiendo presentado también impresión de la ficha del Formulario de Clientes en la que aparecían detallados el nombre y apellidos del denunciante, su número de documento nacional de identidad y el número de teléfono, así como la dirección de correo electrónico.

En los Fundamentos de Derecho, la AEPD rechaza la primera de las alegaciones con el acostumbrado argumento de que:
(...) en contra de lo alegado por la entidad imputada, el hecho de que los datos del destinatario de los correos comerciales denunciados pudieran proceder de la Guía Anual del Ilustre Colegio de Abogados de Sevilla del año 2008 no exime a la entidad imputada de la obligación de obtener el consentimiento previo y expreso del destinatario para la remisión de envíos publicitarios por medios de comunicación electrónica, ya que la LSSI no contempla la excepción recogida por la LOPD para tratar, en envíos publicitarios de naturaleza postal, datos de carácter personal cuyo origen se encuentra en fuentes de acceso públicos.

Sin embargo acepta las evidencias de la relación comercial previa:
(...) la presentación por parte de la entidad imputada de dos albaranes de compra emitidos a nombre del denunciante por la adquisición de dos libros de derecho en fecha anterior a las del envío de los mensajes comerciales denunciados, suponen la existencia de dos elementos de prueba que avalan la tesis mantenida por la denunciada al defender que el dato de la dirección de correo electrónico se obtuvo, junto con los restantes que figuran en la ficha de cliente, del propio denunciante en el momento de efectuarse una compra.

En consecuencia procede exonerar a la librería de la responsabilidad de la comisión de la infracción al artículo 21.1 de la LSSI, dado que se considera que las comunicaciones comerciales denunciadas se enviaron a la dirección de correo electrónico en su condición de cliente de la mencionada librería universitaria y por productos o servicios similares a los que fueron objeto de contratación con anterioridad, lo que legitimaba su envío.

Pero por otro lado se afirma que
(...) la simple lectura del texto de las comunicaciones comerciales objeto de análisis lleva a constatar que el remitente de los envíos denunciados no ofreció al destinatario del correo comercial la posibilidad de oponerse al tratamiento de sus datos con fines promocionales que recoge el segundo párrafo del artículo 21.2 de la LSSI.

Según la librería los correos que dieron lugar al expediente reúnen los requisitos que establece la LSSI, ya que en los mismos “se ofrece la posibilidad de oponerse al tratamiento de sus datos de forma sencilla: con un simple click, y de manera gratuita: por correo electrónico a nuestra dirección, la cual figura en otro enlace en los mensajes enviados. “.

La AEPD determina que la inclusión en cada uno de los mensajes de un enlace a la "Política de privacidad” no supone la cumplimentación por parte del remitente de los mismos del requisito cuya vulneración se imputa, puesto que aunque sea gratuito, no es un procedimiento sencillo ya que, por un lado, la información que se desprende del enlace no permite relacionarlo de forma fácil ni con el ejercicio del derecho de oposición al tratamiento de datos con fines comerciales ni con la existencia de un procedimiento habilitado para ello y, por otro lado, dicho enlace no remite directamente al procedimiento, sino que enlaza con la información

Por tanto el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la LIBRERIA EL GIRALDILLO, S.C., por una infracción del artículo 21.2, segundo párrafo, de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, tipificada como leve en el artículo 38.4.d) de dicha Ley, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada norma.

5 de mayo de 2010

Yo confieso

El procedimiento sancionador PS/00074/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad A.A.A., se inició tras recibir en la AEPD un escrito de D. B.B.B., en adelante el denunciante, en el que manifiestaba haber recibido un correo comercial desde la dirección info@forexgrial.com sin que hubiera solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio, ni haber mantenido relación comercial alguna con la entidad anunciante.

Tras la habitual diligencia de la AEPD y extrema cortesía de los operadores en la obtención de la IP emisora del mensaje, se llegó hasta D. A.A.A., que resultó también ser titular del dominio forexgrial.com

Los representantes de la empresa alegaron:
  • El correo fue remitido como respuesta a un correo previo del cual no conservan copia.
  • El documento es una respuesta tipo de las utilizadas para ampliar información (el texto del correo dice “Estas líneas son para comentarles más detalles sobre….”)
  • Desconocen el origen del dato de la dirección de correo electrónico del denunciante ya que puede haber sido proporcionada por cualquiera de los canales de comunicación que utilizan habitualmente: Chat, formulario web, MSN o Skype.
  • No mantienen ni han mantenido relación contractual con el denunciante
  • No han recibido solicitud alguna del denunciante solicitando la cancelación de sus datos u oponiéndose al envío de comunicaciones comerciales pero han cancelado los datos asociados a la cuenta de correo al recibir noticia de la denuncia.
  • El denunciante ha sido receptor, hasta el momento de su baja, de todas las campañas de publicidad realizadas, siendo el último de ellos uno en el que le felicitan el año 2010 y se le informaba de un concurso en el que se premiaba con varios cursos.
  • La responsable de la marca comercial FOREX GRIAL es Dña. C.C.C., residente en Argentina, con CUIT (Código identificador utilizado por la Hacienda Argentina) *****CUIT1.

Notificado el acuerdo de inicio, el denunciado presentó escrito de alegaciones en el que comunicaba:
Yo, A.A.A., con DNI Nº *****DNI1, RECONOZCO VOLUNTARIAMENTE MI RESPONSABILIDAD, comprometiéndome a tomar las medidas necesarias para que no vuelva a ocurrir.

Ya que el Reglamento del procedimiento para el ejercicio de la potestad sancionadora dispone que:
Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda.
y teniendo en cuenta que el denunciado había reconocido los hechos imputados sin presentar objeciones a los mismos, la AEPD procede a resolver el procedimiento iniciado.

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a A.A.A., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa de 600 € (seiscientos euros), de conformidad con lo establecido en los artículos 39.1 c) y 40 de la citada LSSI.

27 de abril de 2010

Darse de baja en un email que no existe

El procedimiento sancionador PS/00678/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a D. A.A.A., se inicia a raiz de la denuncia presentada por D. B.B.B., en la que manifestaba que recibió un correo comercial no solicitado desde la cuenta de correo 003@xxx.com sin que hubiera solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio y sin que hubiera mantenido relación comercial alguna con el remitente del envío. Además solicitó la baja para no continuar recibiendo correos comerciales siguiendo las instrucciones indicadas al pie del mensaje denunciado, aunque no se pudo dar de baja ya que el correo electrónico enviado con el asunto “BAJA EMAIL” fue rechazado al no existir la dirección de correo a la que se remitió.

La AEPD averigua con su habitual facilidad la IP del remitente y se pone en contacto con el usuario indicado por el operador. D. A.A.A. manifiesta que la dirección de correo electrónico del denunciante pudiera haberse introducido por error durante la realización de una campaña de publicidad dirigida a sus clientes, “ignorando si puede pertenecer a otra dirección la cual esté redireccionada al mismo” y que no puede acreditar el consentimiento prestado para la remisión de correos comerciales a dicha cuenta de correo electrónico. Añade que en las comunicaciones comerciales enviadas se ofrecen instrucciones claras y sencillas para que los destinatarios de las mismas puedan oponerse al envío de más información comercial, sin que conste que se haya recibido solicitud alguna en tal sentido procedente del denunciante.

Sin embargo, al recibir el acuerdo de inicio del procedimiento sancionador, donde se le indica que por la presunta infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de la citada norma, podría ser sancionada con multa de hasta 30.000 euros, D. A.A.A. alega:
Que me ha sido notificado el acuerdo de inicio del procedimiento sancionador arriba indicado y conforme a las alegaciones que aporte a su primer escrito, debido a un posible error, se introdujo un e-mail incorrecto del cual, una vez conocido tal error, se tomaron las medidas oportunas para que no se volviera a enviar información a dicha dirección, eliminándose automáticamente la misma y así evitar la posibilidad de un nuevo envío impidiendo de esta manera reincidir en el mismo hecho, motivo por el cual, reconozco voluntariamente mi responsabilidad en la infracción tipificada en el procedimiento sancionador.
En su virtud,
SOLICITO QUE: Por los motivos arriba señalados y en virtud del principio de proporcionalidad, en el caso de imposición de sanción, ésta sea de la menor cuantía.

Al haber reconocido el denunciado los hechos que se le imputan, se procede a elevar al Director de la AEPD el expediente a los efectos de dictar resolución al respecto.

Y por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. A.A.A., por una infracción del artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, apartado 1 y segundo párrafo del apartado 2 del mismo, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.

20 de abril de 2010

¿Quién ha escrito la carta?

El procedimiento sancionador PS/00337/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ANTA GESTION DE USOS TERCIARIOS S.L., se inicia tras la denuncia presentada por Dª. A.A.A. que manifestó que tras presentar una denuncia ante el Servicio Territorial de Sanidad y Bienestar Social de la Delegación Territorial de Burgos, motivada por unas irregularidades en el servicio de comedor de la Residencia Universitaria San Agustín de Burgos, de la que la denunciante era alumna, la empresa que la gestionaba (ANTA) dirigió un escrito a los padres de los estudiantes que habían secundado la denuncia, en el que se facilitan los datos personales de Dª. A.A.A. , y en el que consta que “tiene 29 años y ha permanecido en la Residencia durante siete años cursando la carrera de “Arquitectura Técnica”, aún sin terminar y que ha recibido un trato privilegiado debido a sus “molestias estomacales”.

Junto con este escrito se acompañaba otro, que debía ser firmado por los residentes, con objeto de manifestar su disconformidad con la denuncia presentada ante el Servicio Territorial de Sanidad y Bienestar Social de la Delegación Territorial de Burgos. En los escritos figuraba el membrete de la Residencia Universitaria San Agustín y constaba como firmante “B.B.B.” Directora. La denunciante manifiestó que la firma que figura en los escritos no es de Dª. B.B.B. sino que es de D. C.C.C., gerente de la residencia. A este respecto aportó copia de un escrito recibido en abril de 2004 por los padres de la denunciante, firmado por el citado gerente, con objeto de acreditar que la firma que consta es idéntica a la que consta en los escritos objeto de denuncia.

Además la denunciante aportó copia de la noticia publicada en “El Correo de Burgos” con el titular “La Residencia San Agustín pide a los alumnos que se retracten de la denuncia de la cocina – Los responsables del Centro han enviado una carta, con fecha 15 de julio, a los 142 residentes que apoyaron la denuncia en la que se adjunta un texto para firmar, que rechaza la queja presentada”.

ANTA admitió que no disponía de la autorización para la utilización de los datos personales de la Sra. A.A.A. en el escrito remitido a los padres, y que dichos datos no constan en ningún fichero de la sociedad, aunque se trata de datos conocidos entre las personas del entorno de la residencia por notoriedad. Por otro lado aseguró que no tuvo conocimiento de la existencia del escrito hasta recibir una llamada de la denunciante, a la que se informó de que la utilización del membrete de la Residencia en el mismo era totalmente ajeno a la empresa gestora, y que dicho escrito, incompatible con su procedimiento, no fue emitido desde esa sociedad.

La sociedad procedió de inmediato a inscribir sus ficheros en el Registro General de Protección de Datos (RGPD).

Ante el intento de ANTA de desvincularse del envío de la carta, la denunciante alegó:
Las alegaciones de la parte contraria sobre que la empresa gestora de la residencia no tuvo conocimiento de la existencia de la carta es del todo falsa. En primer lugar porque se emite con el propio anagrama de la Residencia y la rúbrica de la directora de la misma, carta que en realidad firma el gerente por orden de la directora. Tanto es el conocimiento de la empresa gestora del contenido de dicha carta que incluso en los recortes de prensa se recoge el dato de la emisión de dicha carta. Por tanto, no sólo era conocedora del contenido de dicha carta sino que incluso asumía su autoría desde el momento en que así se vierte a la prensa. (...)
Además aportó partes del procedimiento ordinario en Primera Instancia por la denuncia original, en los que hay manifestaciones expresas sobre la autoría de la carta por parte de ANTA.

Y así la Agencia señala:
En el procedimiento ha quedado acreditado que la entidad denunciada, como responsable del fichero, vulneró el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD al remitir una carta a varios padres de alumnos de la Residencia San Agustín de Burgos, con información concerniente a la denunciante conteniendo su nombre y apellidos, edad, formación académica y problemas físicos que le aquejan.

A la hora de indicar el tipo de infracción:
En el presente caso, la difusión del nombre y apellidos de la denunciante, edad, formación académica y problemas físicos que le aquejan sin su consentimiento, es subsumible en el tipo de infracción calificada como leve, al no poder deducirse de los datos difundidos a terceros una evaluación de la personalidad del denunciante. Por ello, se considera que ANTA GESTION DE USOS TERCIARIOS S.L. ha incurrido en la infracción leve tipificada en el artículo 44.2.e) de la LOPD.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ANTA GESTION DE USOS TERCIARIOS S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.1 y .4 de la citada Ley Orgánica.

Respecto a la falta de inscripción de ficheros, la AEPD da por buena la inscripción posterior y archiva las actuaciones practicadas en relación con el artículo 26 de la LOPD

13 de abril de 2010

Sanciones por falta de inscripción de ficheros

Resulta sorprendente que más de diez años después de la aprobación de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), cuyo artículo 22 dice:
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de datos.
siga habiendo cientos de miles de entidades (empresas, profesionales e incluso organismos públicos) que aún no hayan dado ese sencillo paso de inscripción de sus ficheros (un trámite sencillo, online y gratuito) y continúen pagando sanciones por ello.

Algunos ejemplos de los últimos meses:
  • Procedimiento sancionador PS/00660/2009 instruido a la entidad Franquicias de Balnearios S.L. Infracción del artículo 26 LOPD, sanción de 601,01 €.
  • Procedimiento sancionador PS/00657/2009 instruido a la entidad Comunidad de Propietarios Piscina Urbanización Los Almendros. Infracción del artículo 26 LOPD, sanción de 601,01 €.
  • Procedimiento sancionador PS/00529/2009 instruido a la entidad Gimnasio Grandmontagne, S.L. Infracción del artículo 26 LOPD, sanción de 601,01 €. Como curiosidad, véase lo que indica el responsable del gimnasio en sus alegaciones: "Que es verdad que conozco al denunciante, aunque este no ha figurado nunca en ninguno de nuestros listados, de manera normativa, eso sí es ejecutivo de una gran instalación deportiva de la ciudad que por supuesto ejerce de leal competencia de la nuestra."
  • Procedimiento sancionador PS/00354/2009 instruido a la entidad Audigestrade Associats, S.L. En este caso la denuncia no es sólo por falta de registro de los ficheros, sino que se añade la falta del preceptivo documento de seguridad. Por la infracción del artículo 26 LOPD, sanción de 601,01 €. Por la infracción del artículo 9 LOPD, sanción de 1000 €.

Para quien aún tenga dudas sobre el procedimiento de inscripción de ficheros, hemos preparado este detallado tutorial en el blog Ayuda Ley Protección Datos.

6 de abril de 2010

Sanciones por videovigilancia (4)

Cuarta recopilación de sanciones de la Agencia Española de Protección de Datos (AEPD), por motivo de instalaciones de videovigilancia (aquí la primera, la segunda y la tercera).

Fecha Resolución
Nº Expediente
Artº Infringido
Sancionado
Importe
14/01/2010
Art. 6 LOPD
Martinsa Fadesa
1.500 €
14/01/2010
Art. 6 LOPD
Club
5.000 €
19/01/2010
Art. 6 LOPD
Particulares
2.000 €
21/01/2010
Art. 5 LOPD
Comercio
600 €
05/10/2009
Art. 6 LOPD
Bar
2.500 €
16/11/2009
Art. 5 y 26.1 LOPD
Particular
3.000 €
09/12/2009
Art. 5 y 26.1 LOPD
Particular
1.500 €
14/12/2009
Art. 5.1 LOPD
Kebap
2.000 €
14/12/2009
Art. 4.1 LOPD
Empresas muebles
4.000 €
17/12/2009
Art. 5.1 LOPD
Com. Propietarios
1.000 €
28/12/2009
Art. 6.1 LOPD
Supermercado
1.500 €