27 de enero de 2010

Aunque no te lo parezca, tienes un fichero

El procedimiento sancionador PS/00389/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad Sociedad Musical Maestro Moragues ( en adelante SMM), se inicia vista la denuncia presentada por C.C.C. en la que afirmaba que SMM repartió por su localidad, incluido en un Centro Docente donde estudia la hija del denunciante, una nota informativa donde se solicitaban datos a menores de edad consistentes en nombre, apellidos, DNI, sexo, lugar, fecha de nacimiento, domicilio, código postal, municipio, teléfono fijo y teléfono móvil.

En la citada nota informativa, en la que no se informaba a los titulares de los datos en los términos del art. 5 de la LOPD, constaba el siguiente literal:
Sociedad Muscial Grupo de Viento Maestro Moragues. Aula de educandos para la formacion de nuevos musicos, inscripciones hasta el 30 de septiembre. Informacion e inscripciones en (c/...................) (tienda Laura moda infantil) telefonos #######1/ #######2.
Al menos cinco familias del municipio se interesaron en la oferta de SMM y rellenaron los folletos con los datos requeridos, tal como reconoce la propia SMM. Sin embargo la oferta musical no se llevo a cabo y se destruyeron los datos recogidos.

Por los Servicios de Inspección de la AEPD, se verificó que durante el tiempo en que se recogieron datos personales, SMM no tenía inscrito el fichero de recogida de datos en el Registro General de Ficheros de la AEPD.

La denunciada alegó:
  • La SMM no dispone de ningún tipo de fichero de datos personales, ni automatizado ni en soporte físico. Ni si quiera disponen de ordenador. En ningún momento desde su creación en abril del 2004 se ha creado ningún fichero con esas características.
  • Al no disponer de fichero, no se puede informar de la existencia del mismo.
  • El hecho de que no exista fichero impide que no se de cualquier tipo de tratamiento de dados. En el presente caso no se ha realzado ninguna de las acciones indicadas en el art. 3 de la LOPD, ni tan siquiera la de la recogida, ya que esos datos nunca llegaron a formar parte de ningún fichero. Sólo 5 familias se mostraron interesadas y sus correspondientes solicitudes de admisión fueron destruidas.
  • La referencia a cuestionarios u otros impresos para la recogida tampoco resulta aplicable al caso, ya que en ningún momento la finalidad de la solicitud de admisión era la de recopilar datos para formar un fichero y retratar posteriormente los datos sino mas bien la de informar de la existencia de los cursos. Los trípticos se entregaron a titulo informativo, comunicando oralmente que la única finalidad era contactar a las familias interesadas en que sus hijos participaran en el “Aula de Educando”. Además este documento informativo ya había sido distribuido de manera informal a través de amigos y familiares y a petición de algún interesado en la sede de la Sociedad Musical.
  • El propio art. 5.3 pone de relieve la importancia del contexto a la hora de analizar las previsiones de la LOPD. En el presente caso, el contexto de la SMM, la recopilación de datos para su posterior tratamiento no es necesaria en el marco de las actividades de la sociedad.
  • Por la inexistencia de fichero y por tanto de tratamiento, tampoco se han violado los apartados 4 y 5 del citado artículo.
  • En ningún momento se violó ni se puso en peligro el derecho de los ciudadanos a controlar y disponer de sus datos personales, dado que no ha existido fichero y a su vez se informo oralmente de que la única finalidad era proporcionar mayor información sobre los cursos de música.
  • Se hace patente que no hubo intención traficar con datos ni agruparlos bajo un fichero, ni tratarlos de manera especifica.
En los Fundamentos de Derecho la AEPD aclara:
Al contrario de lo que manifiesta la representación de SMM, en el momento que recoge datos personales, se considera fichero cualquier soporte en el que se encuentren, llegando a tener tal consideración incluso un espacio físico donde se guarden los “folletos” valorados en el presente procedimiento.
(...)
De lo expuesto, se deduce que SMM ha tratado datos personales sin tener inscrito el fichero correspondiente, lo que supone una vulneración de la LOPD.
Sin embargo, respecto a la falta de inscripción de fichero se explica:
El incumplimiento del art. 26 LOPD constituye una de las infracciones denominadas continuadas y no prescribe hasta que no se inscriba el fichero. Sin embargo en el presente caso, no se tiene conocimiento por parte de esta Agencia de que a día de hoy se siguen recogiendo datos, presupuesto necesario para considerar la existencia de fichero y la obligatoriedad de inscribirlo.
Por tanto, de acuerdo con el art. 47 de la LOPD que establece los plazos de prescripción de las infracciones, y respecto de las leves, la prescripción se produce en el plazo de un año, la infracción por incumplimiento del art. 26 LOPD estaría prescrita.
Pero en lo que se refiere a la falta de información en el folleto de los derechos de los titulares de los datos:
En este caso, ha quedado acreditado que en el folleto de recogida de datos personales no facilitaba a los titulares de éstos ( menores de edad ) la información que señala el artículo 5 de la LOPD, por lo que debe considerarse que han incurrido en la infracción del deber de información que les incumbe. En consecuencia han cometido la infracción del artículo 44.2.d) de la LOPD.
A la hora de graduar la sanción:
En el presente caso, de conformidad con los criterios establecidos en el artículo 45.4 de la LOPD, y en atención a la falta de intencionalidad de infringir la norma, así como al beneficio obtenido que ha de considerarse nulo, se propone la sanción en la cuantía mínima, correspondiente al intervalo de las leves.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad SOCIEDAD MUSICAL MAESTRO MORAGUES, por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2 de dicha norma, una multa de 600 euros € (seis cientos euros ) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

20 de enero de 2010

Ahora se contempla, ahora no se contempla

El procedimiento sancionador PS/00193/2009 (que comienza de un forma muy similar a Todos a una, pero termina de forma muy distinta), instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad AELIA S.L., se incia vista la denuncia presentada por D. G.G.G. donde expone que envió un correo electrónico a la cuenta de “F.F.F.”, empleada y usuaria de una dirección de correo electrónico de AELIA, solicitando el cese de los envíos de comunicaciones comerciales y la cancelación de su dirección de correo electrónico de los ficheros de AELIA. En el Asunto de dicha solicitud se comprueba que dicho correo responde a una comunicación anterior de AELIA de misma fecha en la que figuraba como asunto “Aelia Comunicación Boletín especialaelia”.

Sin embargo con posterioridad recibió en su dirección de correo electrónico cinco comunicaciones comerciales de la empresa, sin que el texto de los mencionados correos ofreciera al destinatario de los mismos un procedimiento sencillo y gratuito para que pudieran oponerse al tratamiento de sus datos con fines promocionales.

La denunciada alegó:
AELIA indica que obtuvo la autorización de la Asociación para la Autorregulación de la Comunicación Comercial (en adelante AUTORREGULACIÓN o Asociación) para la remisión de boletines publicitarios a raíz de los diferentes contactos mantenidos con dicha Asociación, los cuales justifica mediante la aportación de copia de dos fichas de “Gestión Comercial a Empresas”, (...)
AELIA ha presentado copia de una tarjeta de visita en la que el denunciante figura como Director General de la referida Asociación, obrando entre los datos de contacto del mismo la dirección de correo electrónico ...Y..@...... Según AELIA, la referida tarjeta de visita se obtuvo en la reunión comercial mantenida en las oficinas de AUTOCONTROL entre la empleada de AELIA, Dª Z.Z.Z., y la adjunta a la dirección de AUTOCONTROL, Dª C.C.C., durante cuyo transcurso se autorizó la remisión de información comercial por parte de AELIA a la dirección de correo electrónico del denunciante que constaba en dicha tarjeta.

También intentó descargar parte de la responsabilidad en la empleada que no atendió la petición de cancelación por parte del denunciante:
Que considera determinante y relevante en el acontecer de los hechos imputados un hecho recogido en el Acta de Inspección que no se menciona en el acuerdo de inicio, consistente en que los correos remitidos por el denunciante solicitando el cese de las comunicaciones comerciales fueron enviados a la cuenta de correo de una empleada de AELIA que causo baja en la citada entidad con fecha 29/02/2008 por despido disciplinario, y quien no procedió a cursar la baja en la lista de direcciones de correos de la entidad mediante el procedimiento establecido al efecto, lo que motivó que AELIA, ignorando la voluntad del denunciante, continuara remitiendo publicidad y ofertas comerciales al que consideraba su cliente.

Y finalmente:
Que la imposición de la sanción acarrearía consecuencias nefastas para la entidad debido a la crítica situación económica y financiera por la que atraviesa, tal y como se desprende del balance de situación referido al ejercicio 2008 que adjunta.

Tras el conocimiento de estas circunstancias D. G.G.G. envió un escrito a la AEPD:
(...) indicando que después de la denuncia los responsables de AELIA le han pedido “disculpas por las molestias ocasionadas por el envío de correos electrónicos” con posterioridad a su solicitud de baja, aclarando que dichos envíos se debieron “a la negligencia de una trabajadora” que fue despedida en los días siguientes por su inadaptación al puesto de trabajo. Igualmente, pone de manifiesto que la recepción de los mensajes no le ha causado perjuicio alguno y “que es mi intención no proseguir con la denuncia” a la vista de las disculpas y explicaciones ofrecidas por AELIA. Asimismo, reconoce como propia la tarjeta de visita cuya copia le fue adjuntada, la cual debió de ser entregada por personal de su empresa en una visita realizada por un comercial de AELIA en el año 2006, momento en que también se facilitaron sus datos de correo electrónico para recibir información comercial.

En los Fundamentos de Derecho, la Agencia afirma:
En lo que respecta a la primera cuestión planteada, ha quedado probado que las cinco comunicaciones comerciales objeto de estudio fueron remitidas por AELIA con posterioridad a la solicitud de baja de cese de envíos comerciales que fue recibida con fecha 21/02/2008 en la cuenta de correo electrónico de una empleada de dicha empresa, por lo que su envío no contaba a partir de dicho momento con la cobertura del consentimiento previo y expreso del destinatario de las mismas, tratándose, por ello, de envíos publicitarios no solicitados que fueron remitidos por AELIA sin cumplir el requisito de consentimiento previo y expreso establecido en el artículo 21.1 de la LSSI para la remisión de las citadas comunicaciones.
En lo que respecta a la segunda cuestión planteada, la simple lectura de los textos de las cinco comunicaciones comerciales de fechas 03/04/2008, 21704/2008, 30/04/2008, 21/05/2008 y 13/06/2004 objeto de análisis lleva a constatar que el prestador del servicio, en este supuesto, la entidad imputada, no ofreció al destinatario de los citados correos comerciales la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, conforme se recoge en el segundo párrafo del artículo 21.2 de la LSSI.

Sobre la responsabilidad de la empleada que no cursó la petición de baja:
A juicio de la AEPD dicha alegación no desvirtúa la responsabilidad de la entidad denunciada en los hechos imputados, ya que el correo en el que el denunciante ejercía su derecho a no recibir más mensajes comerciales se dirigió a una dirección de correo de la entidad imputada, tal y como se constató en la visita de inspección de fecha 04/02/2009 practicada en las instalaciones de AELIA al localizarse por los inspectores actuantes en la cuenta de correo de la antigua empleada “F.F.F.” información que probaba tal recepción y el conocimiento de su contenido, motivo por el que se considera que la solicitud de baja fue recibida por la entidad AELIA sin que la misma se llevara a efecto por su parte.

Sobre la petición del denunciante de detener el proceso:
El hecho de que el denunciante haya presentado un escrito manifestando que la recepción de los referidos mensajes no le había causado perjuicio alguno y que su intención era no proseguir con la denuncia, además de confirmar el envío de comunicaciones comerciales sin consentimiento que resulta objeto del presente procedimiento sancionador junto con el incumplimiento de lo previsto en el segundo párrafo del artículo 21.2 de la LSSI, no conlleva el archivo del expediente ya que la potestad sancionadora de la AEPD procede siempre de oficio, con independencia de la existencia, o no, de denuncia de parte (principio acusatorio).

Ya que en el artículo 38, apartados 3 de la LSSI, se consideran infracciones graves:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

La AEPD estima que:
El presente supuesto se ajusta al tipo de infracción establecido en el artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse del envío de más de tres comunicaciones comerciales por correo electrónico a un mismo destinatario en el plazo de un año (cinco mensajes publicitarios), las cuales, además, no ofrecían un procedimiento sencillo y gratuito al destinatario para oponerse al tratamiento de sus datos con fines promocionales, es decir, dichos envíos publicitarios no cumplan los requisitos establecidos en el artículo 21 de la LSSI, sin que tampoco se haya acreditado la existencia de una relación comercial previa entre emisor y receptor de los mismos.

Y además indica:
De conformidad con el principio de proporcionalidad y en base a los criterios de graduación de la sanción recogidos en el señalado artículo 40 de la LSSI, entre los que no se contempla la situación financiera atravesada por la entidad, y particularmente a la inexistencia de intencionalidad y a que el denunciante ha reconocido que su recepción no le ha ocasionado ningún perjuicio, procede imponer a la sociedad imputada la sanción en su importe mínimo de 30.001 € (Treinta mil un euros).

(La negrita es mía. Compárese con el caso enlazado al principio de esta nota donde se decía también en los Fundamentos de Derecho "hay que tener en cuenta, a la hora de graduar la sanción, que estamos ante una empresa que atraviesa una difícil situación financiera").


Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AELIA S.L., por una infracción del artículo 21, apartado 1 y segundo párrafo del apartado 2, de la LSSI, tipificada como grave en el artículo 38.3.c) de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, una multa 30.001 € (Treinta mil un euros), de conformidad con lo establecido en los artículos 39.1.b) y 40 de la citada LSSI.

Esta Resolución ha sido recurrida.

15 de enero de 2010

Información duplicada… multa doble

El procedimiento sancionador PS/00523/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad LITOMAR 29 S.L., se inició tras la denuncia presentada por G.G.G. en la que exponía que tras haber solicitado a la denunciada información sobre la fuente de la que habían obtenido su dirección de correo electrónico y requerir la baja de sus datos, recibió un correo electrónico en el que le informaban de que sus datos habían sido obtenidos de una fuente de acceso público, en concreto del Libro del Colegio Oficial de Abogados, y le comunicaban que sus datos habían sido borrados de sus archivos. Sin embargo, poco después volvió a recibir varios correos electrónicos desde dominios de Litomar.

La empresa explicó durante el procedimiento que:
(…) procedió a cancelar el dato del correo electrónico de sus bases de datos de forma inmediata, si bien no se percataron de que dicha información estaba duplicada en otro equipo informático, (…)

La AEPD declara:
En el supuesto examinado, ha quedado acreditado a través de la investigación realizada y las actuaciones practicadas, que la entidad LITOMAR 29, S.L. remitió, con fechas 16 de abril y 13 de junio de 2008, desde la dirección de correo “...A.@.... “ dos comunicaciones comerciales a la dirección de correo electrónico “...B.@....” sin disponer de autorización expresa y previa del destinatario de los mismos y sin que conste la existencia de una relación contractual anterior que justifique el envío de los citados mensajes, de conformidad con lo dispuesto en el artículo 21 de la LSSI.

Acerca de la alegación de la denunciada sobre el origen de los datos, se aclara que:
(…) es obvio que no resulta suficiente a tales efectos el hecho de que la dirección de correo electrónico del denunciante figurara en una fuente accesible al público, ya que nos encontramos frente a la comisión de una infracción tipificada en la LSSI en la que se exige la necesidad de que los envíos publicitarios sean solicitados o expresamente autorizados por los destinatarios de los mismos, con independencia de lo recogido en la LOPD al definir las fuentes de acceso público.

Como además hubo envíos posteriores a la solicitud de cancelación de los datos, debido al error informático de la duplicidad de bases de datos, se explica:
Dicha circunstancia suponía en la práctica y en lo que se refiere a la infracción imputada del artículo 22.1 de la LSSI, que la entidad LITOMAR 29, S.L., en su condición de prestador de servicios, no tenía habilitado un procedimiento válido para que los destinatarios de los mensajes publicitarios pudieran revocar el consentimiento que hubieran prestado para recibir comunicaciones comerciales u oponerse, como en el caso del afectado, al tratamiento de sus datos personales con tal fin, ya que el procedimiento establecido para ello no ofrecía las suficientes garantías para resultar eficaz y efectivo (…)

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad LITOMAR 29 S.L., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.
SEGUNDO: IMPONER a la entidad LITOMAR 29 S.L., por una infracción del artículo 22.1 de la LSSI, tipificada como leve en el artículo 38.4.h) de dicha norma, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

7 de enero de 2010

Todos a una

El procedimiento sancionador PS/00256/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad EL REBOST DE SUQUIMEL S.C., se inició tras la denuncia presentada de forma conjunta por seis afectados que declararon que cada uno de ellos había recibido una comunicación comercial no solicitada, a través de correo electrónico, donde se daba a conocer a la empresa denunciada.

Según declaró ésta a la inspección de la AEPD:
No disponían documentación que pudiera acreditar el origen de las direcciones de correo de los denunciantes ni del consentimiento de los mismos para remitir los correos.
Recabaron datos a través de un formulario disponible en su página web http://www....X...., donde los potenciales clientes facilitan su dirección de correo electrónico para recibir información de la empresa. Asimismo, en las ferias del sector a las que asisten obtienen datos de esos posibles clientes de forma verbal.
Sin embargo, la representación de los denunciantes contestó:
Que todos los denunciantes en ningún momento cumplimentaron formulario alguno en la web de EL REBOST DE SUQUIMEL S.C. y
Que todos ellos niegan rotundamente que en ningún momento asistieran a feria del sector agroalimentario y, por consiguiente, que proporcionaran dato personal alguno.
En los Fundamentos de Derecho se deja claro:
En el presente supuesto, ha quedado acreditado que EL REBOST DE SUQUIMEL S.C. remitió comunicación publicitaria a las direcciones de correo electrónico de los denunciantes, sin disponer de autorización expresa y previa de los destinatarios, y sin que conste la existencia de una relación contractual anterior que justifique el envío de esos mensajes, de conformidad con lo dispuesto en el artículo 21.2 de la LSSI. En dichas comunicaciones se ofrecían distintos productos comercializados por la citada empresa denunciada.
A la hora de graduar la sanción, según el articulado de la LSSI:
El presente supuesto se ajusta al tipo de infracción establecido en el artículo 38.4.d), calificado como infracción leve, al tratarse del envío por correo electrónico de una única comunicación comercial.
Sin embargo, la AEPD matiza:
No obstante, hay que tener en cuenta, a la hora de graduar la sanción, que estamos ante una empresa que atraviesa una difícil situación financiera (tal como queda acreditado en el expediente) y que imponer una sanción cuantiosa supondría poner en peligro la propia continuidad de la empresa.
Y en consecuencia:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad EL REBOST DE SUQUIMEL S.C. por la infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.300,00 € (mil trescientos euros) conforme a lo establecido en el articulo 39.1.c), en relación con el 40 de la citada Ley.