15 de enero de 2010

Información duplicada… multa doble

El procedimiento sancionador PS/00523/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad LITOMAR 29 S.L., se inició tras la denuncia presentada por G.G.G. en la que exponía que tras haber solicitado a la denunciada información sobre la fuente de la que habían obtenido su dirección de correo electrónico y requerir la baja de sus datos, recibió un correo electrónico en el que le informaban de que sus datos habían sido obtenidos de una fuente de acceso público, en concreto del Libro del Colegio Oficial de Abogados, y le comunicaban que sus datos habían sido borrados de sus archivos. Sin embargo, poco después volvió a recibir varios correos electrónicos desde dominios de Litomar.

La empresa explicó durante el procedimiento que:
(…) procedió a cancelar el dato del correo electrónico de sus bases de datos de forma inmediata, si bien no se percataron de que dicha información estaba duplicada en otro equipo informático, (…)

La AEPD declara:
En el supuesto examinado, ha quedado acreditado a través de la investigación realizada y las actuaciones practicadas, que la entidad LITOMAR 29, S.L. remitió, con fechas 16 de abril y 13 de junio de 2008, desde la dirección de correo “...A.@.... “ dos comunicaciones comerciales a la dirección de correo electrónico “...B.@....” sin disponer de autorización expresa y previa del destinatario de los mismos y sin que conste la existencia de una relación contractual anterior que justifique el envío de los citados mensajes, de conformidad con lo dispuesto en el artículo 21 de la LSSI.

Acerca de la alegación de la denunciada sobre el origen de los datos, se aclara que:
(…) es obvio que no resulta suficiente a tales efectos el hecho de que la dirección de correo electrónico del denunciante figurara en una fuente accesible al público, ya que nos encontramos frente a la comisión de una infracción tipificada en la LSSI en la que se exige la necesidad de que los envíos publicitarios sean solicitados o expresamente autorizados por los destinatarios de los mismos, con independencia de lo recogido en la LOPD al definir las fuentes de acceso público.

Como además hubo envíos posteriores a la solicitud de cancelación de los datos, debido al error informático de la duplicidad de bases de datos, se explica:
Dicha circunstancia suponía en la práctica y en lo que se refiere a la infracción imputada del artículo 22.1 de la LSSI, que la entidad LITOMAR 29, S.L., en su condición de prestador de servicios, no tenía habilitado un procedimiento válido para que los destinatarios de los mensajes publicitarios pudieran revocar el consentimiento que hubieran prestado para recibir comunicaciones comerciales u oponerse, como en el caso del afectado, al tratamiento de sus datos personales con tal fin, ya que el procedimiento establecido para ello no ofrecía las suficientes garantías para resultar eficaz y efectivo (…)

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad LITOMAR 29 S.L., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.
SEGUNDO: IMPONER a la entidad LITOMAR 29 S.L., por una infracción del artículo 22.1 de la LSSI, tipificada como leve en el artículo 38.4.h) de dicha norma, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

4 comentarios:

NFRMTC dijo...

Y luego me preguntan para qué sirve "todo ese rollo de los procedimientos", pues por ejemplo para no tener BBDD duplicadas, ainsss!!!!

Anónimo dijo...

No entiendo porque la vulneración del 21.1 por enviar los mail tras la supuesta cancelación (que sólo afecta al denunciante) se sanciona con 1200€, mientras que no tener un procedimiento de baja válido, que afecta a todos (porque los datos duplicados no serían solo los de GGG sino los de todos las personas físicas del listado) supone 600€. ¿?

Paco dijo...

Otro caso de confusion LOPD/LSSI y es que se leen la ley por encima y ya creen que lo saben todo.

Anónimo dijo...

NFRMTC, efectivamente, mucha gente se cree que con declarar los ficheros y tener el DS esta todo hecho, cuando solo se han dado los primeros pasos. De entrada, la profusión de bases de datos señala que su sistema de información es un churro de cuidado.

Anonimo, no solo han incumplido por lo que dices, sino al utilizar el directorio colegial como fuente de correos electrónicos es un caso de spam masivo que la Agencia, en su "graciosa" interpretación de la norma, se salta a la torera.

Paco, es eso y mas. Al no ir los inspectores a ver lo que había, tragan la rueda de molino de que todo lo que tenian era su correo electrónico, cuando estoy seguro que tenian todos los datos que aparecian en el directorio colegial, por lo que tendrian que haberles empaquetado tanto por LSSI como por LOPD. Pero claro, como ahora las inspecciones las hacen por carta, sale el churro que sale.

Pit.-

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.