24 de febrero de 2010

Datos que llegaron de diversas fuentes

El procedimiento sancionador PS/00285/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad, OFERDATA, S.L., se inicia por la denuncia presentada por A.A.A. tras recibir en su domicilio una comunicación comercial de EUROLINEA HOGAR en la que constaba su dirección y apellidos, y en la que se informaba que los datos utilizados habían sido proporcionados por la entidad OFERDATA S.L.

Los inspectores de la AEPD comprobaron que en los ficheros de OFERDATA S.L. constaban los datos personales de la denunciante, consistentes en nombre y apellidos y dirección completa, que ella negaba haber proporcionado.

OFERDATA S.L. manifestó respecto del origen de los datos de la denunciante que
OFERDATA obtuvo los datos de las siguientes fuentes: listados accesibles al público -páginas blancas, páginas amarillas, QDQ, repertorios de servicios de telecomunicaciones (11811, 11850, 11888, etc.) revistas u otros medios de comunicación, nombramientos oficiales, diarios oficiales, etc. -, los cuales han sido sujetos a un proceso de normalización, a fin de unificar criterios y nomenclaturas de nombres propios, apellidos, nombres de vías, direcciones y poblaciones. Igualmente, se recaban nuevos datos, o se enriquecen los ya existentes, con la información obtenida de las bibliotecas de calles de Correos y del INE. También es utilizada la información proporcionada por los interesados en acciones promocionales históricas a las que pudieran haberse acogido con anterioridad - descuentos especiales, participaciones en concursos y premios, etc.

Sin embargo, realizada la búsqueda de los datos de la denunciante en los ficheros electrónicos de guías de abonados, se obtuvo resultado negativo.

En los Fundamentos de Derecho se explica:
En el presente caso ha resultado que el denunciante ha recibido comunicación comercial incluyendo su apellido y domicilio ( piso y puerta), teniendo dicha comunicación una leyenda informativa de la que se deduce el tratamiento de sus datos por parte de OFERDATA S.L.. asimismo de la documentación obtenida en las actuaciones previas de inspección, se ha acreditado que los datos personales de la denunciante se encuentran en los ficheros de OFERDATA. S.L, lo que evidencia un tratamiento de datos personales por parte de ésta, y de conformidad con el art. 43 de la LOPD, ostenta un estatus jurídico susceptible de fiscalización por esta Agencia, por ser responsable del fichero y del tratamiento de datos del denunciante.

Respecto a las alegaciones de la denunciada en el sentido de que obtuvo los datos de diversas fuentes públicas, así como de la propia actuación de los titulares de los datos en diversas acciones, se aclara:
De la primera circunstancia, señalar que en dichos repertorios no consta piso y puerta, tal como acontece en el presente caso, por lo que no se pueden entender obtenidos de dicha fuente. A mayor abundamiento, se consultó los repertorios telefónicos de abonados (http://blancas.paginasamarillas.es) realizando la búsqueda de los datos personales de la denunciante, sin tener resultado alguno.
De la segunda circunstancia, tal como que fue la propia denunciante la que ha podido dar sus datos, para el caso de que así fuera, a OFERDATA S.L le compete guardar prueba de dicha circunstancia

Y ya que no se ha presentado ninguna prueba que pueda evidenciar que contaba con sus consentimiento, la AEPD sentencia:
OFERDATA S.L trato datos personales de la denunciante, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos, por tanto la actuación de OFERDATA S.L. no es incardinable en ningún supuesto a la excepción a la prestación del consentimiento que recoge el artículo 6.2 de la LOPD, considerando vulnerado dicho precepto.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad, OFERDATA, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

16 de febrero de 2010

Un cartel desproporcionado

El procedimiento sancionador PS/00118/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad Cartrans S.A., se inicia tras la denuncia presentada por A.A.A. por la colocación en el tablón de anuncios de la misma de un cuadro, del que se adjunta copia, considerando que en el se hacía una valoración subjetiva de los conocimientos y eficacia de cada trabajador.

En el cuadro figuraban los nombres de 17 personas y las valoraciones sobre 15 aspectos o actividades distintas de su trabajo (tal como “Amarre del Vehículo” o “Conductor Vehiculo Campa”). Dentro de cada aspecto se añadía una valoración de acuerdo a cuatro criterios, a los que se asignaba una letra determinada:
  • I Conoce el puesto de trabajo y lo desarrolla bajo supervisión
  • L Conoce bien el puesto de trabajo sin necesidad de supervisión
  • U Conoce perfectamente el puesto de trabajo y puede dar formación
  • O Conoce perfectamente el puesto de trabajo y puede aportar ideas de mejora.
Su contenido podía ser visto por las personas con acceso a dicha oficina, incluído el personal de la empresa, algún trabajador de Mercedes que llevaba la coordinación de actividades con Cartrans, las visitas y el personal de la limpieza

Según las alegaciones de la empresa denunciada:
No existe acreditación documental del consentimiento prestado por los titulares de los datos pues se considera que ese tipo de datos no son de carácter personal, sino que son un mínimo de datos profesionales necesarios, que se utilizan para llevar a cabo una eficaz distribución y organización del trabajo de la plantilla. Estos datos están relacionados con un tema laboral del trabajo, hacen referencia a un tema que afecta a los trabajadores de producción, y su contenido no sobrepasa el ámbito laboral.
En la Fundamentos de Derecho la AEPD da parcialmente razón a Cartrans:
Debe aceptarse la alegación de la entidad denunciada en lo relativo a que la información relativa a los trabajadores/as, que se ha reflejado en el tablón de anuncios, no afecta al núcleo de intimidad de las mismas y por tanto no tiene la consideración de especialmente protegidos.
Aceptado lo anterior, debe plantearse si los datos recogidos son proporcionales a la finalidad planteada por la denunciada: “unos mínimos datos profesionales necesarios, que se utilizan para llevar a cabo una eficaz distribución y organización del trabajo entre la plantilla de la empresa”.
Y tras el análisis de esta cuestión, se dictamina:
No se discute que el conocimiento de dicha información sea necesaria en relación al ámbito organizativo de la empresa, dentro del poder de control y dirección contemplado en el art. 20 del Estatuto de Trabajadores. pero vulnera el principio de proporcionalidad que dichos datos aparezcan en un tablón de anuncios, por que suponen una valoración de la capacidad de los trabajadores –aunque sólo se trate de determinados aspectos profesionales-, y dicha información está accesible a terceros, a todas aquellas personas que accedan a la oficina donde se encuentra dicho tablón.
Y por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: Imponer a la entidad Cartrans S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601.01 € (seiscientos un euro con un céntimo) de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.

9 de febrero de 2010

¿A qué estás jugando con el zoom?

El procedimiento sancionador PS/00381/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad SEGUR IBERICA, S.A., se inicia vista la denuncia presentada por la Sección de la Guardia Civil del Aeropuerto de Gran Canaria, que aportó un CD, compuesto por once ficheros, con una duración estimada de 2:22:00 horas, donde se comprueba que éste contiene una serie de imágenes en las que aparecen una serie de personas perfectamente identificables por sus rasgos faciales y anatómicos. Dichas imágenes fueron obtenidas mediante la utilización de las cámaras de seguridad instaladas en dicho recinto aeroportuario, pudiendo visualizarse en las mismas determinadas partes de la anatomía del personal femenino objeto de grabación, ya que los objetivos de las cámaras se dirigieron por la persona responsable de su manejo, y mediante la utilización del “zoom”, de forma especial hacia las zonas pectorales y las nalgas de las empleadas y viajeras que trabajaban en el aeropuerto o utilizaban sus instalaciones.

Las imágenes contenidas en el mencionado soporte fueron captadas por el vigilante de seguridad de la empresa SEGUR IBERICA, S.A. responsable del Centro de Control de Videocámaras de vigilancia del Aeropuerto de Gran Canaria. El mencionado empleado fue dado de “baja no voluntaria” en la Tesorería General de la Seguridad Social como trabajador de SEGUR IBÉRICA, S.A.

SEGUR IBERICA, S.A. está inscrita en el Registro de Empresas de Seguridad, encontrándose habilitada para prestar, entre otros, servicios de vigilancia y protección de bienes, establecimientos, espectáculos, certámenes o convecciones de conformidad con la Ley y Reglamento de Seguridad Privada, y había suscrito un contrato de prestación de servicios de seguridad privada con la Entidad Pública Empresarial Aeropuertos Españoles y Navegación Aérea (en adelante AENA) en el año 2000. Entre las estipulaciones del reseñado contrato figuran, entre otras, que el objeto del mismo es la prestación por parte de SEGUR de un servicio de vigilancia y protección en el Aeropuerto de Gran Canaria y que su duración será de cuatro años, rigiéndose por la normativa reguladora de la seguridad privada. En la estipulación Decimocuarta, relativa a la normativa aplicable consta que: “El presente contrato y las actividades derivadas del mismo, sin perjuicio del cumplimiento de las normas generales que le sean de aplicación, se regirá igualmente por la normativa reguladora de seguridad privada.”

Se ha verificado que en la copia del contrato aportado por SEGUR no figura ninguna estipulación relativa al acceso y tratamiento de datos de carácter personal por cuenta de terceros conteniendo las garantías y regulación a las que se refiere el artículo 12.2 de la LOPD.

La representación de SEGUR alegó:
Que la función de los vigilantes de seguridad en relación con el sistema de videovigilancia instalado en el Aeropuerto de Gran Canaria es la de visualizar las pantallas con fines preventivos a efectos de seguridad, teniendo éstos orden expresa de que cualquier incidencia sospechosa de poner en peligro la seguridad aeroportuaria debe ser comunicada de forma inmediata al jefe de equipo y a la Guardia Civil, si la incidencia se produce en la zona restringida, o a la Policía Nacional, si la incidencia se produce en la zona pública, añadiendo que no es responsable del sistema de videovigilancia al no ostentar la titularidad del mismo.
Que resulta cierto que en las fechas aludidas se detectó un comportamiento anómalo del empleado con número de T.I.P. 3###, quien desviaba la actividad de prevención a fines particulares utilizando, al parecer, el zoom del mando direccional de seguimiento de las cámaras para enfocar determinadas partes de la anatomía del personal femenino. Esta actitud conllevó su baja en el servicio y posterior despido.

Según explica la AEPD en los Fundamentos de Derecho:
Por lo tanto, el tratamiento que SEGUR ha realizado por un período de tiempo superior a cinco años de los datos personales de los afectados mediante la visualización de las imágenes captadas por las cámaras de vigilancia, tanto en las zonas restringidas como públicas del Aeropuerto de Gran Canaria, y que se ha desarrollado en el Centro de Control de Seguridad del citado Aeropuerto a través de los vigilantes de seguridad (operadores) que desempeñan las funciones de control y manejo de las cámaras de videovigilancia, no estaba regulado en la forma descrita en el artículo 12.2 de la LOPD, no existiendo así constancia de que la conducta de SEGUR se produjera con arreglo a las estipulaciones que constaran en un contrato escrito o en cualquier otra forma que permita acreditar su celebración y contenido. De lo que se infiere que en el período mencionado SEGUR decidió sobre las concretas actividades que suponía el tratamiento de datos de carácter personal derivado de la captación de imágenes a través de videocámaras en el reseñado recinto, convirtiéndose, por ello, en responsable del tratamiento.
No puede perderse de vista que la LOPD que debe velar para que no se lesionen los derechos de los afectados, causa por la que no puede permitir que los datos personales sean objeto de tratamiento por cuenta de tercero en el modo que mejor convenga a éste y al responsable del fichero o del tratamiento, sin someterse a la cobertura formal exigida en la Ley que garantiza la existencia de relación contractual en los términos antes transcritos.
En primer lugar, el responsable del fichero debe haber encomendado el tratamiento de los datos mediante un contrato, pactado de forma que permita comprobar su existencia así como su contenido. En segundo término, dicha convención ha de contener las instrucciones que el responsable del tratamiento impone para el uso de los datos y de las que el encargado no puede separarse. Finalmente, tiene que constar también el fin que legítima la comunicación, que no pueden obviar las partes, quienes, además, han de abstenerse de comunicar los datos a otras personas.

Y como conclusión:
De conformidad con lo expuesto en los Fundamentos de Derecho anteriores SEGUR ha incurrido en las dos infracciones graves descritas. Así, ha quedado acreditado, por un lado, que en la fecha de los hechos se han utilizado los dispositivos de seguridad (videocámaras y elementos para su manejo) del Centro de Control de Seguridad del Aeropuerto de Gran Canaria para captar y visualizar imágenes de forma inadecuada y excesiva para el cumplimiento de los servicios de vigilancia y seguridad encomendados a la empresa de seguridad contratada, habiéndose actuado de una forma que no responde a la intervención mínima que exige la ponderación entre la finalidad de vigilancia y control de bienes y personas y la posible afectación por la utilización de las mencionadas videocámaras al derecho al honor, a la propia imagen, a la intimidad de las personas y a la normativa de protección de datos, hecho que vulnera el principio de calidad de los datos recogido en el artículo 4.1 de la LOPD. Igualmente, ha quedado probado, por otro lado, que SEGUR durante la prestación del servicio de seguridad contratado con AENA ha accedido a datos de carácter personal por cuenta de terceros sin cumplir con las garantías exigidas en el artículo 12.2 de la LOPD, conductas ambas que encuentran su tipificación en este artículo 44.3.d).

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad SEGUR IBERICA, S.A., por una infracción del artículo 4.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 30.000 € (Treinta mil euros), de conformidad con lo establecido en el artículo 45. 2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad SEGUR IBERICA, S.A., por una infracción del artículo 12.2 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (Sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45. 2 y 4 de la citada Ley Orgánica.

3 de febrero de 2010

Saberlo todo es saber demasiado

Cada vez resulta más lógico que haya gran cantidad de personas que quieran sacar todos sus datos de Google, no verse expuestos al riesgo de que cualquiera pueda recopilar sus datos e incluso venderlos a otros.

El procedimiento sancionador PS/00629/2008, instruido por la Agencia Española de Protección de Datos (AGPD) a la entidad SABERLOTODO INTERNET, S.L., se inició tras las denuncias presentadas por D. R.R.R., D. F.F.F., D. G.G.G., D. I.I.I., DÑA. C.C.C. y D. J.J.J., a diferentes entidades financieras por haber utilizado sus respectivos datos de carácter personal para requerirles el pago de una deuda, mediante escritos dirigidos a sus domicilios. Los denunciantes niegan haber facilitado dichos datos y, en dos de los tres casos, señalan que la deuda requerida no les corresponde.

En los casos denunciados, ante la imposibilidad de contactar con los supuestos deudores en las direcciones facilitadas por las titulares de las deudas, las entidades denunciadas realizaron una búsqueda de nuevos datos relativos a los mismos, obteniendo otras direcciones y teléfonos a través del sitio Web www.saberlotodo.com, que les permitió la realización de nuevas actuaciones de recobro, en virtud del contrato que mantienen con la entidad SABERLOTODO, titular de dicha base de datos.

Al ser requerida para que justifique la prestación del consentimiento para el tratamiento de datos personales por parte de los afectados registrados en el fichero “DOMICILIOS”, SABERLOTODO informó que remite a dichos afectados un escrito comunicándoles los datos personales disponibles en la entidad.

La información contenida en los ficheros de SABERLOTODO es accesible para las empresas que previamente han suscrito con la misma un contrato de suministro de información, vía Internet, utilizando protocolo seguro y clave de usuario con contraseña. SABERLOTODO cuenta con unos 124 clientes que consultan los datos recabados por la citada entidad a través de la página web

En el presente caso ha quedado acreditado que SABERLOTODO registró en sus ficheros automatizados los datos de los denunciantes, sin que haya acreditado que contaba con sus consentimientos y sin que concurriera ninguna de las circunstancias previstas en el citado artículo 6.2, por lo que vulneró el principio de consentimiento recogido en el artículo 6 de la LOPD.

La denunciaba había argumentado, entre otros, como origen legal de los datos el censo electoral, pero ya que el artículo 41 de la Ley Orgánica 5/1985, del Régimen Electoral General (en lo sucesivo LOREG), establece en su párrafo 2 que "Queda prohibida cualquier información particularizada sobre los datos personales contenidos en el censo electoral, a excepción de los que se soliciten por conducto judicial", la AEPD declara:
En definitiva, el censo electoral y el padrón municipal de habitantes no son una fuente de acceso público, de modo que la utilización y cesión de los datos de carácter personal provenientes del censo o del padrón municipal efectuada por SABERLOTODO no se ajusta a las previsiones de la LOPD.
A este fichero se incorporan, igualmente, datos de carácter personal de los denunciantes facilitados a SABERLOTODO por la entidad Detectives Lucentum, S.L., que le presta servicios para la elaboración de informes de solvencia, sin que conste acreditado que las investigaciones encargadas por SABERLOTODO a dicha agencia de detectives estén motivadas y justificadas por un interés legítimo que, además, guarde relación con las personas investigadas y con la obtención de información sobre conductas o hechos privados, o con la investigación de delitos perseguibles sólo a instancia de parte, conforme a lo establecido en el artículo 19 de la Ley 23/1992, de 30 de julio, de Seguridad Privada.

En el presente caso, considerando las circunstancias expuestas, no se ha acreditado la existencia de causa ni justificación alguna para el desarrollo de una investigación a los denunciantes por parte de un detective privado, y por encargo de SABERLOTODO, de modo que los datos obtenidos como resultado de dicha investigación no pueden someterse a tratamiento por parte de la entidad que realizó el encargo, que no puede considerarse legitimada para ello.

Respecto a la alegación de que el consentimiento se justificaba mediante escrito enviado a las personas afectadas, la AEPD afirma que no se ha acreditado en la debida forma que los afectados recibieran efectivamente los escritos citados y, en cualquier caso, la información facilitada en los mismos no permite considerar válidamente prestado el consentimiento. De los escritos aportados por SABERLOTODO, supuestamente remitidos al denunciante, se desprende que, en ellos, no se informa de la finalidad ni de los destinatarios de la información, y tampoco informó sobre el origen de los datos, por lo que los mismos no cumplen con la exigencia de un consentimiento informado. Según ha quedado acreditado, SABERLOTODO posibilita incluso la obtención de información asociada a una determinada persona de las registradas en el citado fichero, como es el caso del denunciante DRH, con detalle de las personas que conviven en el mismo domicilio de aquella, afectando gravemente a los derechos fundamentales de los titulares de los datos, especialmente a la intimidad personal y familiar.

Y así, finalmente:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad SABERLOTODO INTERNET, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad SABERLOTODO INTERNET, S.L., por una infracción del artículo 11.1 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 300.506,05 € (trescientos mil quinientos seis euros con cinco céntimos), de conformidad con lo establecido en el artículo 45.3 y 4 de la citada Ley Orgánica.