27 de abril de 2010

Darse de baja en un email que no existe

El procedimiento sancionador PS/00678/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a D. A.A.A., se inicia a raiz de la denuncia presentada por D. B.B.B., en la que manifestaba que recibió un correo comercial no solicitado desde la cuenta de correo 003@xxx.com sin que hubiera solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio y sin que hubiera mantenido relación comercial alguna con el remitente del envío. Además solicitó la baja para no continuar recibiendo correos comerciales siguiendo las instrucciones indicadas al pie del mensaje denunciado, aunque no se pudo dar de baja ya que el correo electrónico enviado con el asunto “BAJA EMAIL” fue rechazado al no existir la dirección de correo a la que se remitió.

La AEPD averigua con su habitual facilidad la IP del remitente y se pone en contacto con el usuario indicado por el operador. D. A.A.A. manifiesta que la dirección de correo electrónico del denunciante pudiera haberse introducido por error durante la realización de una campaña de publicidad dirigida a sus clientes, “ignorando si puede pertenecer a otra dirección la cual esté redireccionada al mismo” y que no puede acreditar el consentimiento prestado para la remisión de correos comerciales a dicha cuenta de correo electrónico. Añade que en las comunicaciones comerciales enviadas se ofrecen instrucciones claras y sencillas para que los destinatarios de las mismas puedan oponerse al envío de más información comercial, sin que conste que se haya recibido solicitud alguna en tal sentido procedente del denunciante.

Sin embargo, al recibir el acuerdo de inicio del procedimiento sancionador, donde se le indica que por la presunta infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de la citada norma, podría ser sancionada con multa de hasta 30.000 euros, D. A.A.A. alega:
Que me ha sido notificado el acuerdo de inicio del procedimiento sancionador arriba indicado y conforme a las alegaciones que aporte a su primer escrito, debido a un posible error, se introdujo un e-mail incorrecto del cual, una vez conocido tal error, se tomaron las medidas oportunas para que no se volviera a enviar información a dicha dirección, eliminándose automáticamente la misma y así evitar la posibilidad de un nuevo envío impidiendo de esta manera reincidir en el mismo hecho, motivo por el cual, reconozco voluntariamente mi responsabilidad en la infracción tipificada en el procedimiento sancionador.
En su virtud,
SOLICITO QUE: Por los motivos arriba señalados y en virtud del principio de proporcionalidad, en el caso de imposición de sanción, ésta sea de la menor cuantía.

Al haber reconocido el denunciado los hechos que se le imputan, se procede a elevar al Director de la AEPD el expediente a los efectos de dictar resolución al respecto.

Y por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. A.A.A., por una infracción del artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, apartado 1 y segundo párrafo del apartado 2 del mismo, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.

20 de abril de 2010

¿Quién ha escrito la carta?

El procedimiento sancionador PS/00337/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ANTA GESTION DE USOS TERCIARIOS S.L., se inicia tras la denuncia presentada por Dª. A.A.A. que manifestó que tras presentar una denuncia ante el Servicio Territorial de Sanidad y Bienestar Social de la Delegación Territorial de Burgos, motivada por unas irregularidades en el servicio de comedor de la Residencia Universitaria San Agustín de Burgos, de la que la denunciante era alumna, la empresa que la gestionaba (ANTA) dirigió un escrito a los padres de los estudiantes que habían secundado la denuncia, en el que se facilitan los datos personales de Dª. A.A.A. , y en el que consta que “tiene 29 años y ha permanecido en la Residencia durante siete años cursando la carrera de “Arquitectura Técnica”, aún sin terminar y que ha recibido un trato privilegiado debido a sus “molestias estomacales”.

Junto con este escrito se acompañaba otro, que debía ser firmado por los residentes, con objeto de manifestar su disconformidad con la denuncia presentada ante el Servicio Territorial de Sanidad y Bienestar Social de la Delegación Territorial de Burgos. En los escritos figuraba el membrete de la Residencia Universitaria San Agustín y constaba como firmante “B.B.B.” Directora. La denunciante manifiestó que la firma que figura en los escritos no es de Dª. B.B.B. sino que es de D. C.C.C., gerente de la residencia. A este respecto aportó copia de un escrito recibido en abril de 2004 por los padres de la denunciante, firmado por el citado gerente, con objeto de acreditar que la firma que consta es idéntica a la que consta en los escritos objeto de denuncia.

Además la denunciante aportó copia de la noticia publicada en “El Correo de Burgos” con el titular “La Residencia San Agustín pide a los alumnos que se retracten de la denuncia de la cocina – Los responsables del Centro han enviado una carta, con fecha 15 de julio, a los 142 residentes que apoyaron la denuncia en la que se adjunta un texto para firmar, que rechaza la queja presentada”.

ANTA admitió que no disponía de la autorización para la utilización de los datos personales de la Sra. A.A.A. en el escrito remitido a los padres, y que dichos datos no constan en ningún fichero de la sociedad, aunque se trata de datos conocidos entre las personas del entorno de la residencia por notoriedad. Por otro lado aseguró que no tuvo conocimiento de la existencia del escrito hasta recibir una llamada de la denunciante, a la que se informó de que la utilización del membrete de la Residencia en el mismo era totalmente ajeno a la empresa gestora, y que dicho escrito, incompatible con su procedimiento, no fue emitido desde esa sociedad.

La sociedad procedió de inmediato a inscribir sus ficheros en el Registro General de Protección de Datos (RGPD).

Ante el intento de ANTA de desvincularse del envío de la carta, la denunciante alegó:
Las alegaciones de la parte contraria sobre que la empresa gestora de la residencia no tuvo conocimiento de la existencia de la carta es del todo falsa. En primer lugar porque se emite con el propio anagrama de la Residencia y la rúbrica de la directora de la misma, carta que en realidad firma el gerente por orden de la directora. Tanto es el conocimiento de la empresa gestora del contenido de dicha carta que incluso en los recortes de prensa se recoge el dato de la emisión de dicha carta. Por tanto, no sólo era conocedora del contenido de dicha carta sino que incluso asumía su autoría desde el momento en que así se vierte a la prensa. (...)
Además aportó partes del procedimiento ordinario en Primera Instancia por la denuncia original, en los que hay manifestaciones expresas sobre la autoría de la carta por parte de ANTA.

Y así la Agencia señala:
En el procedimiento ha quedado acreditado que la entidad denunciada, como responsable del fichero, vulneró el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD al remitir una carta a varios padres de alumnos de la Residencia San Agustín de Burgos, con información concerniente a la denunciante conteniendo su nombre y apellidos, edad, formación académica y problemas físicos que le aquejan.

A la hora de indicar el tipo de infracción:
En el presente caso, la difusión del nombre y apellidos de la denunciante, edad, formación académica y problemas físicos que le aquejan sin su consentimiento, es subsumible en el tipo de infracción calificada como leve, al no poder deducirse de los datos difundidos a terceros una evaluación de la personalidad del denunciante. Por ello, se considera que ANTA GESTION DE USOS TERCIARIOS S.L. ha incurrido en la infracción leve tipificada en el artículo 44.2.e) de la LOPD.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ANTA GESTION DE USOS TERCIARIOS S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.1 y .4 de la citada Ley Orgánica.

Respecto a la falta de inscripción de ficheros, la AEPD da por buena la inscripción posterior y archiva las actuaciones practicadas en relación con el artículo 26 de la LOPD

13 de abril de 2010

Sanciones por falta de inscripción de ficheros

Resulta sorprendente que más de diez años después de la aprobación de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), cuyo artículo 22 dice:
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de datos.
siga habiendo cientos de miles de entidades (empresas, profesionales e incluso organismos públicos) que aún no hayan dado ese sencillo paso de inscripción de sus ficheros (un trámite sencillo, online y gratuito) y continúen pagando sanciones por ello.

Algunos ejemplos de los últimos meses:
  • Procedimiento sancionador PS/00660/2009 instruido a la entidad Franquicias de Balnearios S.L. Infracción del artículo 26 LOPD, sanción de 601,01 €.
  • Procedimiento sancionador PS/00657/2009 instruido a la entidad Comunidad de Propietarios Piscina Urbanización Los Almendros. Infracción del artículo 26 LOPD, sanción de 601,01 €.
  • Procedimiento sancionador PS/00529/2009 instruido a la entidad Gimnasio Grandmontagne, S.L. Infracción del artículo 26 LOPD, sanción de 601,01 €. Como curiosidad, véase lo que indica el responsable del gimnasio en sus alegaciones: "Que es verdad que conozco al denunciante, aunque este no ha figurado nunca en ninguno de nuestros listados, de manera normativa, eso sí es ejecutivo de una gran instalación deportiva de la ciudad que por supuesto ejerce de leal competencia de la nuestra."
  • Procedimiento sancionador PS/00354/2009 instruido a la entidad Audigestrade Associats, S.L. En este caso la denuncia no es sólo por falta de registro de los ficheros, sino que se añade la falta del preceptivo documento de seguridad. Por la infracción del artículo 26 LOPD, sanción de 601,01 €. Por la infracción del artículo 9 LOPD, sanción de 1000 €.

Para quien aún tenga dudas sobre el procedimiento de inscripción de ficheros, hemos preparado este detallado tutorial en el blog Ayuda Ley Protección Datos.

6 de abril de 2010

Sanciones por videovigilancia (4)

Cuarta recopilación de sanciones de la Agencia Española de Protección de Datos (AEPD), por motivo de instalaciones de videovigilancia (aquí la primera, la segunda y la tercera).

Fecha Resolución
Nº Expediente
Artº Infringido
Sancionado
Importe
14/01/2010
Art. 6 LOPD
Martinsa Fadesa
1.500 €
14/01/2010
Art. 6 LOPD
Club
5.000 €
19/01/2010
Art. 6 LOPD
Particulares
2.000 €
21/01/2010
Art. 5 LOPD
Comercio
600 €
05/10/2009
Art. 6 LOPD
Bar
2.500 €
16/11/2009
Art. 5 y 26.1 LOPD
Particular
3.000 €
09/12/2009
Art. 5 y 26.1 LOPD
Particular
1.500 €
14/12/2009
Art. 5.1 LOPD
Kebap
2.000 €
14/12/2009
Art. 4.1 LOPD
Empresas muebles
4.000 €
17/12/2009
Art. 5.1 LOPD
Com. Propietarios
1.000 €
28/12/2009
Art. 6.1 LOPD
Supermercado
1.500 €