26 de mayo de 2010

Cuidado con los tablones de anuncios

Ya es de sobra conocido por lo frecuente el caso de comunidad de vecinos sancionada por la Agencia Española de Protección de Datos (AEPD) con motivo de haber expuesto en un tablón en el portal (es decir, en un espacio accesible a terceros) la condición de moroso de uno de los vecinos. Además sabemos que el hecho de colocar el citado cartel en una zona sólo accesible a los vecinos, no le exime del resto de requisitos de la protección de datos, como es por ejemplo la exactitud de los datos (véase De oca a oca, la sanción me toca).

Habíamos visto también en Un cartel desproporcionado que el asunto llegaba al mundo empresarial con una sanción por la colocación en un tablón de anuncios de un cuadro en el que se hacía una valoración subjetiva de los conocimientos y eficacia de cada trabajador, aunque sabemos que en determinadas circunstancias pude ser lícito publicar el TC2 en un tablón de anuncios.

En el procedimiento sancionador PS/00353/2009, instruido por la AEPD a JOHNSON CONTROLS AUTOBATERIAS, S.A. tras la denuncia presentada por trabajadores del Comité de empresa, vemos otros caso de denuncia por publicar en “tablones de anuncio de la empresa” una relación de trabajadores diaria que contiene la situación de la plantilla de personal detallando el motivo de la ausencia del trabajo, el nombre y apellidos y como motivo ”enfermedad”, “fecha de baja”, “P.sindical”, ”Vacaciones”, “Falta”.

Pese a las alegaciones de la empresa en el sentido de que tal información era necesaria para la optimización de los procesos de trabajo y de su legalidad en función de varias normativas laborales, la AEPD indica:
(...) el uso de datos de carácter personal, debe en primer lugar ir precedido de una información por parte de la empresa, y de una finalidad así prevista por los ficheros que albergan dichos datos, lo que en el presente caso no se da ni en uno ni en otro sentido. Es decir, ni consta que se informara a los trabajadores que se van a exponer listados con sus datos referentes a las ausencias, ni consta que esta sea la finalidad del fichero que recoge sus datos. (...) pues estar ausente por enfermedad, o por accidente o de permiso, no atañe mas que a su titular.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a JOHNSON CONTROLS AUTOBATERIAS, S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

19 de mayo de 2010

No te quedes con los datos

El procedimiento sancionador PS/00223/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad EXPERT EJECUTIVOS, S.A. (CORREDURIA DE SEGUROS), parte de la denuncia presentada por A.A.A. en el que declaró que firmó un contrato de prestación de servicios con EXPERT para la gestión de la cartera de clientes de su firma ESTUDIO INTEGRAL, decidiendo posteriormente EXPERT la rescisión del mismo comunicándolo a ESTUDIO. No obstante, siguió tratando los datos de los clientes de la cartera de esta ultima, vulnerando la normativa vigente en materia de protección de datos. ESTUDIO al tener conocimiento del tratamiento de sus clientes requirió a dicha empresa que procediera a la devolución de su base de datos de clientes y cesara en dicho tratamiento hecho que hasta el momento no se ha producido.

Siguiendo las obligaciones de la reglamentación en protección de datos, ambas entidades habían suscrito un contrato de tratamiento de datos, donde se especificaba que el encargado del tratamiento, es decir, EXPERT, se compormetía entre otras cláusulas a:
  • Destruir o devolver al Responsable de Fichero los datos de carácter personal objeto de tratamiento, una vez cumplida la prestación de servicios, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento.
  • Mantener el secreto de los datos que trate durante la prestación del servicio, conforme al artículo 10 de la LOPD. Esta obligación subsistirá aún después de finalizar la prestación del servicio.

D. A.A.A. se dirigió a EXPERT por escrito en varias ocasiones, solicitando la devolución de todos los datos, delimitando plazos y designando al nuevo encargado del tratamiento. EXPERT por su parte aseguró ante la inspección que conservaba los datos a efectos de atender obligaciones fiscales y las posibles consultas de los clientes. Sin embargo el propio D. A.A.A. recibió una comunicación de EXPERT en la que le reclamaba el pago de un recibo devuelto, a la que contestó por email:
Asunto: recibo devuelto
Me habéis mandado una carta a mi. No podéis intervenir en la gestión para nada, ni notificar ni cobrar ni NADA de NADA. Todo debe de ser a través de E.E.E. (Grupo Mayo). Lo tenéis prohibido.

En la Fundamentos de Derecho la AEPD explica:
En el presente caso, EXPERT ni destruyó ni devolvió al responsable del fichero los datos de carácter personal objeto de tratamiento, sino que conservó y continuó tratando los datos que le habían sido facilitados como consecuencia de aquella relacióncontractual, constatándose la existencia en sus ficheros de información relativa a 4.571 pólizas en situación de baja, así como información relativa a 56 recibos en situación de gestión.
(...)
En conclusión, ha quedado acreditado que EXPERT decidió por su cuenta y riesgo, separándose de las instrucciones pactadas con el responsable del fichero, no devolviendo ni destruyendo los datos de carácter personal contenido en la base de clientes titularidad de ESTUDIO, una vez cumplida la prestación de servicio, al igual que cualquier soporte o documentos en que constara algún dato de carácter personal objeto de tratamiento y, por tanto, vulnerando el artículo 6.1 de la LOP, que encuentra su tipificación en el articulo 44.3.d) de la misma Ley.

Y por lo tanto
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad EXPERT EJECUTIVOS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 43.3.d) de dicha norma, una multa de 60.101,21 euros (sesenta mil ciento un euros con veintiún céntimos) y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica, en esa cuantía mínima.

Actualización 24/7/11

Hemos recibido desde la empresa denunciada la comunicación de que su recurso ante la Audiencia Nacional ha prosperado y la sanción ha sido anulada.

En el Fundamento cuarto la Sentencia entiende de aplicación no sólo el art. 6.1 de la LOPD en relación con el 12.3, sino también lo previsto en la ley 26/2006 de 17 de julio de mediación de seguros y reaseguros privados (art, 2 que describe las actividades de mediación, art. 26.3 sobre la obligación de facilitar información al tomador, asegurado y beneficiario del seguro, y el art. 44 que establece la obligación del corredor de seguros a atender y resolver las quejas y reclamaciones de su clientela).

Así, concluye indicando que "resulta verosímil la alegación reiteradamente efectuada por la entidad recurrente" ( algunas aseguradoras no efectuaron el cambio de código de corredor y que Expert necesitaba mantener los datos de los afectados por un periodo de tiempo, limitándose a unas pocas facturas pendientes de gestión para atender posibles consultas). y anula la sanción impuesta por la AEPD.


11 de mayo de 2010

Cuestión de detalles

El procedimiento sancionador PS/00373/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a una librería, se inció tras la denuncia presentada por D. A.A.A. al recibir dos comunicaciones comerciales en su dirección de correo electrónico acerca de novedades bibliográficas en el ámbito jurídico.

La librería aportó copia de una página de la Guía Oficial del Ilustre Colegio Oficial de Abogados de Sevilla del año 2008 en la que, entre los datos de otros colegiados, figuraban los datos del denunciante, habiendo presentado también impresión de la ficha del Formulario de Clientes en la que aparecían detallados el nombre y apellidos del denunciante, su número de documento nacional de identidad y el número de teléfono, así como la dirección de correo electrónico.

En los Fundamentos de Derecho, la AEPD rechaza la primera de las alegaciones con el acostumbrado argumento de que:
(...) en contra de lo alegado por la entidad imputada, el hecho de que los datos del destinatario de los correos comerciales denunciados pudieran proceder de la Guía Anual del Ilustre Colegio de Abogados de Sevilla del año 2008 no exime a la entidad imputada de la obligación de obtener el consentimiento previo y expreso del destinatario para la remisión de envíos publicitarios por medios de comunicación electrónica, ya que la LSSI no contempla la excepción recogida por la LOPD para tratar, en envíos publicitarios de naturaleza postal, datos de carácter personal cuyo origen se encuentra en fuentes de acceso públicos.

Sin embargo acepta las evidencias de la relación comercial previa:
(...) la presentación por parte de la entidad imputada de dos albaranes de compra emitidos a nombre del denunciante por la adquisición de dos libros de derecho en fecha anterior a las del envío de los mensajes comerciales denunciados, suponen la existencia de dos elementos de prueba que avalan la tesis mantenida por la denunciada al defender que el dato de la dirección de correo electrónico se obtuvo, junto con los restantes que figuran en la ficha de cliente, del propio denunciante en el momento de efectuarse una compra.

En consecuencia procede exonerar a la librería de la responsabilidad de la comisión de la infracción al artículo 21.1 de la LSSI, dado que se considera que las comunicaciones comerciales denunciadas se enviaron a la dirección de correo electrónico en su condición de cliente de la mencionada librería universitaria y por productos o servicios similares a los que fueron objeto de contratación con anterioridad, lo que legitimaba su envío.

Pero por otro lado se afirma que
(...) la simple lectura del texto de las comunicaciones comerciales objeto de análisis lleva a constatar que el remitente de los envíos denunciados no ofreció al destinatario del correo comercial la posibilidad de oponerse al tratamiento de sus datos con fines promocionales que recoge el segundo párrafo del artículo 21.2 de la LSSI.

Según la librería los correos que dieron lugar al expediente reúnen los requisitos que establece la LSSI, ya que en los mismos “se ofrece la posibilidad de oponerse al tratamiento de sus datos de forma sencilla: con un simple click, y de manera gratuita: por correo electrónico a nuestra dirección, la cual figura en otro enlace en los mensajes enviados. “.

La AEPD determina que la inclusión en cada uno de los mensajes de un enlace a la "Política de privacidad” no supone la cumplimentación por parte del remitente de los mismos del requisito cuya vulneración se imputa, puesto que aunque sea gratuito, no es un procedimiento sencillo ya que, por un lado, la información que se desprende del enlace no permite relacionarlo de forma fácil ni con el ejercicio del derecho de oposición al tratamiento de datos con fines comerciales ni con la existencia de un procedimiento habilitado para ello y, por otro lado, dicho enlace no remite directamente al procedimiento, sino que enlaza con la información

Por tanto el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la LIBRERIA EL GIRALDILLO, S.C., por una infracción del artículo 21.2, segundo párrafo, de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, tipificada como leve en el artículo 38.4.d) de dicha Ley, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada norma.

5 de mayo de 2010

Yo confieso

El procedimiento sancionador PS/00074/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad A.A.A., se inició tras recibir en la AEPD un escrito de D. B.B.B., en adelante el denunciante, en el que manifiestaba haber recibido un correo comercial desde la dirección info@forexgrial.com sin que hubiera solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio, ni haber mantenido relación comercial alguna con la entidad anunciante.

Tras la habitual diligencia de la AEPD y extrema cortesía de los operadores en la obtención de la IP emisora del mensaje, se llegó hasta D. A.A.A., que resultó también ser titular del dominio forexgrial.com

Los representantes de la empresa alegaron:
  • El correo fue remitido como respuesta a un correo previo del cual no conservan copia.
  • El documento es una respuesta tipo de las utilizadas para ampliar información (el texto del correo dice “Estas líneas son para comentarles más detalles sobre….”)
  • Desconocen el origen del dato de la dirección de correo electrónico del denunciante ya que puede haber sido proporcionada por cualquiera de los canales de comunicación que utilizan habitualmente: Chat, formulario web, MSN o Skype.
  • No mantienen ni han mantenido relación contractual con el denunciante
  • No han recibido solicitud alguna del denunciante solicitando la cancelación de sus datos u oponiéndose al envío de comunicaciones comerciales pero han cancelado los datos asociados a la cuenta de correo al recibir noticia de la denuncia.
  • El denunciante ha sido receptor, hasta el momento de su baja, de todas las campañas de publicidad realizadas, siendo el último de ellos uno en el que le felicitan el año 2010 y se le informaba de un concurso en el que se premiaba con varios cursos.
  • La responsable de la marca comercial FOREX GRIAL es Dña. C.C.C., residente en Argentina, con CUIT (Código identificador utilizado por la Hacienda Argentina) *****CUIT1.

Notificado el acuerdo de inicio, el denunciado presentó escrito de alegaciones en el que comunicaba:
Yo, A.A.A., con DNI Nº *****DNI1, RECONOZCO VOLUNTARIAMENTE MI RESPONSABILIDAD, comprometiéndome a tomar las medidas necesarias para que no vuelva a ocurrir.

Ya que el Reglamento del procedimiento para el ejercicio de la potestad sancionadora dispone que:
Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda.
y teniendo en cuenta que el denunciado había reconocido los hechos imputados sin presentar objeciones a los mismos, la AEPD procede a resolver el procedimiento iniciado.

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a A.A.A., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa de 600 € (seiscientos euros), de conformidad con lo establecido en los artículos 39.1 c) y 40 de la citada LSSI.