30 de junio de 2010

Me voy... y de paso me llevo el fichero

El procedimiento sancionador PS/00613/2009 se inició tras tener entrada en la Agencia Española de Protección de Datos (AEPD) una reclamación interpuesta por D. A.A.A., (el denunciante, en lo sucesivo) poniendo de manifiesto lo siguiente :
El día 24 de octubre recibió por correo un escrito de la empresa EPIDERMOS ofreciendo sus servicios, ignorando quien es, no habiendo estado en sus consultorios.
Jamás les ha facilitado sus señas ni autorización alguna para dirigirse a él.

En el repertorio de abonados a servicios telefónicos no aparecían los datos personales del denunciante, pero la empresa denunciada aseguró que sólo había realizado el mailing a pacientes de su consulta y aportó una copia de la ficha con los datos personales del denunciante, aunque éste volvió a asegurar que no había mantenido ninguna relación con la denunciada y en referencia a la actuación médica referida en la citada ficha: "con quien yo concerté dicho chequeo fue únicamente con el INSTITUTO DEXEUS, S.A."

Lo que en realidad había ocurrido era que Epidermos había prestado durante un tiempo un servicio de chequeos dermatológicos para Dexeus, tratando entre otros pacientes al denunciante. En este caso Epidermos sería desde el punto de vista de la LOPD un Encargado del Tratamiento, que sólo puede usar los datos según las indicaciones del Responsable del Fichero, y que al terminar la relación entre ambas compañías (2006) debería haber destruido o al menos bloqueado tales datos.

Así lo expresa la Resolución sus Fundamentos de Derecho:
La relación profesional entre el Dr. y Dexeus no habilita a aquel para la realización del tratamiento de datos personales de aquellos pacientes ad livitum. Pues de lo contrario se estaría abonando una zona de impunidad para aquellos “profesionales” que prestan sus servicios a una entidad, y utilizan los datos de los clientes de esa entidad, en beneficio propio, pues no se puede olvidar que “el responsable del fichero” tiene que tener el consentimiento del interesado para el tratamiento o acreditar circunstancia que lo dispense, y en el presente caso, el responsable del fichero en el año 1997, era DEXEUS y no las personas individuales que prestaban servicios en él.
(...)
EPIDERMOS S.L trató datos personales del denunciante, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos, por tanto la actuación de la denunciada no es incardinable en ningún supuesto a la excepción a la prestación del consentimiento que recoge el artículo 6.2 de la LOPD, considerando vulnerado dicho precepto.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad B.B.B.., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 12.000 € (doce mil euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

23 de junio de 2010

Con Copia ... a miles

Dos casos de sanciones por envío masivo de correos electrónicos con las direcciones al descubierto:
  • En el procedimiento sancionador PS/00553/2009 el Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a BANKINTER S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 2.000 €
  • En el procedimiento sancionador PS/00679/2009 El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad SÁNCHEZ ROMERO GRUPO INMOBILIARIO INMOBILIARIA S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 3.000 €
En ambos casos la dirección de correo electrónico del denunciante particular se había compartido con más de 2000 otros afectados al estar todas dentro de la sección "Con Copia" en un envío masivo, y a partir de la fecha de los hechos citados comenzó a recibir frecuentemente publicidad de otras empresas con las que anteriormente no había contactado.

La entidad Sánchez Romero no remitió escrito de alegación alguno frente al acuerdo de inicio del procedimento, mientras que Bankinter alegó que obedeció a un error humano involuntario y no intencionado, adjuntando una copia del Código de Ética Profesional, de obligado cumplimiento por todos sus empleados, en cuyo apartado 3.4 se establece el deber de diligencia con el que debe realizarse el tratamiento informático y comercial de los datos de los clientes.

16 de junio de 2010

Dando ejemplo

El procedimiento sancionador PS/00096/2010, instruido por la Agencia Española de Protección de Datos (AEPD), se incia vista la denuncia presentada por Don B.B.B. contra Doña A.A.A. por no tener inscritos los ficheros de datos personales de su despacho profesional de abogados, del que dice haber sido cliente.

Tras verificar en el Registro General de Protección de Datos que no constaban ficheros inscritos cuyo titular sea Doña A.A.A, se procedió a la notificación del acuerdo de inicio a la entidad denunciada, según consta en el acuse emitido por el Servicio de Correos, sin que Doña A.A.A. presentara alegaciones al respecto.

Y por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a Doña A.A.A., por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de de seiscientos un euros con un céntimo de euro (601,01 €) de conformidad con lo establecido en el artículo 44. 1 y 4 de la citada Ley Orgánica.

9 de junio de 2010

El mercadillo de los datos

Hace casi dos años ya nos preguntábamos en este blog ¿A quién le compra los datos D. T.T.T.?, en referencia a una sanción por envío de spam sobre una base de datos adquirida y pagada a una empresa, y ahora nos volvemos a encontrar un caso similar en el procedimiento sancionador PS/00075/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad A.A.A., vista la denuncia presentada por B.B.B., en la que afirmaba lo siguiente:
Recibió el día 11 de septiembre de 2009 en la dirección de correo <...@1...> correo comercial no solicitado de dubon-group@dubon-group.es.
No ha solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio.
No ha autorizado jamás a ningún tercero a solicitar o consentir el envío de comunicaciones comerciales en su nombre.
No mantiene ni ha mantenido relación comercial alguna con la entidad anunciante

El contenido de la comunicación electrónica era la comercialización de ropa laboral, regalos de empresa y elementos de proteccion individual, encontrando cabida en la definición recogida en el Anexo f), párrafo primero de la LSSI, es decir, se trata de todas las formas de comunicaciones destinadas a promocionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o profesional.

En respuesta a la solicitud de información realizada por el inspector actuante, Dña. A.A.A. remitió un escrito en el que manifestó, en referencia al envío del correo electrónico en cuestión, que:
El origen del dato de la dirección de correo electrónico es una base de datos adquirida a Dña C.C.C., residente en Argentina, el 25 de agosto de 2009.
El correo fue remitido como parte de una prueba y en la que se adjuntaba un enlace para poder darse de baja.
Al recibir llamadas de dos personas indicándole que necesitaba autorización previa para mandar los mensajes decidió no seguir con los envíos por lo que no hay más envío que el mencionado .
Ha contactado con el denunciante para disculparse y éste le ha indicado que no ha recibido más mensajes originados por ella.

Evidentemente ninguno de los puntos señalados en el escrito de la denunciada sirve como defensa, por lo que el Director de la AEPD RESUELVE:
PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa 600 € (seiscientos euros) de conformidad con lo establecido en el artículo 40 de la citada LSSI.