22 de julio de 2010

El Tribunal Supremo confirma una sanción de 300.000€ por tirar expedientes médicos a la basura

En marzo del 2005 la Agencia Española de Protección de Datos (AEPD) dictó la Resolución PS-00144-2004 en la que resolvía:
Imponer a la SOCIEDAD TOCOGINECOLÓGICA DEL DR. (“C”), S.L. una multa de 300.506,05 € (trescientos mil quinientos seis euros con cinco céntimos) por la infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como muy grave en el artículo 44.4 g) de dicha norma.
Los hechos que habían motivado la sanción fueron el abandono en un contenedor de más de cien expedientes médicos con datos de carácter personal.

Ahora el Tribunal Supremo ha confirmado la sanción validando a su vez la resolución que en enero de 2007 dictó la Audiencia Nacional y que consideró adecuada la sanción impuesta a esta empresa.

La sociedad denunciada había alegado que la documentación fue arrojada al contenedor por un tercero, pero el Tribunal Supremo recuerda que esta persona era un empleado administrativo, "lo que excluye esa calificación de tercero y comporta la atribución de responsabilidad para la actora, sin que pueda, lógicamente y con seriedad, argumentar su falta de conocimiento de los hechos imputados con vulneración del principio de responsabilidad".

14 de julio de 2010

Te envío la sentencia por email

El procedimiento sancionador PS/00652/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la asociación Liga Reumatológica Asturiana (en lo sucesivo LRA), se inicia a raíz de la denuncia de D. H.H.H. (en lo sucesivo el denunciante), que manifiesta la vulneración de sus derechos que resulta del envío de un correo electrónico, dirigido a nueve destinatarios, al que se adjuntó copia en formato “pdf” de una Resolución del Servicio de Salud del Principado de Asturias (en lo sucesivo SESPA), dictada en un expediente disciplinario seguido contra el denunciante por falta grave, en la que se contienen los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, los hechos que determinaron la apertura del expediente y su calificación jurídica, así como la sanción impuesta.

La entidad LRA entregó una larga lista de alegaciones, incluyendo la caducidad del procedimiento; la no aplicación de la normativa de protección de datos al presente supuesto, en el que los datos analizados no están contenidos en un fichero estructurado; la participación de la LAR en las actuaciones seguidas por el SESPA contra el denunciante a instancia de una persona asociada a aquella entidad; que los destinatarios del correo electrónico objeto de la denuncia fueron exclusivamente los médicos integrantes del Comité Científico de la LRA; que los datos contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) aparecen en diversas páginas Web, que tienen la consideración de fuentes de acceso público, y en algunas listas de profesionales, como la “Guía Médica de Asturias” accesible a través de la Web del Diario “El Comercio”. Añadió que los datos no se realizó una difusión de los datos del denunciante, sino que fueron trasladados de forma restringida,

La AEPD comienza por indicar la primera vulneración de la LOPD por parte de LRA:
(...) no ha acreditado disponer del preceptivo consentimiento prestado al efecto por el titular de los datos.
Este hecho supone un tratamiento de datos de carácter personal sin consentimiento del afectado.
Por tanto, al no concurrir ninguno de los supuestos del artículo 6.2 de la LOPD que permiten excepcionar la obtención del consentimiento para el tratamiento de datos, se concluye que la actuación de la LRA constituye una vulneración al repetido articulo 6.1 de la LOPD.

Acerca de la alegación sobre la condición de parte interesada en el proceso:
(...) no cabe admitir que el acceso a los datos personales del denunciante por parte de la citada Asociación se justifique por la participación de la misma en el procedimiento disciplinario instruido por el SESPA. La solicitud de asesoramiento que el SESPA realizó al Comité Científico de la LRA, así como la condición de asociada -no acreditada- de una de las reclamantes en ese expediente, sin que se hubiese otorgado representación alguna a la Asociación, no convierte a ésta en parte del mismo.

Sobre el intento de LAR de que no se considere los datos parte de un fichero:
Asimismo, la entidad imputada señala que los hechos analizados están excluidos del ámbito de aplicación de la LOPD, que exige que los datos personales se encuentren contenidos en un archivo estructurado. A este respecto, en un supuesto similar la Audiencia Nacional ha declarado que “el tratamiento de los datos del denunciante está automatizado toda vez que tal información se difunde vía correo electrónico con un enlace o link al que tiene acceso la totalidad de la plantilla, resultando indiferente que la información sea o no difundida en una página web, pues vía Intranet era accesible, como ya hemos indicado, a la totalidad de la plantilla. Así, no puede limitarse la protección que regula el tratamiento del dato a la existencia de un fichero estructurado cuando tal tratamiento se efectúa, al menos en parte, de manera automatizada” (SAN de 11/03/2010).

Sobre la difusión de los datos del denunciado en internet:
Finalmente, señala la entidad LRA que los datos del denunciante contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) gozan de una amplia difusión en la red y han sido publicados por el propio denunciante, y que esto debe entenderse como una “actitud de consentimiento”. Sin embargo, no es cierto que todos los datos personales que figuran en la citada Resolución del SESPA, como son el DNI y las circunstancias relativas a la infracción sancionada, se encuentren divulgados en las distintas páginas Web aportadas por la Asociación. En cualquier caso, debe añadirse que una página web no tiene la consideración de fuente accesible al público, conforme a lo establecido en el artículo 3.j) de la LOPD.

Y por lo tanto, segunda infracción:
En el caso que nos ocupa, ha quedado acreditado que LRA remitió a terceros un documento en el que figuran los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, así como las circunstancias correspondientes al procedimiento disciplinario seguido contra el mismo, con indicación de la infracción declarada y la sanción impuesta. Esta información no puede ser facilitada a terceros, salvo consentimiento del denunciante o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso.

En estas circunstancias se comprueba que un mismo hecho, acceder a los datos del denunciante contenidos en la Resolución del SESPA y remitir ésta mediante un correo electrónico dirigido a diversos destinatarios, da lugar a las dos infracciones reseñadas, dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Por lo tanto procede subsumir ambas infracciones en una, y dado que, en este caso, ambas infracciones están tipificadas como graves, la AEPD considera que procede imputar únicamente la infracción del artículo 6.1 de la LOPD.

Esta consideración resulta extremadamente ventajosa para la parte denunciada, ya que la LOPD califica como leve, grave o muy grave la infracción del artículo 10, dependiendo del contenido de la información que ha sido indebidamente facilitada a terceros, y no de la mayor o menor difusión de los datos que, en todo caso, debería considerarse a efectos de graduar la sanción que pudiera imponerse. Ya que en el presente asunto nos encontramos con datos referentes a la comisión de una infracción administrativa, nivel medio, el supuesto a aplicar sería el de infracción grave, con una sanción mínima de 60.000 euros.

Sin embargo, a la hora de valorar la infracción del artículo 6.1, la "vencedora" del conflicto jurídico, no entra en consideración esta tipología de los datos, y la Agencia encuentra además eximentes a la hora de graduar la sanción:
En el presente procedimiento, atendidas las circunstancias expuestas, y, especialmente, que la entidad LRA estimó que actuaba en el marco de las finalidades específicas de la Asociación y que la información contenida en la Resolución dictada por el SESPA contra el denunciante resultaba de interés para el desarrollo de su actividad y de la correspondiente a su Comité Científico, cabe apreciar una disminución cualificada de la culpabilidad en los hechos imputados, por lo que procede aplicar lo dispuesto en el citado artículo 45.5 de la LOPD con imposición de una sanción según la escala correspondiente a las infracciones leves.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 euros (mil quinientos euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

7 de julio de 2010

Aparezco, facturo, desaparezco

El procedimiento sancionador PS/00478/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ARBALEX CONSULTING JURIDICO, S.L. (en adelante ARBALEX), se inició tras la denuncia presentada por D. A.A.A. y D. B.B.B. (en adelante los denunciantes) en la que manifestaban que se giró contra su cuenta bancaria un recibo por importe de 111,36 € emitido por ARBALEX con quien no habían contratado ningún servicio ni tenían ninguna relación contractual así como no le habían facilitado número de cuenta bancaria.

En la inspección realizada en las instalaciones de la empresa denunciada se constató que ofrecía servicios de asesoría jurídica por medio de equipos de abogados independientes, por periodos de un año. Habían remitido una carta a potenciales clientes, cuyos datos fueron recabados de fuentes de acceso público, y también un formulario para recabar los datos personales de todos aquellos que desearan contratar dichos servicios. Posteriormente se contactó, de igual modo, pero telefónicamente, con los potenciales clientes para recabar los datos que figuraban en el formulario. Los datos que se recabaron en las llamadas fueron los que figuraban en el formulario y la información fue almacenada directamente en el ordenador, no contando la entidad con soporte documental que acreditase la voluntad de contratación de sus clientes. La entidad tuvo posteriormente un periodo de inactividad y tras instalarse en su nueva oficina comenzó a facturar a los clientes que habían contratado sus servicios y aportado sus datos personales en las llamadas telefónicas.

Obviamente no se podía demostrar ningún consentimiento, ni en este caso ni probablemente en el de ninguno de los clientes facturados por esta empresa, que además a partir del inicio del procedimiento sancionador desapareció de sus instalaciones, teniendo que proceder la AEPD a la notificación del Acuerdo de inicio a través del tablón de anuncios del Ayuntamiento de Málaga y del Boletín Oficial del Estado, sin que se recibiera recurso alguno dentro del plazo previsto por ley.

El dictamen de la AEPD en los Fundamentos de Derecho es claro:
En el presente caso, ARBALEX CONSULTING JURIDICO, S.L. ha tratado los datos personales de D. A.A.A. y D. B.B.B. sin su consentimiento, en concreto, los datos personales necesarios para emitir y cargar en cuenta un recibo, y ha conculcado el principio de consentimiento regulado en el artículo 6.1 de la LOPD que encuentra su tipificación en el artículo 44.3.d) de dicha norma.

Y por tanto
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ARBALEX CONSULTING JURIDICO, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.