14 de julio de 2010

Te envío la sentencia por email

El procedimiento sancionador PS/00652/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la asociación Liga Reumatológica Asturiana (en lo sucesivo LRA), se inicia a raíz de la denuncia de D. H.H.H. (en lo sucesivo el denunciante), que manifiesta la vulneración de sus derechos que resulta del envío de un correo electrónico, dirigido a nueve destinatarios, al que se adjuntó copia en formato “pdf” de una Resolución del Servicio de Salud del Principado de Asturias (en lo sucesivo SESPA), dictada en un expediente disciplinario seguido contra el denunciante por falta grave, en la que se contienen los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, los hechos que determinaron la apertura del expediente y su calificación jurídica, así como la sanción impuesta.

La entidad LRA entregó una larga lista de alegaciones, incluyendo la caducidad del procedimiento; la no aplicación de la normativa de protección de datos al presente supuesto, en el que los datos analizados no están contenidos en un fichero estructurado; la participación de la LAR en las actuaciones seguidas por el SESPA contra el denunciante a instancia de una persona asociada a aquella entidad; que los destinatarios del correo electrónico objeto de la denuncia fueron exclusivamente los médicos integrantes del Comité Científico de la LRA; que los datos contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) aparecen en diversas páginas Web, que tienen la consideración de fuentes de acceso público, y en algunas listas de profesionales, como la “Guía Médica de Asturias” accesible a través de la Web del Diario “El Comercio”. Añadió que los datos no se realizó una difusión de los datos del denunciante, sino que fueron trasladados de forma restringida,

La AEPD comienza por indicar la primera vulneración de la LOPD por parte de LRA:
(...) no ha acreditado disponer del preceptivo consentimiento prestado al efecto por el titular de los datos.
Este hecho supone un tratamiento de datos de carácter personal sin consentimiento del afectado.
Por tanto, al no concurrir ninguno de los supuestos del artículo 6.2 de la LOPD que permiten excepcionar la obtención del consentimiento para el tratamiento de datos, se concluye que la actuación de la LRA constituye una vulneración al repetido articulo 6.1 de la LOPD.

Acerca de la alegación sobre la condición de parte interesada en el proceso:
(...) no cabe admitir que el acceso a los datos personales del denunciante por parte de la citada Asociación se justifique por la participación de la misma en el procedimiento disciplinario instruido por el SESPA. La solicitud de asesoramiento que el SESPA realizó al Comité Científico de la LRA, así como la condición de asociada -no acreditada- de una de las reclamantes en ese expediente, sin que se hubiese otorgado representación alguna a la Asociación, no convierte a ésta en parte del mismo.

Sobre el intento de LAR de que no se considere los datos parte de un fichero:
Asimismo, la entidad imputada señala que los hechos analizados están excluidos del ámbito de aplicación de la LOPD, que exige que los datos personales se encuentren contenidos en un archivo estructurado. A este respecto, en un supuesto similar la Audiencia Nacional ha declarado que “el tratamiento de los datos del denunciante está automatizado toda vez que tal información se difunde vía correo electrónico con un enlace o link al que tiene acceso la totalidad de la plantilla, resultando indiferente que la información sea o no difundida en una página web, pues vía Intranet era accesible, como ya hemos indicado, a la totalidad de la plantilla. Así, no puede limitarse la protección que regula el tratamiento del dato a la existencia de un fichero estructurado cuando tal tratamiento se efectúa, al menos en parte, de manera automatizada” (SAN de 11/03/2010).

Sobre la difusión de los datos del denunciado en internet:
Finalmente, señala la entidad LRA que los datos del denunciante contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) gozan de una amplia difusión en la red y han sido publicados por el propio denunciante, y que esto debe entenderse como una “actitud de consentimiento”. Sin embargo, no es cierto que todos los datos personales que figuran en la citada Resolución del SESPA, como son el DNI y las circunstancias relativas a la infracción sancionada, se encuentren divulgados en las distintas páginas Web aportadas por la Asociación. En cualquier caso, debe añadirse que una página web no tiene la consideración de fuente accesible al público, conforme a lo establecido en el artículo 3.j) de la LOPD.

Y por lo tanto, segunda infracción:
En el caso que nos ocupa, ha quedado acreditado que LRA remitió a terceros un documento en el que figuran los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, así como las circunstancias correspondientes al procedimiento disciplinario seguido contra el mismo, con indicación de la infracción declarada y la sanción impuesta. Esta información no puede ser facilitada a terceros, salvo consentimiento del denunciante o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso.

En estas circunstancias se comprueba que un mismo hecho, acceder a los datos del denunciante contenidos en la Resolución del SESPA y remitir ésta mediante un correo electrónico dirigido a diversos destinatarios, da lugar a las dos infracciones reseñadas, dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Por lo tanto procede subsumir ambas infracciones en una, y dado que, en este caso, ambas infracciones están tipificadas como graves, la AEPD considera que procede imputar únicamente la infracción del artículo 6.1 de la LOPD.

Esta consideración resulta extremadamente ventajosa para la parte denunciada, ya que la LOPD califica como leve, grave o muy grave la infracción del artículo 10, dependiendo del contenido de la información que ha sido indebidamente facilitada a terceros, y no de la mayor o menor difusión de los datos que, en todo caso, debería considerarse a efectos de graduar la sanción que pudiera imponerse. Ya que en el presente asunto nos encontramos con datos referentes a la comisión de una infracción administrativa, nivel medio, el supuesto a aplicar sería el de infracción grave, con una sanción mínima de 60.000 euros.

Sin embargo, a la hora de valorar la infracción del artículo 6.1, la "vencedora" del conflicto jurídico, no entra en consideración esta tipología de los datos, y la Agencia encuentra además eximentes a la hora de graduar la sanción:
En el presente procedimiento, atendidas las circunstancias expuestas, y, especialmente, que la entidad LRA estimó que actuaba en el marco de las finalidades específicas de la Asociación y que la información contenida en la Resolución dictada por el SESPA contra el denunciante resultaba de interés para el desarrollo de su actividad y de la correspondiente a su Comité Científico, cabe apreciar una disminución cualificada de la culpabilidad en los hechos imputados, por lo que procede aplicar lo dispuesto en el citado artículo 45.5 de la LOPD con imposición de una sanción según la escala correspondiente a las infracciones leves.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 euros (mil quinientos euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

9 comentarios:

NFRMTC dijo...

No he entendido el razonamiento de la Audiencia respecto a si se trata o no de un fichero, así dicho parece que un documento se convierte en fichero por el mero hecho de enviarlo por mail ¿?

Paco dijo...

Me parece bien resuelto por la Agencia, 60.000 € por esto me hubiera parecido una barbaridad

esalconsultores dijo...

NFRMTC: No es que, por arte de magia, se convierta en un fichero. Es que se realiza un tratamiento, en este caso automatizado al enviarse por mail, que convierte esa actuacion en "sancionable". Hay que recordar que la LOPD no se refiere solo a ficheros, entendidos como "almacenes de datos", si no tambien al tratamiento de datos de caracter personal, como es este el caso.
Por eso cuando algun posible cliente me dice que "les dieron de alta un ficheros de esos hace mucho tiempo" y que con eso ya cumplen la LOPD me dan escalofrios...

Anónimo dijo...

NFRMTC: ¿no haras en serio esta pregunta?
Anda, piensatelo mejor, que tu puedes.

esalconsultores: frio, frio.

Pit.-

NFRMTC dijo...

esal, Pit: habría que leerse la tal sentencia completa, pero lo que se reproduce en esta resolución dice: “el tratamiento de los datos del denunciante está automatizado toda vez que tal información se difunde vía correo electrónico con un enlace o link" pero en este caso es un documento pdf, no hay enlace que lleve a ningún sitio.

Marketing Positivo dijo...

NFRMTC: Art 3 c) LOPD (Definciones), la definición de tratamiento incluye "cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias." Por lo tanto no es imprescindible que el correo electrónico incluya un link para que se considere tratamiento.

Pau A. Monserrat dijo...

Enhorabuena por el post y el blog, que nos ayuda mucho a los que nos dedicamos a la LOPD

Marketing Positivo dijo...

Pau: gracias, con esa esperanza se hace el trabajo ;-)

esalconsultores dijo...

Pit: frio, frio, frio es lo que me gustaria estar pasando ahora mismo en Alicante.
Podrias explicarte un poco mejor? Bueno, mucho mejor? ;-)

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.