31 de octubre de 2010

De hermano a hermano

El procedimiento sancionador PS/00110/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a las entidades PESCATRADE, S.A. y FRIO DE CANTABRIA, S.A. (FRICANSA), se inicia tras la entrada en la AEPD de un escrito de D. A.A.A. (en adelante el denunciante) en el que declaraba que FRICANSA presentó en un juicio un correo electrónico, con un curriculum suyo adjunto, que el mismo denunciante había enviado con anterioridad a PESCATRADE, en solicitud de un puesto de trabajo.

Las empresas denunciadas alegaron que,
PESCATRADE es una empresa cántabra cuya actividad es la pesca, importación y venta de productos del mar. No dispone de camiones propios de distribución. Su gerente es el Sr. B.B.B.
FRICANSA es otra empresa cántabra de actividad la distribución de productos del mar, principalmente mediante camiones propios. Su gerente es el Sr. C.C.C., hermano del anterior.
Ambas compañías, de actividades complementarias, y que cuentan con una relación comercial desde hace años, además forman parte de un grupo empresarial, en el cual el Sr. B.B.B. es dueño de PESCATRADE y además es socio al 50% de FRICANSA. Es en el seno de este grupo empresarial en el que se produce la puesta en común del email de referencia, de gerente a gerente. Por tanto, no ha salido de este ámbito en ningún momento.

Asímismo añadieron que la cesión de datos personales “se realiza dentro de de un procedimiento judicial por despido”, que “se han cedido los datos dentro del marco contractual de las relaciones empresariales de un mismo grupo y en ejercicio del derecho de defensa” y que se produce la “puesta en común” de sus datos personales con el objetivo “del mejor ejercicio de su derecho a tutela judicial efectiva”.

La AEPD indica claramente que,
Los hechos expuestos llevan a concluir que la entidad PESCATRADE, S.A. recibió el C.V. del denunciante y lo facilitó a la entidad FRICANSA sin consentimiento del titular de los datos personales contenidos en el mencionado documento.

Reiterando además que ya en el juicio en el que pareció el citado curriculum, la defensa de denunciante presentó un escrito en el que se puede leer de manera literal:
“Que por medio del presente escrito vengo a interesar TESTIMONIO DE PARTICULARES referido los documentos que bajo los números 10 (folio 271) y 11 (folios 272 a 274) aportó la representación procesal de la demandada en el acto del juicio como prueba documental, por precisarlo para ejercer la acciones legales oportunas en relación con el derecho a la intimidad de datos personales, toda vez que los citados documentos consisten en un correo electrónico enviado por mi representado a un tercero ajeno al procedimiento y que obraba en poder de la empresa demandada sin ningún tipo de autorización del acto.”

Y a pesar de encontrar ciertos atenuantes, dado el carácter grave y muy grave de las vulneraciones,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad PESCATRADE, S.A. una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo 11 de la LOPD, tipificada como grave en el artículo 44.4.b) de dicha norma y de conformidad con lo establecido en el artículo 45.2, 3 y 5 de esa misma Ley Orgánica.
SEGUNDO: IMPONER a la entidad FRIO DE CANTABRIA, S.A. (FRICANSA) una multa de 6.000 € (seis mil euros) por la infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma y de conformidad con lo establecido en el artículo 45.1, 2 y 5 de esa misma Ley Orgánica.
Sobre este error de compartir datos entre empresas que tienen algún tipo de relación hay más información en el blog Ayuda Ley Protección Datos:

22 de octubre de 2010

No se ha obtenido constancia

El procedimiento sancionador PS/00282/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad TIEMPO BBDO, S.A. DE PUBLICIDAD, es un clásico ejemplo, (como otros ya tratados aquí anteriormente) de error en el envío de un correo electrónico a varios destinatarios, al colocar todas las direcciones de forma que los receptores ven el mail del resto, en vez de usando la casilla CCO (con copia oculta).

La compañía admitió el error afirmando que:
La colocación de las direcciones de correo en el campo CC, en lugar del campo CCO -como tendría que haber sido- se debió exclusivamente a un error humano, puntual y no deseado (...)
ya que en su Documento de Seguridad se reflejaba de forma expresa que:
En caso de tener que enviar correos electrónicos a más de un destinatario a la vez, es obligatorio utilizar la opción de copia oculta (CCO). En caso de duda sobre dicha funcionalidad, puede consultarse con su Responsable de Área o Departamento (...)

La AEPD indica que teniendo en cuenta los criterios de graduación de las sanciones recogidos en el artículo 45.4 de la LOPD y, en especial, la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento, procede la imposición de la sanción en su cuantía mínima, y por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad TIEMPO BBDO, S.A. DE PUBLICIDAD, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Sin embargo lo que me ha llamado la atención de esta Resolución es que dentro del proceso de investigación, se indica:
(...) se prevé la utilización del fichero “CONSUMIDORES WRIGLEY” (de cuya inscripción con tal nombre en el Registro General de Protección de Datos no se ha obtenido constancia)
lo cual es una evidente irregularidad sancionable, y sin embargo el asunto no se vuelve a mentar durante los folios siguientes, sencillamente se evapora.

Y recordemos que la AEPD no necesita de denuncia alguna para iniciar un procedimiento, es legalmente competente para inciarlo cuando le parezca oportuno. Se ve que no era el caso.

14 de octubre de 2010

A la segunda la vencida... y puede haber tercera

El procedimiento sancionador PS/00172/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad CASUARINA BEACH, S.L. (DORSIA CLÍNICA DE ESTÉTICA), se inició tras el incumplimiento por parte de la clínica de la resolución R/2270/2009, en la que se le instaba a que en el plazo de diez días procediera a facilitar el acceso completo a su historia clínica a la persona física denunciante.

La clínica había enviado un burofax a la denunciante listando una serie de documentos (“Contratos, Consentimiento informado, Evolución médica, Evolución post-quirúrgica, Análisis”), pero sin que estos estuvieran realmente incorporados al mensaje, figurando tanto en la carátula del Burofax, como en el documento de tramitación de envío de Correos, el hecho de que la comunicación constaba únicamente de un documento, excluyendo la carátula.

Tras notificar fehacientemente el Acuerdo de Inicio a la denunciada, y transcurrido el plazo concedido para formular alegaciones sin que se hayan recibido las mismas, el citado acuerdo se considera propuesta de resolución.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CASUARINA BEACH, S.L. (DORSIA CLÍNICA DE ESTÉTICA), por una infracción del artículo 15 de la LOPD, tipificada como grave en el artículo 44.3.e) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Y, además en cualquier caso:
SEGUNDO: INSTAR a CASUARINA BEACH, S.L. (DORSIA CLÍNICA DE ESTÉTICA), a facilitar, en el plazo de diez días desde la notificación de la presente resolución, el acceso a la afectada, de la historia clínica completa que ha venido solicitando, apercibiéndose de que en caso de no realizarse se podrá entender que concurren las causas necesarias para iniciar un procedimiento sancionador al estar incurso en el supuesto tipificado como muy grave en el artículo 44.4.h) de la LOPD.