25 de noviembre de 2010

Revisa los comprobantes antes de dar copia

El procedimiento sancionador PS/00094/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a una asociación de madres y padres de alumnos (AMPA) se inicia tras la denuncia de un padre que al solicitar el comprobante de un impago que el AMPA le reclamaba, recibió copia del justificante bancario en el que constaba no solo el impago a nombre de su hija, sino además otros a nombre de dos alumnos del mismo colegio, incluyendo en ambos casos el numero de cuenta corriente y el motivo de la devolución.

Tras recibir la notificación del acuerdo de inicio de procedimiento sancionador, la entidad AMPA alegó no haber vulnerado la LOPD, por cuanto había obtenido el consentimiento de los padres de los afectados para la cesión de sus datos en el marco de su actividad. Asimismo, reiteró las manifestaciones efectuadas a los servicios de inspección de la AEPD, señalando que la información se facilitó al denunciante para atender la petición que el mismo había formulado a la Asociación y que dicha información no se cedió para que el denunciante hiciera un uso indebido de la misma. Finalmente, resaltaron que los propios afectados, valorando la ausencia de mala fe en la actuación de la AMPA, no presentaron denuncia alguna.

La Agencia admite en los Fundamentos de Derecho que en el denunciante había solicitado ante la AMPA que acreditasen la devolución de recibos de la misma emitidos a su cargo, pero aclara que esta solicitud no justifica la entrega de datos de terceros que figuran en el documento entregado al denunciante por la entidad imputada, que estaba obligada a respetar la confidencialidad de esa información y debió articular otro medio para atender la solicitud del denunciante sin que ello implicara la revelación de datos personales de terceros.

En referencia a un posible consentimiento de los padres de los alumnos afectados, se afirma que el documento aportado no acredita fehacientemente la identidad de las personas que lo suscriben y, en cualquier caso, no se refieren a los datos de los alumnos afectados, sino de los propios firmantes. Además, dicho documento, que autoriza la cesión en el marco de la actividad de la Asociación, no justifica la revelación de datos denunciada, por cuanto la misma no resulta necesaria para el desarrollo de la actividad de la AMPA.

Por tanto ha quedado acreditado que AMPA, como responsable de la entrega al denunciante del comprobante de devolución de recibos objeto de la denuncia, informó al mismo sobre recibos impagados por otros alumnos distintos a su hija, resultando que la entidad AMPA no actuó con la diligencia debida al haber posibilitado que una tercera persona tuviese acceso a la información señalada, por lo que se vulnera el deber de secreto a tenor del artículo 10 de la LOPD.

El incumplimiento del deber de guardar secreto establecido en el artículo 10 de la LOPD constituye, por regla general, una infracción leve y sólo constituye una infracción grave en los casos específicamente enunciados en el artículo 44.3.g), es decir, cuando la vulneración del deber de guardar secreto afecte a “... los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”.

En este caso, la AEPD sostiene que los datos personales contenidos en el comprobante de devolución de recibos, en concreto respecto del nombre, primer apellido y número de cuenta bancaria de dos alumnos, no permiten realizar una evaluación de la personalidad de los mismos, por lo que la vulneración del artículo 10 debe ser tipificada como infracción leve.

Y así, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AMPA CEIP ANTON BUSQUETS I PUNSET, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

18 de noviembre de 2010

Sanciones por videovigilancia (5)

Quinta recopilación en este blog de sanciones de la Agencia Española de Protección de Datos (AEPD), por motivo de instalaciones de videovigilancia (aquí la primera, la segunda, la tercera y la cuarta).

Fecha - Nº Expediente - Artº Infringido - Sancionado - Importe

10 de noviembre de 2010

Más de tres es pecado grave

El procedimiento sancionador PS/00191/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L., se inició tras denuncia de A.A.A. por haber recibido cuatro correos electrónicos no solicitados con información comercial de la citada empresa.

Ya que las cuentas de correo emisoras pertenecían a dos dominios propiedad de la empresa, y a que su proveedor de hosting informó que las IP habían sido en las fechas indicadas asignadas a la misma, no parecía quedar mucha duda sobre la autoría, y aunque la denunciada aseguró en un primer recurso que "No han remitido ninguno de los correos electrónicos referidos en el escrito de denuncia", al no volver a presentar alegación alguna durante el resto de fases del proceso, éste continuó con la calificación de falta grave, según el artículo 38.3.c) de la LSSI:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L, por una infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo 38.3 c) de la LSSI, una multa de 30.001 € ( treinta mil un euro) de conformidad con lo establecido en el artículo 40 de la citada LSSI.

5 de noviembre de 2010

Tienes que dejar que se opongan (siempre)

Ya se vió en Cuestión de detalles la importancia que tiene cumplir con las exigencias del artículo 21.2 de la Ley de Servicios de la Sociedad de la Información (LSSI), que en su párrafo final indica:
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
En el procedimiento sancionador PS/00278/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad JET MULTIMEDIA ESPAÑA S.A., estamos en una situación similar, ya que la denunciada envió por SMS un mensaje con el texto "Publi: El telefono ####### ha sido seleccionado para poder ganar 3000 euros. Si quieres conseguirlos envía la palabra ORO al ### -1,5e/sms", y aunque la receptora y denunciante había sido con anterioridad cliente de la empresa y no se discute la legitimidad para el envío del SMS, la AEPD señala:
En el presente supuesto, ha quedado acreditado que el denunciante recibió en su teléfono nº ####### el mensaje de texto que aparece en el Hecho Probado I y IV y no incluía la posibilidad de oponerse al tratamiento de sus datos con fines comerciales, tal como exige el último apartado del art. 21.2 de la LSSI. Sin que den cumplimiento al mandato del precepto los medios alternativos y la información de la pagina Web del denunciado referente a su política de privacidad, pues el articulo es claro en su redacción a la hora de establecer cuando se ha de ofrecer dicho procedimiento de oposición: " ….tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija".
Y así por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad JET MULTIMEDIA ESPAÑA S.A., por una infracción del artículo 21.2 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa de 600 euros ( seis cientos euros) de conformidad con lo establecido en el artículo 39 de la citada LSSI.