25 de noviembre de 2010

Revisa los comprobantes antes de dar copia

El procedimiento sancionador PS/00094/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a una asociación de madres y padres de alumnos (AMPA) se inicia tras la denuncia de un padre que al solicitar el comprobante de un impago que el AMPA le reclamaba, recibió copia del justificante bancario en el que constaba no solo el impago a nombre de su hija, sino además otros a nombre de dos alumnos del mismo colegio, incluyendo en ambos casos el numero de cuenta corriente y el motivo de la devolución.

Tras recibir la notificación del acuerdo de inicio de procedimiento sancionador, la entidad AMPA alegó no haber vulnerado la LOPD, por cuanto había obtenido el consentimiento de los padres de los afectados para la cesión de sus datos en el marco de su actividad. Asimismo, reiteró las manifestaciones efectuadas a los servicios de inspección de la AEPD, señalando que la información se facilitó al denunciante para atender la petición que el mismo había formulado a la Asociación y que dicha información no se cedió para que el denunciante hiciera un uso indebido de la misma. Finalmente, resaltaron que los propios afectados, valorando la ausencia de mala fe en la actuación de la AMPA, no presentaron denuncia alguna.

La Agencia admite en los Fundamentos de Derecho que en el denunciante había solicitado ante la AMPA que acreditasen la devolución de recibos de la misma emitidos a su cargo, pero aclara que esta solicitud no justifica la entrega de datos de terceros que figuran en el documento entregado al denunciante por la entidad imputada, que estaba obligada a respetar la confidencialidad de esa información y debió articular otro medio para atender la solicitud del denunciante sin que ello implicara la revelación de datos personales de terceros.

En referencia a un posible consentimiento de los padres de los alumnos afectados, se afirma que el documento aportado no acredita fehacientemente la identidad de las personas que lo suscriben y, en cualquier caso, no se refieren a los datos de los alumnos afectados, sino de los propios firmantes. Además, dicho documento, que autoriza la cesión en el marco de la actividad de la Asociación, no justifica la revelación de datos denunciada, por cuanto la misma no resulta necesaria para el desarrollo de la actividad de la AMPA.

Por tanto ha quedado acreditado que AMPA, como responsable de la entrega al denunciante del comprobante de devolución de recibos objeto de la denuncia, informó al mismo sobre recibos impagados por otros alumnos distintos a su hija, resultando que la entidad AMPA no actuó con la diligencia debida al haber posibilitado que una tercera persona tuviese acceso a la información señalada, por lo que se vulnera el deber de secreto a tenor del artículo 10 de la LOPD.

El incumplimiento del deber de guardar secreto establecido en el artículo 10 de la LOPD constituye, por regla general, una infracción leve y sólo constituye una infracción grave en los casos específicamente enunciados en el artículo 44.3.g), es decir, cuando la vulneración del deber de guardar secreto afecte a “... los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”.

En este caso, la AEPD sostiene que los datos personales contenidos en el comprobante de devolución de recibos, en concreto respecto del nombre, primer apellido y número de cuenta bancaria de dos alumnos, no permiten realizar una evaluación de la personalidad de los mismos, por lo que la vulneración del artículo 10 debe ser tipificada como infracción leve.

Y así, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AMPA CEIP ANTON BUSQUETS I PUNSET, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

9 comentarios:

NFRMTC dijo...

Me irritan estos casos. Aquí no es una cuestión (sólo) de LOPD ¿es que hace falta que lo ponga en una ley para darse cuenta de que no es correcto darle a alguien un documento que incluye información de terceras personas? Esto es (también) falta de educación y respeto por la privacidad de los demás, con o sin ley por delante.

Mar Lboro dijo...

Iba a comentar lo mismo...
Está claro que falta concienciación. Lo que da miedito es pensar que haría esa persona si en vez de tener un papel tuviera un fichero informático ¿también se lo hubiera mandado completo al denunciante?
Ahora que por otro lado es cierto lo que argumentan en su recurso: al tipo se le ve muy mala baba y ganas de venganza por algún otro asunto anterior, claro que como esto no es eximente...

Paco dijo...

Y suerte que eran datos básicos, que si no les cae desde 60.000€, aunque a ver cómo se cobra eso a un AMPA.

Anónimo dijo...

Luego todas estas entidades se excusan en que no les va a pasar nada porque todos se conocen y no hay mala fe.........aquí tenemos un buen ejemplo de todo lo contrario.

esalconsultores dijo...

Pero no habiamos quedado en que eso de la LOPD era solo para empresas??? ;-)

Un ejemplo muy clarito de como afecta la LOPD a TODOS los que manejan datos de caracter personal en el ejercicio de actividades que no sean exclusivamente personales o domesticas. Como dice muy bien Anonimo "no hay problema, si todos nos conocemos y nos llevamos nuy bien. Aqui nadie va a denunciar..."
Nunca digas nunca.

Áudea dijo...

Pero el padre denunciante no es miembro de la AMPA? Creo que su impago se va a incrementar ligeramente!

No debería advertir estas cosas la AEPD??
"Está usted seguro???? Pero seguro del todo????" :)

Marketing Positivo dijo...

Áudea: cierto, es el mismo caso que el vecino que denuncia su comunidad de propietarios, luego le tocará la parte alícuota del importe de la sanción.
No sé si sería obligación de la AEPD advertir al denunciante de esto, quizás si se presenta "en ventanilla" el funcionario de turno puede discretamente comentarlo, pero si la denuncia llega por escrito y se registra... entiendo que ya no pueden dejar de tramitarla.

etore dijo...

Ciertamente, los que estamos involucrados en asesorar a empresas en su adaptación nos esforzamos todos en ser rigurosos con aspectos técnicos (que si inventario actualizados de soportes, registros de entrada y salida, comprobación de copias de seguridad..), en la sensibilización de todos los empleados, etc. y, sin embargo, todos los días vemos auténticas barbaridades a nuestro alrededor:

1.En el hospital, cuadrantes de turnos de trabajo, con nombres y apellidos, en un pasillo de acceso público.
2.En la sala de espera de un abogado penalista puedes escuchar todo tipo de detalles de las vidas de otras personas, por no tener un tabique o puerta mínimamente adecuado.
3. Dejas tu ordenador en un servicio técnico oficial, con toda tu vida dentro, y no te dan ni un recibí.

Si fuéramos malas personas, o quizás buenas, tendríamos más facilidad para denunciar infracciones referidas a la protección de datos que un agente buscando vehículos en segunda fila.

Nos queda mucho trabajo por hacer.

Víctor
www.intracomunicaciones.com

Prestiti Enrica dijo...

Para mi es una cosa de simple sentido comùn. Como el voltear la mirada "por respeto" a quien digita una clave, por ejemplo... Necesitamos leyes para aprender a respetar la privacidad de los demàs??... Evidentemente si, que tristeza! Muy interesante tu articulo, gracias!
Saludos de Enrica Prestiti

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.