Ley de Protección de Datos Personales - Sanciones LOPD

Recordando el traslado

2011-03-28T16:24:00.000+02:00

Veo que cometí el error de no eliminar la sección de suscripción en el lateral de este blog cuando anuncié su Punto y aparte, por lo que algún lector que llegó desde Google creyéndolo aún activo se ha suscrito a una publicación que ya no emite novedades. Una vez eliminada la citada sección, envío esta comunicación para recordar que la temática de este blog (sanciones) mucho más ampliada con informes jurídicos, consejos y diversas utilidades se ha trasladado al sitio Ayuda Ley Protección Datos, al que también puede el lector suscribirse, si es que no lo ha hecho ya, por estos métodos:

Para suscribirse a Ayuda Ley Protección Datos:

Punto y aparte de este blog

2010-12-09T07:44:00.000+01:00

A partir de hoy este blog dejará de actualizarse. La temática tratada (sanciones LOPD) se traslada al sitio Ayuda Ley Protección Datos, donde se alojará bajo la etiqueta "Sanciones".

Los artículos publicados no desaparecen, el blog se mantendrá online para consultas, y cuando alguna de las resoluciones sea revisada en Ayuda LOPD (entre otras cosas para intentar darle un enfoque más práctico), se incluirá al inicio del post la aclaración y un enlace a la nueva versión.

Si el lector está interesado en seguir los análisis de sanciones de la AEPD y aún no está suscrito al blog Ayuda LOPD, dejo aquí los enlaces para la suscripción.

Para suscribirse a Ayuda Ley Protección Datos:

Revisa los comprobantes antes de dar copia

2010-11-25T08:26:00.011+01:00

El procedimiento sancionador PS/00094/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a una asociación de madres y padres de alumnos (AMPA) se inicia tras la denuncia de un padre que al solicitar el comprobante de un impago que el AMPA le reclamaba, recibió copia del justificante bancario en el que constaba no solo el impago a nombre de su hija, sino además otros a nombre de dos alumnos del mismo colegio, incluyendo en ambos casos el numero de cuenta corriente y el motivo de la devolución.

Tras recibir la notificación del acuerdo de inicio de procedimiento sancionador, la entidad AMPA alegó no haber vulnerado la LOPD, por cuanto había obtenido el consentimiento de los padres de los afectados para la cesión de sus datos en el marco de su actividad. Asimismo, reiteró las manifestaciones efectuadas a los servicios de inspección de la AEPD, señalando que la información se facilitó al denunciante para atender la petición que el mismo había formulado a la Asociación y que dicha información no se cedió para que el denunciante hiciera un uso indebido de la misma. Finalmente, resaltaron que los propios afectados, valorando la ausencia de mala fe en la actuación de la AMPA, no presentaron denuncia alguna.

La Agencia admite en los Fundamentos de Derecho que en el denunciante había solicitado ante la AMPA que acreditasen la devolución de recibos de la misma emitidos a su cargo, pero aclara que esta solicitud no justifica la entrega de datos de terceros que figuran en el documento entregado al denunciante por la entidad imputada, que estaba obligada a respetar la confidencialidad de esa información y debió articular otro medio para atender la solicitud del denunciante sin que ello implicara la revelación de datos personales de terceros.

En referencia a un posible consentimiento de los padres de los alumnos afectados, se afirma que el documento aportado no acredita fehacientemente la identidad de las personas que lo suscriben y, en cualquier caso, no se refieren a los datos de los alumnos afectados, sino de los propios firmantes. Además, dicho documento, que autoriza la cesión en el marco de la actividad de la Asociación, no justifica la revelación de datos denunciada, por cuanto la misma no resulta necesaria para el desarrollo de la actividad de la AMPA.

Por tanto ha quedado acreditado que AMPA, como responsable de la entrega al denunciante del comprobante de devolución de recibos objeto de la denuncia, informó al mismo sobre recibos impagados por otros alumnos distintos a su hija, resultando que la entidad AMPA no actuó con la diligencia debida al haber posibilitado que una tercera persona tuviese acceso a la información señalada, por lo que se vulnera el deber de secreto a tenor del artículo 10 de la LOPD.

El incumplimiento del deber de guardar secreto establecido en el artículo 10 de la LOPD constituye, por regla general, una infracción leve y sólo constituye una infracción grave en los casos específicamente enunciados en el artículo 44.3.g), es decir, cuando la vulneración del deber de guardar secreto afecte a “... los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”.

En este caso, la AEPD sostiene que los datos personales contenidos en el comprobante de devolución de recibos, en concreto respecto del nombre, primer apellido y número de cuenta bancaria de dos alumnos, no permiten realizar una evaluación de la personalidad de los mismos, por lo que la vulneración del artículo 10 debe ser tipificada como infracción leve.

Y así, el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad AMPA CEIP ANTON BUSQUETS I PUNSET, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Sanciones por videovigilancia (5)

2010-11-18T12:11:00.000+01:00

Quinta recopilación en este blog de sanciones de la Agencia Española de Protección de Datos (AEPD), por motivo de instalaciones de videovigilancia (aquí la primera, la segunda, la tercera y la cuarta).

Fecha - Nº Expediente - Artº Infringido - Sancionado - Importe

18/06/2010 PS/00164/2010 Art. 6 LOPD Club Tucán 2.500 €
07/07/2010 PS/00046/2010 Art. 5.1 LOPD Ceyja S.A. 2.000 €
02/07/2010 PS/00053/2010 Art. 5.1 LOPD Eurobazar Wang S.A. 601 €
07/07/2010 PS/00115/2010 Art. 5.1 LOPD GP Andamur SL 1.900 €
19/07/2010 PS/00045/2010 Art. 6 LOPD Particular 2.000 €
23/08/2010 PS/00109/2010 Art. 6.1. LOPD Particular 1.000 €
03/09/2010 PS/00254/2010 Art. 26.1 LOPD Manfri S.L. 2.300 €
02/09/2010 PS/00208/2010 Art. 5.1 LOPD Truco XXI, S.C 1.000 €
20/09/2010 PS/00200/2010 Art. 6.1. LOPD Particular 1.000 €

Más de tres es pecado grave

2010-11-10T17:37:00.000+01:00

El procedimiento sancionador PS/00191/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L., se inició tras denuncia de A.A.A. por haber recibido cuatro correos electrónicos no solicitados con información comercial de la citada empresa.

Ya que las cuentas de correo emisoras pertenecían a dos dominios propiedad de la empresa, y a que su proveedor de hosting informó que las IP habían sido en las fechas indicadas asignadas a la misma, no parecía quedar mucha duda sobre la autoría, y aunque la denunciada aseguró en un primer recurso que "No han remitido ninguno de los correos electrónicos referidos en el escrito de denuncia", al no volver a presentar alegación alguna durante el resto de fases del proceso, éste continuó con la calificación de falta grave, según el artículo 38.3.c) de la LSSI:

c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L, por una infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo 38.3 c) de la LSSI, una multa de 30.001 € ( treinta mil un euro) de conformidad con lo establecido en el artículo 40 de la citada LSSI.

Tienes que dejar que se opongan (siempre)

2010-11-05T10:11:00.000+01:00

Ya se vió en Cuestión de detalles la importancia que tiene cumplir con las exigencias del artículo 21.2 de la Ley de Servicios de la Sociedad de la Información (LSSI), que en su párrafo final indica:

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

En el procedimiento sancionador PS/00278/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad JET MULTIMEDIA ESPAÑA S.A., estamos en una situación similar, ya que la denunciada envió por SMS un mensaje con el texto "Publi: El telefono ####### ha sido seleccionado para poder ganar 3000 euros. Si quieres conseguirlos envía la palabra ORO al ### -1,5e/sms", y aunque la receptora y denunciante había sido con anterioridad cliente de la empresa y no se discute la legitimidad para el envío del SMS, la AEPD señala:

En el presente supuesto, ha quedado acreditado que el denunciante recibió en su teléfono nº ####### el mensaje de texto que aparece en el Hecho Probado I y IV y no incluía la posibilidad de oponerse al tratamiento de sus datos con fines comerciales, tal como exige el último apartado del art. 21.2 de la LSSI. Sin que den cumplimiento al mandato del precepto los medios alternativos y la información de la pagina Web del denunciado referente a su política de privacidad, pues el articulo es claro en su redacción a la hora de establecer cuando se ha de ofrecer dicho procedimiento de oposición: " ….tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija".

Y así por tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad JET MULTIMEDIA ESPAÑA S.A., por una infracción del artículo 21.2 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa de 600 euros ( seis cientos euros) de conformidad con lo establecido en el artículo 39 de la citada LSSI.

De hermano a hermano

2010-10-31T21:35:00.000+01:00

El procedimiento sancionador PS/00110/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a las entidades PESCATRADE, S.A. y FRIO DE CANTABRIA, S.A. (FRICANSA), se inicia tras la entrada en la AEPD de un escrito de D. A.A.A. (en adelante el denunciante) en el que declaraba que FRICANSA presentó en un juicio un correo electrónico, con un curriculum suyo adjunto, que el mismo denunciante había enviado con anterioridad a PESCATRADE, en solicitud de un puesto de trabajo.

Las empresas denunciadas alegaron que,

PESCATRADE es una empresa cántabra cuya actividad es la pesca, importación y venta de productos del mar. No dispone de camiones propios de distribución. Su gerente es el Sr. B.B.B.

FRICANSA es otra empresa cántabra de actividad la distribución de productos del mar, principalmente mediante camiones propios. Su gerente es el Sr. C.C.C., hermano del anterior.

Ambas compañías, de actividades complementarias, y que cuentan con una relación comercial desde hace años, además forman parte de un grupo empresarial, en el cual el Sr. B.B.B. es dueño de PESCATRADE y además es socio al 50% de FRICANSA. Es en el seno de este grupo empresarial en el que se produce la puesta en común del email de referencia, de gerente a gerente. Por tanto, no ha salido de este ámbito en ningún momento.

Asímismo añadieron que la cesión de datos personales “se realiza dentro de de un procedimiento judicial por despido”, que “se han cedido los datos dentro del marco contractual de las relaciones empresariales de un mismo grupo y en ejercicio del derecho de defensa” y que se produce la “puesta en común” de sus datos personales con el objetivo “del mejor ejercicio de su derecho a tutela judicial efectiva”.

La AEPD indica claramente que,

Los hechos expuestos llevan a concluir que la entidad PESCATRADE, S.A. recibió el C.V. del denunciante y lo facilitó a la entidad FRICANSA sin consentimiento del titular de los datos personales contenidos en el mencionado documento.

Reiterando además que ya en el juicio en el que pareció el citado curriculum, la defensa de denunciante presentó un escrito en el que se puede leer de manera literal:

“Que por medio del presente escrito vengo a interesar TESTIMONIO DE PARTICULARES referido los documentos que bajo los números 10 (folio 271) y 11 (folios 272 a 274) aportó la representación procesal de la demandada en el acto del juicio como prueba documental, por precisarlo para ejercer la acciones legales oportunas en relación con el derecho a la intimidad de datos personales, toda vez que los citados documentos consisten en un correo electrónico enviado por mi representado a un tercero ajeno al procedimiento y que obraba en poder de la empresa demandada sin ningún tipo de autorización del acto.”

Y a pesar de encontrar ciertos atenuantes, dado el carácter grave y muy grave de las vulneraciones,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad PESCATRADE, S.A. una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo 11 de la LOPD, tipificada como grave en el artículo 44.4.b) de dicha norma y de conformidad con lo establecido en el artículo 45.2, 3 y 5 de esa misma Ley Orgánica.

SEGUNDO: IMPONER a la entidad FRIO DE CANTABRIA, S.A. (FRICANSA) una multa de 6.000 € (seis mil euros) por la infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma y de conformidad con lo establecido en el artículo 45.1, 2 y 5 de esa misma Ley Orgánica.

Sobre este error de compartir datos entre empresas que tienen algún tipo de relación hay más información en el blog Ayuda Ley Protección Datos:

No se ha obtenido constancia

2010-10-22T08:52:00.000+02:00

El procedimiento sancionador PS/00282/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad TIEMPO BBDO, S.A. DE PUBLICIDAD, es un clásico ejemplo, (como otros ya tratados aquí anteriormente) de error en el envío de un correo electrónico a varios destinatarios, al colocar todas las direcciones de forma que los receptores ven el mail del resto, en vez de usando la casilla CCO (con copia oculta).

La compañía admitió el error afirmando que:

La colocación de las direcciones de correo en el campo CC, en lugar del campo CCO -como tendría que haber sido- se debió exclusivamente a un error humano, puntual y no deseado (...)

ya que en su Documento de Seguridad se reflejaba de forma expresa que:

En caso de tener que enviar correos electrónicos a más de un destinatario a la vez, es obligatorio utilizar la opción de copia oculta (CCO). En caso de duda sobre dicha funcionalidad, puede consultarse con su Responsable de Área o Departamento (...)

La AEPD indica que teniendo en cuenta los criterios de graduación de las sanciones recogidos en el artículo 45.4 de la LOPD y, en especial, la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento, procede la imposición de la sanción en su cuantía mínima, y por tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad TIEMPO BBDO, S.A. DE PUBLICIDAD, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Sin embargo lo que me ha llamado la atención de esta Resolución es que dentro del proceso de investigación, se indica:

(...) se prevé la utilización del fichero “CONSUMIDORES WRIGLEY” (de cuya inscripción con tal nombre en el Registro General de Protección de Datos no se ha obtenido constancia)

lo cual es una evidente irregularidad sancionable, y sin embargo el asunto no se vuelve a mentar durante los folios siguientes, sencillamente se evapora.

Y recordemos que la AEPD no necesita de denuncia alguna para iniciar un procedimiento, es legalmente competente para inciarlo cuando le parezca oportuno. Se ve que no era el caso.

A la segunda la vencida... y puede haber tercera

2010-10-14T08:32:00.019+02:00

El procedimiento sancionador PS/00172/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad CASUARINA BEACH, S.L. (DORSIA CLÍNICA DE ESTÉTICA), se inició tras el incumplimiento por parte de la clínica de la resolución R/2270/2009, en la que se le instaba a que en el plazo de diez días procediera a facilitar el acceso completo a su historia clínica a la persona física denunciante.

La clínica había enviado un burofax a la denunciante listando una serie de documentos (“Contratos, Consentimiento informado, Evolución médica, Evolución post-quirúrgica, Análisis”), pero sin que estos estuvieran realmente incorporados al mensaje, figurando tanto en la carátula del Burofax, como en el documento de tramitación de envío de Correos, el hecho de que la comunicación constaba únicamente de un documento, excluyendo la carátula.

Tras notificar fehacientemente el Acuerdo de Inicio a la denunciada, y transcurrido el plazo concedido para formular alegaciones sin que se hayan recibido las mismas, el citado acuerdo se considera propuesta de resolución.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad CASUARINA BEACH, S.L. (DORSIA CLÍNICA DE ESTÉTICA), por una infracción del artículo 15 de la LOPD, tipificada como grave en el artículo 44.3.e) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Y, además en cualquier caso:

SEGUNDO: INSTAR a CASUARINA BEACH, S.L. (DORSIA CLÍNICA DE ESTÉTICA), a facilitar, en el plazo de diez días desde la notificación de la presente resolución, el acceso a la afectada, de la historia clínica completa que ha venido solicitando, apercibiéndose de que en caso de no realizarse se podrá entender que concurren las causas necesarias para iniciar un procedimiento sancionador al estar incurso en el supuesto tipificado como muy grave en el artículo 44.4.h) de la LOPD.

A vueltas con las cuentas de los vecinos

2010-09-17T08:49:00.001+02:00

El procedimiento sancionador PS/00216/2009, instruido por la Agencia Española de Protección de Datos (AEPD), se inició a raíz de la entrada en la AEPD de una denuncia en la que se señalaba que los administradores de fincas R & O DEL CASTILLO SLL entregaron a los propietarios que asistieron a una Junta de Propietarios, junto con las cuentas de la Comunidad, listados con los nombres y apellidos y los códigos completos de las cuentas bancarias de los propietarios que tienen domiciliado el abono de la cuota a la Comunidad.

El denunciante manifestó que

se entregaron a todos los propietarios que asistieron a la reunión unas hojas de información sobre las cuentas de la comunidad, entre esas hojas pusieron 6 hojas con los nombres, apellidos y los códigos de cuenta cliente.

El administrador alegó que se trataba de un documento contable que no incluía datos personales y que la única finalidad de la inclusión del documento en el dossier era que los propios comuneros pudieran entre otros comprobar directamente con copia de los documentos que la contabilidad de la comunidad, ante posibles dudas al respecto y así verificar especialmente las cuentas bancarias y los importes de comunidad que se venían percibiendo mensualmente, y más especialmente cuando se venía realizando una labor de insistencia en el pago y en la domiciliación de los pagos para una mejor gestión y una liquidez oportuna.

Sin embargo, una vez recibida la notificación de inicio del procedimiento, presenta nuevas alegaciones en las que:

Reconoce la responsabilidad en la comisión de la infracción, solicita que se apliquen las “reducciones” sobre el importe de la sanción, y se imponga la mínima, al no haberse causado daño, perjuicio, ni existir intencionalidad y no haberse incumplido advertencia alguna ni se ha dado alguna circunstancia que pudiera agravar los hechos, siendo un error consistente en incluir en un dossier de documentación, copia de un documento contable.

Pero no satisfechos con este primer cambio de postura (de "no incluye datos personales" a "reconoce la responsabilidad"), cuando reciben la propuesta de resolución (6.000€) por la infracción del artículo 10 de la LOPD, tipificada como leve, vuelven a presentar alegaciones en las que, primero

No reconoce la responsabilidad porque creía que la sanción que se impondría sería la mínima, y al recibir una propuesta con una cantidad mas elevada rechaza la comisión de la infracción.

y además exponen una batería de argumentos como la insistencia de que se trataba de documentos contables, que la documentación había sido verificada previamente por la Junta de Gobierno, y cita varios informes de la propia AEPD referentes a información compartida entre vecinos.

En los Fundamentos de Derecho, la AEPD explica:

No tiene nada que ver que a un documento se le identifique como contable para que pueda contener datos de carácter personal, como es el presente supuesto, en el que la relación de domiciliatiarios entregados al banco puede denominarse como se quiera, pero su contenido es referente a protección de datos de carácter personal, por cuanto quedan identificados titulares o propietarios con sus cuentas personales utilizadas para abonar los recibos a la Comunidad.

La Administradora puede entregar dossieres de personas que tienen domiciliado el pago en banco, incluso copia de las cantidades y fechas en que se abonan, pero no en este caso del número de cuenta bancaria, que no es un elemento común que deba ser compartido.

Por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a R & O DEL CASTILLO, SLL, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

El Tribunal Supremo confirma una sanción de 300.000€ por tirar expedientes médicos a la basura

2010-07-22T08:35:00.007+02:00

En marzo del 2005 la Agencia Española de Protección de Datos (AEPD) dictó la Resolución PS-00144-2004 en la que resolvía:

Imponer a la SOCIEDAD TOCOGINECOLÓGICA DEL DR. (“C”), S.L. una multa de 300.506,05 € (trescientos mil quinientos seis euros con cinco céntimos) por la infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como muy grave en el artículo 44.4 g) de dicha norma.

Los hechos que habían motivado la sanción fueron el abandono en un contenedor de más de cien expedientes médicos con datos de carácter personal.

Ahora el Tribunal Supremo ha confirmado la sanción validando a su vez la resolución que en enero de 2007 dictó la Audiencia Nacional y que consideró adecuada la sanción impuesta a esta empresa.

La sociedad denunciada había alegado que la documentación fue arrojada al contenedor por un tercero, pero el Tribunal Supremo recuerda que esta persona era un empleado administrativo, "lo que excluye esa calificación de tercero y comporta la atribución de responsabilidad para la actora, sin que pueda, lógicamente y con seriedad, argumentar su falta de conocimiento de los hechos imputados con vulneración del principio de responsabilidad".

Te envío la sentencia por email

2010-07-14T08:24:00.006+02:00

El procedimiento sancionador PS/00652/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la asociación Liga Reumatológica Asturiana (en lo sucesivo LRA), se inicia a raíz de la denuncia de D. H.H.H. (en lo sucesivo el denunciante), que manifiesta la vulneración de sus derechos que resulta del envío de un correo electrónico, dirigido a nueve destinatarios, al que se adjuntó copia en formato “pdf” de una Resolución del Servicio de Salud del Principado de Asturias (en lo sucesivo SESPA), dictada en un expediente disciplinario seguido contra el denunciante por falta grave, en la que se contienen los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, los hechos que determinaron la apertura del expediente y su calificación jurídica, así como la sanción impuesta.

La entidad LRA entregó una larga lista de alegaciones, incluyendo la caducidad del procedimiento; la no aplicación de la normativa de protección de datos al presente supuesto, en el que los datos analizados no están contenidos en un fichero estructurado; la participación de la LAR en las actuaciones seguidas por el SESPA contra el denunciante a instancia de una persona asociada a aquella entidad; que los destinatarios del correo electrónico objeto de la denuncia fueron exclusivamente los médicos integrantes del Comité Científico de la LRA; que los datos contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) aparecen en diversas páginas Web, que tienen la consideración de fuentes de acceso público, y en algunas listas de profesionales, como la “Guía Médica de Asturias” accesible a través de la Web del Diario “El Comercio”. Añadió que los datos no se realizó una difusión de los datos del denunciante, sino que fueron trasladados de forma restringida,

La AEPD comienza por indicar la primera vulneración de la LOPD por parte de LRA:

(...) no ha acreditado disponer del preceptivo consentimiento prestado al efecto por el titular de los datos.

Este hecho supone un tratamiento de datos de carácter personal sin consentimiento del afectado.

Por tanto, al no concurrir ninguno de los supuestos del artículo 6.2 de la LOPD que permiten excepcionar la obtención del consentimiento para el tratamiento de datos, se concluye que la actuación de la LRA constituye una vulneración al repetido articulo 6.1 de la LOPD.

Acerca de la alegación sobre la condición de parte interesada en el proceso:

(...) no cabe admitir que el acceso a los datos personales del denunciante por parte de la citada Asociación se justifique por la participación de la misma en el procedimiento disciplinario instruido por el SESPA. La solicitud de asesoramiento que el SESPA realizó al Comité Científico de la LRA, así como la condición de asociada -no acreditada- de una de las reclamantes en ese expediente, sin que se hubiese otorgado representación alguna a la Asociación, no convierte a ésta en parte del mismo.

Sobre el intento de LAR de que no se considere los datos parte de un fichero:

Asimismo, la entidad imputada señala que los hechos analizados están excluidos del ámbito de aplicación de la LOPD, que exige que los datos personales se encuentren contenidos en un archivo estructurado. A este respecto, en un supuesto similar la Audiencia Nacional ha declarado que “el tratamiento de los datos del denunciante está automatizado toda vez que tal información se difunde vía correo electrónico con un enlace o link al que tiene acceso la totalidad de la plantilla, resultando indiferente que la información sea o no difundida en una página web, pues vía Intranet era accesible, como ya hemos indicado, a la totalidad de la plantilla. Así, no puede limitarse la protección que regula el tratamiento del dato a la existencia de un fichero estructurado cuando tal tratamiento se efectúa, al menos en parte, de manera automatizada” (SAN de 11/03/2010).

Sobre la difusión de los datos del denunciado en internet:

Finalmente, señala la entidad LRA que los datos del denunciante contenidos en la Resolución del SESPA (nombre, apellidos, profesión y centro de trabajo) gozan de una amplia difusión en la red y han sido publicados por el propio denunciante, y que esto debe entenderse como una “actitud de consentimiento”. Sin embargo, no es cierto que todos los datos personales que figuran en la citada Resolución del SESPA, como son el DNI y las circunstancias relativas a la infracción sancionada, se encuentren divulgados en las distintas páginas Web aportadas por la Asociación. En cualquier caso, debe añadirse que una página web no tiene la consideración de fuente accesible al público, conforme a lo establecido en el artículo 3.j) de la LOPD.

Y por lo tanto, segunda infracción:

En el caso que nos ocupa, ha quedado acreditado que LRA remitió a terceros un documento en el que figuran los datos personales del denunciante relativos a nombre, apellidos, DNI, profesión y puesto de trabajo, así como las circunstancias correspondientes al procedimiento disciplinario seguido contra el mismo, con indicación de la infracción declarada y la sanción impuesta. Esta información no puede ser facilitada a terceros, salvo consentimiento del denunciante o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso.

En estas circunstancias se comprueba que un mismo hecho, acceder a los datos del denunciante contenidos en la Resolución del SESPA y remitir ésta mediante un correo electrónico dirigido a diversos destinatarios, da lugar a las dos infracciones reseñadas, dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Por lo tanto procede subsumir ambas infracciones en una, y dado que, en este caso, ambas infracciones están tipificadas como graves, la AEPD considera que procede imputar únicamente la infracción del artículo 6.1 de la LOPD.

Esta consideración resulta extremadamente ventajosa para la parte denunciada, ya que la LOPD califica como leve, grave o muy grave la infracción del artículo 10, dependiendo del contenido de la información que ha sido indebidamente facilitada a terceros, y no de la mayor o menor difusión de los datos que, en todo caso, debería considerarse a efectos de graduar la sanción que pudiera imponerse. Ya que en el presente asunto nos encontramos con datos referentes a la comisión de una infracción administrativa, nivel medio, el supuesto a aplicar sería el de infracción grave, con una sanción mínima de 60.000 euros.

Sin embargo, a la hora de valorar la infracción del artículo 6.1, la "vencedora" del conflicto jurídico, no entra en consideración esta tipología de los datos, y la Agencia encuentra además eximentes a la hora de graduar la sanción:

En el presente procedimiento, atendidas las circunstancias expuestas, y, especialmente, que la entidad LRA estimó que actuaba en el marco de las finalidades específicas de la Asociación y que la información contenida en la Resolución dictada por el SESPA contra el denunciante resultaba de interés para el desarrollo de su actividad y de la correspondiente a su Comité Científico, cabe apreciar una disminución cualificada de la culpabilidad en los hechos imputados, por lo que procede aplicar lo dispuesto en el citado artículo 45.5 de la LOPD con imposición de una sanción según la escala correspondiente a las infracciones leves.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 euros (mil quinientos euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

Aparezco, facturo, desaparezco

2010-07-07T08:56:00.010+02:00

El procedimiento sancionador PS/00478/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ARBALEX CONSULTING JURIDICO, S.L. (en adelante ARBALEX), se inició tras la denuncia presentada por D. A.A.A. y D. B.B.B. (en adelante los denunciantes) en la que manifestaban que se giró contra su cuenta bancaria un recibo por importe de 111,36 € emitido por ARBALEX con quien no habían contratado ningún servicio ni tenían ninguna relación contractual así como no le habían facilitado número de cuenta bancaria.

En la inspección realizada en las instalaciones de la empresa denunciada se constató que ofrecía servicios de asesoría jurídica por medio de equipos de abogados independientes, por periodos de un año. Habían remitido una carta a potenciales clientes, cuyos datos fueron recabados de fuentes de acceso público, y también un formulario para recabar los datos personales de todos aquellos que desearan contratar dichos servicios. Posteriormente se contactó, de igual modo, pero telefónicamente, con los potenciales clientes para recabar los datos que figuraban en el formulario. Los datos que se recabaron en las llamadas fueron los que figuraban en el formulario y la información fue almacenada directamente en el ordenador, no contando la entidad con soporte documental que acreditase la voluntad de contratación de sus clientes. La entidad tuvo posteriormente un periodo de inactividad y tras instalarse en su nueva oficina comenzó a facturar a los clientes que habían contratado sus servicios y aportado sus datos personales en las llamadas telefónicas.

Obviamente no se podía demostrar ningún consentimiento, ni en este caso ni probablemente en el de ninguno de los clientes facturados por esta empresa, que además a partir del inicio del procedimiento sancionador desapareció de sus instalaciones, teniendo que proceder la AEPD a la notificación del Acuerdo de inicio a través del tablón de anuncios del Ayuntamiento de Málaga y del Boletín Oficial del Estado, sin que se recibiera recurso alguno dentro del plazo previsto por ley.

El dictamen de la AEPD en los Fundamentos de Derecho es claro:

En el presente caso, ARBALEX CONSULTING JURIDICO, S.L. ha tratado los datos personales de D. A.A.A. y D. B.B.B. sin su consentimiento, en concreto, los datos personales necesarios para emitir y cargar en cuenta un recibo, y ha conculcado el principio de consentimiento regulado en el artículo 6.1 de la LOPD que encuentra su tipificación en el artículo 44.3.d) de dicha norma.

Y por tanto

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad ARBALEX CONSULTING JURIDICO, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Me voy... y de paso me llevo el fichero

2010-06-30T16:14:00.015+02:00

El procedimiento sancionador PS/00613/2009 se inició tras tener entrada en la Agencia Española de Protección de Datos (AEPD) una reclamación interpuesta por D. A.A.A., (el denunciante, en lo sucesivo) poniendo de manifiesto lo siguiente :

El día 24 de octubre recibió por correo un escrito de la empresa EPIDERMOS ofreciendo sus servicios, ignorando quien es, no habiendo estado en sus consultorios.

Jamás les ha facilitado sus señas ni autorización alguna para dirigirse a él.

En el repertorio de abonados a servicios telefónicos no aparecían los datos personales del denunciante, pero la empresa denunciada aseguró que sólo había realizado el mailing a pacientes de su consulta y aportó una copia de la ficha con los datos personales del denunciante, aunque éste volvió a asegurar que no había mantenido ninguna relación con la denunciada y en referencia a la actuación médica referida en la citada ficha: "con quien yo concerté dicho chequeo fue únicamente con el INSTITUTO DEXEUS, S.A."

Lo que en realidad había ocurrido era que Epidermos había prestado durante un tiempo un servicio de chequeos dermatológicos para Dexeus, tratando entre otros pacientes al denunciante. En este caso Epidermos sería desde el punto de vista de la LOPD un Encargado del Tratamiento, que sólo puede usar los datos según las indicaciones del Responsable del Fichero, y que al terminar la relación entre ambas compañías (2006) debería haber destruido o al menos bloqueado tales datos.

Así lo expresa la Resolución sus Fundamentos de Derecho:

La relación profesional entre el Dr. y Dexeus no habilita a aquel para la realización del tratamiento de datos personales de aquellos pacientes ad livitum. Pues de lo contrario se estaría abonando una zona de impunidad para aquellos “profesionales” que prestan sus servicios a una entidad, y utilizan los datos de los clientes de esa entidad, en beneficio propio, pues no se puede olvidar que “el responsable del fichero” tiene que tener el consentimiento del interesado para el tratamiento o acreditar circunstancia que lo dispense, y en el presente caso, el responsable del fichero en el año 1997, era DEXEUS y no las personas individuales que prestaban servicios en él.

(...)

EPIDERMOS S.L trató datos personales del denunciante, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos, por tanto la actuación de la denunciada no es incardinable en ningún supuesto a la excepción a la prestación del consentimiento que recoge el artículo 6.2 de la LOPD, considerando vulnerado dicho precepto.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad B.B.B.., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 12.000 € (doce mil euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Con Copia ... a miles

2010-06-23T09:18:00.010+02:00

Dos casos de sanciones por envío masivo de correos electrónicos con las direcciones al descubierto:

En el procedimiento sancionador PS/00553/2009 el Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a BANKINTER S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 2.000 €
En el procedimiento sancionador PS/00679/2009 El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad SÁNCHEZ ROMERO GRUPO INMOBILIARIO INMOBILIARIA S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 3.000 €

En ambos casos la dirección de correo electrónico del denunciante particular se había compartido con más de 2000 otros afectados al estar todas dentro de la sección "Con Copia" en un envío masivo, y a partir de la fecha de los hechos citados comenzó a recibir frecuentemente publicidad de otras empresas con las que anteriormente no había contactado.

La entidad Sánchez Romero no remitió escrito de alegación alguno frente al acuerdo de inicio del procedimento, mientras que Bankinter alegó que obedeció a un error humano involuntario y no intencionado, adjuntando una copia del Código de Ética Profesional, de obligado cumplimiento por todos sus empleados, en cuyo apartado 3.4 se establece el deber de diligencia con el que debe realizarse el tratamiento informático y comercial de los datos de los clientes.

Dando ejemplo

2010-06-16T09:30:00.000+02:00

El procedimiento sancionador PS/00096/2010, instruido por la Agencia Española de Protección de Datos (AEPD), se incia vista la denuncia presentada por Don B.B.B. contra Doña A.A.A. por no tener inscritos los ficheros de datos personales de su despacho profesional de abogados, del que dice haber sido cliente.

Tras verificar en el Registro General de Protección de Datos que no constaban ficheros inscritos cuyo titular sea Doña A.A.A, se procedió a la notificación del acuerdo de inicio a la entidad denunciada, según consta en el acuse emitido por el Servicio de Correos, sin que Doña A.A.A. presentara alegaciones al respecto.

Y por tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a Doña A.A.A., por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de de seiscientos un euros con un céntimo de euro (601,01 €) de conformidad con lo establecido en el artículo 44. 1 y 4 de la citada Ley Orgánica.

El mercadillo de los datos

2010-06-09T08:22:00.001+02:00

Hace casi dos años ya nos preguntábamos en este blog ¿A quién le compra los datos D. T.T.T.?, en referencia a una sanción por envío de spam sobre una base de datos adquirida y pagada a una empresa, y ahora nos volvemos a encontrar un caso similar en el procedimiento sancionador PS/00075/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad A.A.A., vista la denuncia presentada por B.B.B., en la que afirmaba lo siguiente:

Recibió el día 11 de septiembre de 2009 en la dirección de correo <...@1...> correo comercial no solicitado de dubon-group@dubon-group.es.

No ha solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio.

No ha autorizado jamás a ningún tercero a solicitar o consentir el envío de comunicaciones comerciales en su nombre.

No mantiene ni ha mantenido relación comercial alguna con la entidad anunciante

El contenido de la comunicación electrónica era la comercialización de ropa laboral, regalos de empresa y elementos de proteccion individual, encontrando cabida en la definición recogida en el Anexo f), párrafo primero de la LSSI, es decir, se trata de todas las formas de comunicaciones destinadas a promocionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o profesional.

En respuesta a la solicitud de información realizada por el inspector actuante, Dña. A.A.A. remitió un escrito en el que manifestó, en referencia al envío del correo electrónico en cuestión, que:

El origen del dato de la dirección de correo electrónico es una base de datos adquirida a Dña C.C.C., residente en Argentina, el 25 de agosto de 2009.

El correo fue remitido como parte de una prueba y en la que se adjuntaba un enlace para poder darse de baja.

Al recibir llamadas de dos personas indicándole que necesitaba autorización previa para mandar los mensajes decidió no seguir con los envíos por lo que no hay más envío que el mencionado .

Ha contactado con el denunciante para disculparse y éste le ha indicado que no ha recibido más mensajes originados por ella.

Evidentemente ninguno de los puntos señalados en el escrito de la denunciada sirve como defensa, por lo que el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa 600 € (seiscientos euros) de conformidad con lo establecido en el artículo 40 de la citada LSSI.

Cuidado con los tablones de anuncios

2010-05-26T09:19:00.000+02:00

Ya es de sobra conocido por lo frecuente el caso de comunidad de vecinos sancionada por la Agencia Española de Protección de Datos (AEPD) con motivo de haber expuesto en un tablón en el portal (es decir, en un espacio accesible a terceros) la condición de moroso de uno de los vecinos. Además sabemos que el hecho de colocar el citado cartel en una zona sólo accesible a los vecinos, no le exime del resto de requisitos de la protección de datos, como es por ejemplo la exactitud de los datos (véase De oca a oca, la sanción me toca).

Habíamos visto también en Un cartel desproporcionado que el asunto llegaba al mundo empresarial con una sanción por la colocación en un tablón de anuncios de un cuadro en el que se hacía una valoración subjetiva de los conocimientos y eficacia de cada trabajador, aunque sabemos que en determinadas circunstancias pude ser lícito publicar el TC2 en un tablón de anuncios.

En el procedimiento sancionador PS/00353/2009, instruido por la AEPD a JOHNSON CONTROLS AUTOBATERIAS, S.A. tras la denuncia presentada por trabajadores del Comité de empresa, vemos otros caso de denuncia por publicar en “tablones de anuncio de la empresa” una relación de trabajadores diaria que contiene la situación de la plantilla de personal detallando el motivo de la ausencia del trabajo, el nombre y apellidos y como motivo ”enfermedad”, “fecha de baja”, “P.sindical”, ”Vacaciones”, “Falta”.

Pese a las alegaciones de la empresa en el sentido de que tal información era necesaria para la optimización de los procesos de trabajo y de su legalidad en función de varias normativas laborales, la AEPD indica:

(...) el uso de datos de carácter personal, debe en primer lugar ir precedido de una información por parte de la empresa, y de una finalidad así prevista por los ficheros que albergan dichos datos, lo que en el presente caso no se da ni en uno ni en otro sentido. Es decir, ni consta que se informara a los trabajadores que se van a exponer listados con sus datos referentes a las ausencias, ni consta que esta sea la finalidad del fichero que recoge sus datos. (...) pues estar ausente por enfermedad, o por accidente o de permiso, no atañe mas que a su titular.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a JOHNSON CONTROLS AUTOBATERIAS, S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

No te quedes con los datos

2010-05-19T09:06:00.002+02:00

El procedimiento sancionador PS/00223/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad EXPERT EJECUTIVOS, S.A. (CORREDURIA DE SEGUROS), parte de la denuncia presentada por A.A.A. en el que declaró que firmó un contrato de prestación de servicios con EXPERT para la gestión de la cartera de clientes de su firma ESTUDIO INTEGRAL, decidiendo posteriormente EXPERT la rescisión del mismo comunicándolo a ESTUDIO. No obstante, siguió tratando los datos de los clientes de la cartera de esta ultima, vulnerando la normativa vigente en materia de protección de datos. ESTUDIO al tener conocimiento del tratamiento de sus clientes requirió a dicha empresa que procediera a la devolución de su base de datos de clientes y cesara en dicho tratamiento hecho que hasta el momento no se ha producido.

Siguiendo las obligaciones de la reglamentación en protección de datos, ambas entidades habían suscrito un contrato de tratamiento de datos, donde se especificaba que el encargado del tratamiento, es decir, EXPERT, se compormetía entre otras cláusulas a:

Destruir o devolver al Responsable de Fichero los datos de carácter personal objeto de tratamiento, una vez cumplida la prestación de servicios, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento.
Mantener el secreto de los datos que trate durante la prestación del servicio, conforme al artículo 10 de la LOPD. Esta obligación subsistirá aún después de finalizar la prestación del servicio.

D. A.A.A. se dirigió a EXPERT por escrito en varias ocasiones, solicitando la devolución de todos los datos, delimitando plazos y designando al nuevo encargado del tratamiento. EXPERT por su parte aseguró ante la inspección que conservaba los datos a efectos de atender obligaciones fiscales y las posibles consultas de los clientes. Sin embargo el propio D. A.A.A. recibió una comunicación de EXPERT en la que le reclamaba el pago de un recibo devuelto, a la que contestó por email:

Asunto: recibo devuelto

Me habéis mandado una carta a mi. No podéis intervenir en la gestión para nada, ni notificar ni cobrar ni NADA de NADA. Todo debe de ser a través de E.E.E. (Grupo Mayo). Lo tenéis prohibido.

En la Fundamentos de Derecho la AEPD explica:

En el presente caso, EXPERT ni destruyó ni devolvió al responsable del fichero los datos de carácter personal objeto de tratamiento, sino que conservó y continuó tratando los datos que le habían sido facilitados como consecuencia de aquella relacióncontractual, constatándose la existencia en sus ficheros de información relativa a 4.571 pólizas en situación de baja, así como información relativa a 56 recibos en situación de gestión.

(...)

En conclusión, ha quedado acreditado que EXPERT decidió por su cuenta y riesgo, separándose de las instrucciones pactadas con el responsable del fichero, no devolviendo ni destruyendo los datos de carácter personal contenido en la base de clientes titularidad de ESTUDIO, una vez cumplida la prestación de servicio, al igual que cualquier soporte o documentos en que constara algún dato de carácter personal objeto de tratamiento y, por tanto, vulnerando el artículo 6.1 de la LOP, que encuentra su tipificación en el articulo 44.3.d) de la misma Ley.

Y por lo tanto

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad EXPERT EJECUTIVOS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 43.3.d) de dicha norma, una multa de 60.101,21 euros (sesenta mil ciento un euros con veintiún céntimos) y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica, en esa cuantía mínima.

Actualización 24/7/11

Hemos recibido desde la empresa denunciada la comunicación de que su recurso ante la Audiencia Nacional ha prosperado y la sanción ha sido anulada.

En el Fundamento cuarto la Sentencia entiende de aplicación no sólo el art. 6.1 de la LOPD en relación con el 12.3, sino también lo previsto en la ley 26/2006 de 17 de julio de mediación de seguros y reaseguros privados (art, 2 que describe las actividades de mediación, art. 26.3 sobre la obligación de facilitar información al tomador, asegurado y beneficiario del seguro, y el art. 44 que establece la obligación del corredor de seguros a atender y resolver las quejas y reclamaciones de su clientela).

Así, concluye indicando que "resulta verosímil la alegación reiteradamente efectuada por la entidad recurrente" ( algunas aseguradoras no efectuaron el cambio de código de corredor y que Expert necesitaba mantener los datos de los afectados por un periodo de tiempo, limitándose a unas pocas facturas pendientes de gestión para atender posibles consultas). y anula la sanción impuesta por la AEPD.

Cuestión de detalles

2010-05-11T08:10:00.005+02:00

El procedimiento sancionador PS/00373/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a una librería, se inció tras la denuncia presentada por D. A.A.A. al recibir dos comunicaciones comerciales en su dirección de correo electrónico acerca de novedades bibliográficas en el ámbito jurídico.

La librería aportó copia de una página de la Guía Oficial del Ilustre Colegio Oficial de Abogados de Sevilla del año 2008 en la que, entre los datos de otros colegiados, figuraban los datos del denunciante, habiendo presentado también impresión de la ficha del Formulario de Clientes en la que aparecían detallados el nombre y apellidos del denunciante, su número de documento nacional de identidad y el número de teléfono, así como la dirección de correo electrónico.

En los Fundamentos de Derecho, la AEPD rechaza la primera de las alegaciones con el acostumbrado argumento de que:

(...) en contra de lo alegado por la entidad imputada, el hecho de que los datos del destinatario de los correos comerciales denunciados pudieran proceder de la Guía Anual del Ilustre Colegio de Abogados de Sevilla del año 2008 no exime a la entidad imputada de la obligación de obtener el consentimiento previo y expreso del destinatario para la remisión de envíos publicitarios por medios de comunicación electrónica, ya que la LSSI no contempla la excepción recogida por la LOPD para tratar, en envíos publicitarios de naturaleza postal, datos de carácter personal cuyo origen se encuentra en fuentes de acceso públicos.

Sin embargo acepta las evidencias de la relación comercial previa:

(...) la presentación por parte de la entidad imputada de dos albaranes de compra emitidos a nombre del denunciante por la adquisición de dos libros de derecho en fecha anterior a las del envío de los mensajes comerciales denunciados, suponen la existencia de dos elementos de prueba que avalan la tesis mantenida por la denunciada al defender que el dato de la dirección de correo electrónico se obtuvo, junto con los restantes que figuran en la ficha de cliente, del propio denunciante en el momento de efectuarse una compra.

En consecuencia procede exonerar a la librería de la responsabilidad de la comisión de la infracción al artículo 21.1 de la LSSI, dado que se considera que las comunicaciones comerciales denunciadas se enviaron a la dirección de correo electrónico en su condición de cliente de la mencionada librería universitaria y por productos o servicios similares a los que fueron objeto de contratación con anterioridad, lo que legitimaba su envío.

Pero por otro lado se afirma que

(...) la simple lectura del texto de las comunicaciones comerciales objeto de análisis lleva a constatar que el remitente de los envíos denunciados no ofreció al destinatario del correo comercial la posibilidad de oponerse al tratamiento de sus datos con fines promocionales que recoge el segundo párrafo del artículo 21.2 de la LSSI.

Según la librería los correos que dieron lugar al expediente reúnen los requisitos que establece la LSSI, ya que en los mismos “se ofrece la posibilidad de oponerse al tratamiento de sus datos de forma sencilla: con un simple click, y de manera gratuita: por correo electrónico a nuestra dirección, la cual figura en otro enlace en los mensajes enviados. “.

La AEPD determina que la inclusión en cada uno de los mensajes de un enlace a la "Política de privacidad” no supone la cumplimentación por parte del remitente de los mismos del requisito cuya vulneración se imputa, puesto que aunque sea gratuito, no es un procedimiento sencillo ya que, por un lado, la información que se desprende del enlace no permite relacionarlo de forma fácil ni con el ejercicio del derecho de oposición al tratamiento de datos con fines comerciales ni con la existencia de un procedimiento habilitado para ello y, por otro lado, dicho enlace no remite directamente al procedimiento, sino que enlaza con la información

Por tanto el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la LIBRERIA EL GIRALDILLO, S.C., por una infracción del artículo 21.2, segundo párrafo, de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, tipificada como leve en el artículo 38.4.d) de dicha Ley, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada norma.

Yo confieso

2010-05-05T12:05:00.000+02:00

El procedimiento sancionador PS/00074/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad A.A.A., se inició tras recibir en la AEPD un escrito de D. B.B.B., en adelante el denunciante, en el que manifiestaba haber recibido un correo comercial desde la dirección info@forexgrial.com sin que hubiera solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio, ni haber mantenido relación comercial alguna con la entidad anunciante.

Tras la habitual diligencia de la AEPD y extrema cortesía de los operadores en la obtención de la IP emisora del mensaje, se llegó hasta D. A.A.A., que resultó también ser titular del dominio forexgrial.com

Los representantes de la empresa alegaron:

El correo fue remitido como respuesta a un correo previo del cual no conservan copia.
El documento es una respuesta tipo de las utilizadas para ampliar información (el texto del correo dice “Estas líneas son para comentarles más detalles sobre….”)
Desconocen el origen del dato de la dirección de correo electrónico del denunciante ya que puede haber sido proporcionada por cualquiera de los canales de comunicación que utilizan habitualmente: Chat, formulario web, MSN o Skype.
No mantienen ni han mantenido relación contractual con el denunciante
No han recibido solicitud alguna del denunciante solicitando la cancelación de sus datos u oponiéndose al envío de comunicaciones comerciales pero han cancelado los datos asociados a la cuenta de correo al recibir noticia de la denuncia.
El denunciante ha sido receptor, hasta el momento de su baja, de todas las campañas de publicidad realizadas, siendo el último de ellos uno en el que le felicitan el año 2010 y se le informaba de un concurso en el que se premiaba con varios cursos.
La responsable de la marca comercial FOREX GRIAL es Dña. C.C.C., residente en Argentina, con CUIT (Código identificador utilizado por la Hacienda Argentina) *****CUIT1.

Notificado el acuerdo de inicio, el denunciado presentó escrito de alegaciones en el que comunicaba:

Yo, A.A.A., con DNI Nº *****DNI1, RECONOZCO VOLUNTARIAMENTE MI RESPONSABILIDAD, comprometiéndome a tomar las medidas necesarias para que no vuelva a ocurrir.

Ya que el Reglamento del procedimiento para el ejercicio de la potestad sancionadora dispone que:

Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda.

y teniendo en cuenta que el denunciado había reconocido los hechos imputados sin presentar objeciones a los mismos, la AEPD procede a resolver el procedimiento iniciado.

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a A.A.A., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa de 600 € (seiscientos euros), de conformidad con lo establecido en los artículos 39.1 c) y 40 de la citada LSSI.

Darse de baja en un email que no existe

2010-04-27T08:08:00.011+02:00

El procedimiento sancionador PS/00678/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a D. A.A.A., se inicia a raiz de la denuncia presentada por D. B.B.B., en la que manifestaba que recibió un correo comercial no solicitado desde la cuenta de correo 003@xxx.com sin que hubiera solicitado ni consentido expresamente el envío de comunicaciones comerciales en ningún momento ni por ningún medio y sin que hubiera mantenido relación comercial alguna con el remitente del envío. Además solicitó la baja para no continuar recibiendo correos comerciales siguiendo las instrucciones indicadas al pie del mensaje denunciado, aunque no se pudo dar de baja ya que el correo electrónico enviado con el asunto “BAJA EMAIL” fue rechazado al no existir la dirección de correo a la que se remitió.

La AEPD averigua con su habitual facilidad la IP del remitente y se pone en contacto con el usuario indicado por el operador. D. A.A.A. manifiesta que la dirección de correo electrónico del denunciante pudiera haberse introducido por error durante la realización de una campaña de publicidad dirigida a sus clientes, “ignorando si puede pertenecer a otra dirección la cual esté redireccionada al mismo” y que no puede acreditar el consentimiento prestado para la remisión de correos comerciales a dicha cuenta de correo electrónico. Añade que en las comunicaciones comerciales enviadas se ofrecen instrucciones claras y sencillas para que los destinatarios de las mismas puedan oponerse al envío de más información comercial, sin que conste que se haya recibido solicitud alguna en tal sentido procedente del denunciante.

Sin embargo, al recibir el acuerdo de inicio del procedimiento sancionador, donde se le indica que por la presunta infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de la citada norma, podría ser sancionada con multa de hasta 30.000 euros, D. A.A.A. alega:

Que me ha sido notificado el acuerdo de inicio del procedimiento sancionador arriba indicado y conforme a las alegaciones que aporte a su primer escrito, debido a un posible error, se introdujo un e-mail incorrecto del cual, una vez conocido tal error, se tomaron las medidas oportunas para que no se volviera a enviar información a dicha dirección, eliminándose automáticamente la misma y así evitar la posibilidad de un nuevo envío impidiendo de esta manera reincidir en el mismo hecho, motivo por el cual, reconozco voluntariamente mi responsabilidad en la infracción tipificada en el procedimiento sancionador.

En su virtud,

SOLICITO QUE: Por los motivos arriba señalados y en virtud del principio de proporcionalidad, en el caso de imposición de sanción, ésta sea de la menor cuantía.

Al haber reconocido el denunciado los hechos que se le imputan, se procede a elevar al Director de la AEPD el expediente a los efectos de dictar resolución al respecto.

Y por tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a D. A.A.A., por una infracción del artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, apartado 1 y segundo párrafo del apartado 2 del mismo, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.

¿Quién ha escrito la carta?

2010-04-20T09:59:00.000+02:00

El procedimiento sancionador PS/00337/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ANTA GESTION DE USOS TERCIARIOS S.L., se inicia tras la denuncia presentada por Dª. A.A.A. que manifestó que tras presentar una denuncia ante el Servicio Territorial de Sanidad y Bienestar Social de la Delegación Territorial de Burgos, motivada por unas irregularidades en el servicio de comedor de la Residencia Universitaria San Agustín de Burgos, de la que la denunciante era alumna, la empresa que la gestionaba (ANTA) dirigió un escrito a los padres de los estudiantes que habían secundado la denuncia, en el que se facilitan los datos personales de Dª. A.A.A. , y en el que consta que “tiene 29 años y ha permanecido en la Residencia durante siete años cursando la carrera de “Arquitectura Técnica”, aún sin terminar y que ha recibido un trato privilegiado debido a sus “molestias estomacales”.

Junto con este escrito se acompañaba otro, que debía ser firmado por los residentes, con objeto de manifestar su disconformidad con la denuncia presentada ante el Servicio Territorial de Sanidad y Bienestar Social de la Delegación Territorial de Burgos. En los escritos figuraba el membrete de la Residencia Universitaria San Agustín y constaba como firmante “B.B.B.” Directora. La denunciante manifiestó que la firma que figura en los escritos no es de Dª. B.B.B. sino que es de D. C.C.C., gerente de la residencia. A este respecto aportó copia de un escrito recibido en abril de 2004 por los padres de la denunciante, firmado por el citado gerente, con objeto de acreditar que la firma que consta es idéntica a la que consta en los escritos objeto de denuncia.

Además la denunciante aportó copia de la noticia publicada en “El Correo de Burgos” con el titular “La Residencia San Agustín pide a los alumnos que se retracten de la denuncia de la cocina – Los responsables del Centro han enviado una carta, con fecha 15 de julio, a los 142 residentes que apoyaron la denuncia en la que se adjunta un texto para firmar, que rechaza la queja presentada”.

ANTA admitió que no disponía de la autorización para la utilización de los datos personales de la Sra. A.A.A. en el escrito remitido a los padres, y que dichos datos no constan en ningún fichero de la sociedad, aunque se trata de datos conocidos entre las personas del entorno de la residencia por notoriedad. Por otro lado aseguró que no tuvo conocimiento de la existencia del escrito hasta recibir una llamada de la denunciante, a la que se informó de que la utilización del membrete de la Residencia en el mismo era totalmente ajeno a la empresa gestora, y que dicho escrito, incompatible con su procedimiento, no fue emitido desde esa sociedad.

La sociedad procedió de inmediato a inscribir sus ficheros en el Registro General de Protección de Datos (RGPD).

Ante el intento de ANTA de desvincularse del envío de la carta, la denunciante alegó:

Las alegaciones de la parte contraria sobre que la empresa gestora de la residencia no tuvo conocimiento de la existencia de la carta es del todo falsa. En primer lugar porque se emite con el propio anagrama de la Residencia y la rúbrica de la directora de la misma, carta que en realidad firma el gerente por orden de la directora. Tanto es el conocimiento de la empresa gestora del contenido de dicha carta que incluso en los recortes de prensa se recoge el dato de la emisión de dicha carta. Por tanto, no sólo era conocedora del contenido de dicha carta sino que incluso asumía su autoría desde el momento en que así se vierte a la prensa. (...)

Además aportó partes del procedimiento ordinario en Primera Instancia por la denuncia original, en los que hay manifestaciones expresas sobre la autoría de la carta por parte de ANTA.

Y así la Agencia señala:

En el procedimiento ha quedado acreditado que la entidad denunciada, como responsable del fichero, vulneró el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD al remitir una carta a varios padres de alumnos de la Residencia San Agustín de Burgos, con información concerniente a la denunciante conteniendo su nombre y apellidos, edad, formación académica y problemas físicos que le aquejan.

A la hora de indicar el tipo de infracción:

En el presente caso, la difusión del nombre y apellidos de la denunciante, edad, formación académica y problemas físicos que le aquejan sin su consentimiento, es subsumible en el tipo de infracción calificada como leve, al no poder deducirse de los datos difundidos a terceros una evaluación de la personalidad del denunciante. Por ello, se considera que ANTA GESTION DE USOS TERCIARIOS S.L. ha incurrido en la infracción leve tipificada en el artículo 44.2.e) de la LOPD.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad ANTA GESTION DE USOS TERCIARIOS S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.1 y .4 de la citada Ley Orgánica.

Respecto a la falta de inscripción de ficheros, la AEPD da por buena la inscripción posterior y archiva las actuaciones practicadas en relación con el artículo 26 de la LOPD

Sanciones por falta de inscripción de ficheros

2010-04-13T09:20:00.000+02:00

Resulta sorprendente que más de diez años después de la aprobación de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), cuyo artículo 22 dice:

1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de datos.

siga habiendo cientos de miles de entidades (empresas, profesionales e incluso organismos públicos) que aún no hayan dado ese sencillo paso de inscripción de sus ficheros (un trámite sencillo, online y gratuito) y continúen pagando sanciones por ello.

Algunos ejemplos de los últimos meses:

Procedimiento sancionador PS/00660/2009 instruido a la entidad Franquicias de Balnearios S.L. Infracción del artículo 26 LOPD, sanción de 601,01 €.
Procedimiento sancionador PS/00657/2009 instruido a la entidad Comunidad de Propietarios Piscina Urbanización Los Almendros. Infracción del artículo 26 LOPD, sanción de 601,01 €.
Procedimiento sancionador PS/00529/2009 instruido a la entidad Gimnasio Grandmontagne, S.L. Infracción del artículo 26 LOPD, sanción de 601,01 €. Como curiosidad, véase lo que indica el responsable del gimnasio en sus alegaciones: "Que es verdad que conozco al denunciante, aunque este no ha figurado nunca en ninguno de nuestros listados, de manera normativa, eso sí es ejecutivo de una gran instalación deportiva de la ciudad que por supuesto ejerce de leal competencia de la nuestra."
Procedimiento sancionador PS/00354/2009 instruido a la entidad Audigestrade Associats, S.L. En este caso la denuncia no es sólo por falta de registro de los ficheros, sino que se añade la falta del preceptivo documento de seguridad. Por la infracción del artículo 26 LOPD, sanción de 601,01 €. Por la infracción del artículo 9 LOPD, sanción de 1000 €.

Para quien aún tenga dudas sobre el procedimiento de inscripción de ficheros, hemos preparado este detallado tutorial en el blog Ayuda Ley Protección Datos.

Sanciones por videovigilancia (4)

2010-04-06T07:44:00.035+02:00

Cuarta recopilación de sanciones de la Agencia Española de Protección de Datos (AEPD), por motivo de instalaciones de videovigilancia (aquí la primera, la segunda y la tercera).

Fecha Resolución	Nº Expediente	Artº Infringido	Sancionado	Importe
14/01/2010	PS-00463-2009	Art. 6 LOPD	Martinsa Fadesa	1.500 €
14/01/2010	PS-00442-2009	Art. 6 LOPD	Club	5.000 €
19/01/2010	PS-00549-2009	Art. 6 LOPD	Particulares	2.000 €
21/01/2010	PS-00432-2009	Art. 5 LOPD	Comercio	600 €
05/10/2009	PS-00315-2009	Art. 6 LOPD	Bar	2.500 €
16/11/2009	PS-00419-2009	Art. 5 y 26.1 LOPD	Particular	3.000 €
09/12/2009	PS-00493-2009	Art. 5 y 26.1 LOPD	Particular	1.500 €
14/12/2009	PS-00585-2009	Art. 5.1 LOPD	Kebap	2.000 €
14/12/2009	PS-00343-2009	Art. 4.1 LOPD	Empresas muebles	4.000 €
17/12/2009	PS-00515-2009	Art. 5.1 LOPD	Com. Propietarios	1.000 €
28/12/2009	PS-00376-2009	Art. 6.1 LOPD	Supermercado	1.500 €

Biopsias en la basura

2010-03-30T08:09:00.015+02:00

El procedimiento sancionador PS/00325/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a D. A.A.A., se inicia tras la denuncia presentada por Dña B.B.B, en su calidad de presidenta de la Asociación El Defensor del Paciente (en lo sucesivo la denunciante), manifestando que en el periódico “la Nueva España” había aparecido una noticia relativa al hallazgo en la vía pública de envases con biopsias médicas.

En el atestado policial se decía que “Los Agentes significan que todos los botes tiene etiquetas con números de historiales clínicos, constando datos de pacientes y facultativos, así como nombres que identifican el contenido de los mismos”. En total 41 frascos con la siguiente información: Número de Historia Clínica, Nombre y apellidos del paciente, Sociedad Médica o facultativo, Tipo de tejido (3 casos), Diagnóstico (13 casos).

D. A.A.A. reconoció que los restos encontrados se trataban de una serie de frascos de biopsias antiguas de su consulta en los que figuraba el médico solicitante de la biopsia, el nombre del paciente y, en ocasiones, el número de historial clínica y la zona anatómica afectada. Manifiestó que los restos se encontraron en la basura por un error “la mujer dedicada a las tareas de limpieza había cogido por error esta bolsa, junto a otras bolsas de deshecho,… y las había llevado al contendor de la basura donde las había tirado”.

D. A.A.A. alegó que la entidad denunciante carece de legitimación para iniciar el presente procedimiento; “sin consentimiento expreso de los presuntos agraviados en su honor o intimidad, no puede erigirse en "defensor" de la intimidad de esos terceros, por tratarse de materias que abarcan la esfera personal e íntima de los individuos.” La AEPD aclara:

La denuncia, con carácter general, no requiere la condición de interesado, pudiendo ser denunciante cualquier persona, que tiene por tanto, la posibilidad de poner en conocimiento del órgano administrativo competente, la existencia de un determinado hecho que pudiera constituir infracción administrativa, siendo en la fase de actuaciones previas cuando por parte de la Agencia se procede a analizar la veracidad de los hechos denunciados, y en base a las mismas opta por aperturar, de oficio, expediente sancionador o archivar las mismas.

El denunciado alegó también que los hechos escapan del ámbito de aplicación de la ley de protección de datos al considerar “que los botes no incluían datos personales de pacientes, ni direcciones, ni otros datos de la Historia Clínica o identificativos del paciente como su DNI. Tampoco se incorporan a ningún archivo informático, sino que se destruyen una vez que se hacen llegar por escrito al Médico solicitante." Manifiestó que “no tiene Historias Clínicas, ni posibilidad de identificar a los pacientes puesto que sus datos sólo se encuentran recogidos y archivos en la Historia Clínica del Médico solicitante de la prueba. Con los datos de esos botes, no se pueden identificar las circunstancias personales de los pacientes afectados y en consecuencia no hay terceros implicados por la forma en que se destruyen los botes, puesto que nadie puede llegar a conocer la Historia Clínica de los pacientes y circunstancias o datos personales de los mismos”. A lo que la AEPD responde:

Debemos partir del hecho de que el denunciado, médico patólogo, maneja datos personales: el nombre y apellidos de los pacientes, y que realiza un tratamiento de los datos: analizando unos tejidos y fijando un diagnóstico. Tanto el nombre y apellidos de los pacientes como el diagnóstico figuraban en las etiquetas de los botes, lo que implica la identificación de una persona asociado a la patología que padece.

De esta interpretación amplia de lo que debe interpretarse como datos de salud, se deduce que dentro de esta categoría debe subsumirse la información sobre personas concretas que se encontraba en las etiquetas de los botes encontradas, independientemente que fuera escueta y de carácter benigno.

Desestimadas las alegaciones, la AEPD dictamina:

En el caso que nos ocupa, D. A.A.A., es responsable de la custodia de la documentación relativa a diversos pacientes y que apareció abandonada en la vía pública. Existiendo pues un incumplimiento del deber de secreto, produciéndose una ausencia de confidencialidad, por lo que se considera que se ha cometido una infracción del transcrito artículo 10 de la LOPD.

Se admiten, sin embargo, determinadas circunstancias atenuantes:

Valorando las circunstancias del presente caso, donde se ha establecido en los hechos probados que se trató de un hecho puntual; que “en el mismo momento en que el tuvo conocimiento de los hechos por mediación de la Prensa, acude presuroso a la Comisaría de Policía para identificarse y para paliar en todo lo posible las consecuencias que pudieren derivarse de dicho error “, que “es práctica habitual y constante del compareciente deshacerse de estos restos en forma reglada y mediante contrato suscrito desde hace muchos años con entidad es especializadas a tal fin”, debe entenderse que operan dichas circunstancias atenuantes de la responsabilidad; aplicadas ya por esta Agencia, en otros procedimientos similares relativos a la localización en la vía pública de documentación con datos de carácter personal.

Y así, finalmente,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3,4 y 5 de la citada Ley Orgánica.

Esta Resolución ha sido recurrida.

De oca a oca, la sanción me toca

2010-03-23T09:18:00.000+01:00

El procedimiento sancionador PS/00689/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la COMUNIDAD DE PROPIETARIOS RESIDENCIAL ARMENIA, se inicia vista la denuncia de uno de los vecinos acerca de un listado de deudores de la comunidad que figuraba expuesto en el tablón de anuncios, cerrado y que dispone de llaves, en el que aparecía dicho vecino como moroso incluso después de haber abonado la deuda pendiente.

El vecino pretende que además sean sancionados dos administradores de fincas, ya que durante el periodo en el que el cartel estuvo expuesto se produjo un cambio de administrador por lo que considerable sancionable tanto que el primero confeccionara el documento como que el segundo permitiera su continuidad en el tablón. Sin embargo la AEPD indica que no hay pruebas concluyentes sobre quién preparó el listado de morosos ni de que la empresa heredera de la administración tuviera copia de la llave y por tanto acceso al tablón.

Se deja claro quién es la entidad responsable de este tipo de ficheros de vecinos y el tipo de relación que tiene con el administrador:

Por ello, la condición de responsable de los ficheros creados para la adecuada gestión y funcionamiento de la comunidad de propietarios de un inmueble objeto de división horizontal corresponderá a la propia Comunidad, (...) si la ubicación de los ficheros de datos de los co-propietarios, es la de la sede del propio Administrador de Fincas, encargándose de la custodia de los mismos, almacenándolos en su propio ordenador, o pudiendo acceder a ellos, o bien en un espacio físico diferente de las instalaciones de la comunidad (por lo general, en la empresa de Administradores de Fincas para la cual trabaja), es considerado como un servicio que el Administrador presta a la Comunidad, por lo que debe regularse en cuanto a protección de datos con dicho artículo 12 de la LOPD.

Y en resumen:

Teniendo en cuenta para la Comunidad de Propietarios Residencial Armenia, que figura en la hoja expuesta el sello de la misma, como la responsable del fichero, y siendo responsable del tablón, habiendo mostrado falta de diligencia consistente no solo en exponer el listado sino en dejar transcurrir el tiempo, conociendo la exposición de los datos del denunciante al menos desde que se inició este procedimiento, y que esta exposición perdurase en el tiempo, vulnerándose el derecho al secreto de datos durante un período dilatado, y como responsable del tablón de anuncios, se le propone para la imposición de una sanción de 6.000 €, teniendo en cuenta el artículo 45.4 de la LOPD.

Y por tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la COMUNIDAD DE PROPIETARIOS RESIDENCIAL ARMENIA, (C…………) de (…….), por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 € de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Entre paréntesis

2010-03-17T09:18:00.001+01:00

Este blog entra en una fase de parada para reparaciones. Para el lector que aún no lo sepa, resumir que la Agencia Española de Protección de Datos (AEPD) ha tomado la sorprendete y absurda decisión de modificar todas las URL de su sitio web dejando inútiles y abocados al Error 404 a todos los enlaces que en internet apuntaban a su página, incluyendo por supuesto los cientos de ellos que hay en este blog.

Más detalles aquí: Suicidio virtual de la AEPD

Ahora toca repensar este blog, elegir entre las distintas opciones (integrar estas anotaciones en otro sitio, convertirlo en dominio propio y alojar internamente la documentación, reparar los enlaces a mano y dejar el resto como esta, etc...) y ponerse manos a la obra.

Ojalá podamos cerrar enseguida el paréntesis.

Actualización 17 de marzo: parece que la AEPD ha entrado en razón y han vuelto a redireccionar los dominios, de forma que los enlaces ya funcionan correctamente.
Recuperamos de inmediato el ritmo normal de publicación. Gracias a todos por los apoyos recibidos.

No se lo digas a mi ex marido

2010-03-09T08:20:00.011+01:00

Siguiendo con las sagas familiares, y tras No se lo digas a mi hermano, aparece el procedimiento sancionador PS/00189/2009, en el que Dª. A.A.A. denuncia al INSTITUTO MEDICO QUIRURGICO SAN RAFAEL, S.A., por haber entregado determinado datos de salud a su ex-marido, D. B.B.B.

La entidad imputada ha relatado los hechos de la siguiente manera:

D. B.B.B. se presentó en sucesivas ocasiones en la Recepción de IMQSR solicitando que se le emitiera un documento en el que se hiciera constar la información a la que se ha hecho referencia en el párrafo anterior. Tras comprobar el personal de Recepción que no se cumplían los requisitos exigidos en el PROCEDIMIENTO DE RECOGIDA, ENTREGA y ENVÍO DE DATOS PERSONALES, se negó a facilitarle la información solicitada. (…)

Tras varias negativas, D. B.B.B. consiguió intimidar a una trabajadora que, de forma excepcional y tras comprobar que el solicitante era conocedor de toda la información que deseaba que se plasmara por escrito y, con el ánimo de no provocar un perjuicio mayor ni para la paciente ni para IMQSR, si no todo lo contrario, con el afán de prestar un buen servicio, accedió a emitir el documento solicitado.

La AEPD deja claro que:

Ha quedado acreditado en el presente procedimiento sancionador que el Instituto Médico Quirúrgico San Rafael, S.A. facilitó datos de salud de la denunciante Sra. A.A.A., incluidos en el artículo 7 de la LOPD a un tercero sin su consentimiento.

De acuerdo con lo señalado, se considera que el Instituto Médico Quirúrgico San Rafael, S.A. ha incurrido en la infracción muy grave tipificada en el artículo 44.4.g) de la LOPD.

Sin embargo a la hora de graduar la sanción la AEPD toma en consideración los esfuerzos de IMQSR por cumplir la legislación:

El Instituto Médico Quirúrgico San Rafael no solo dispone de una normativa interna en materia de protección de datos de carácter personal, plasmada en su Documento de Seguridad sino también que ha implantado procedimientos normalizados de trabajo para el cumplimiento de la misma en todas sus áreas, formando e informando a todo su personal con el fin de involucrarlo en el respeto de los derechos de los pacientes, especialmente en la protección de sus datos personales y de su intimidad.

Y así finalmente:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad INSTITUTO MEDICO QUIRURGICO SAN RAFAEL, S.A., por una infracción del artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45 .3, .4 y .5 de la citada Ley Orgánica.

Consentimiento previo suave

2010-03-03T08:47:00.016+01:00

En el procedimiento sancionador PS/00414/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ACCURACY CONSULTING, S,L. (en adelante ACCURACY) podemos leer una de las alegaciones más curiosas que he visto nunca: estar en posesión de un "consentimiento previo suave". Veamos la historia.

Tuvo entrada en la AEPD un escrito de la representante de ALLIANZ SEGUROS, COMPAÑIA DE SEGUROS Y REASEGUROS, S.A., (en adelante ALLIANZ o la denunciante), en el que manifestaba lo siguiente:

Que desde enero de 2009 agentes exclusivos de ALLIANZ han venido recibido correos electrónicos firmados por el Sr. A.A.A. en calidad de Responsable de Grandes Cuentas de ACCURACY mediante los cuales publicitaban sus servicios.
Que: “Ni Allianz Seguros, ni ninguno de los mediadores afectados, ha otorgado su consentimiento a Accuracy para el envío de información no conectada directamente con la actividad de mediación de seguros.”
Que en fecha 29 de enero de 2009 remitió un burofax dirigido al Sr. A.A.A., como representante de ACCURACY en el que se le solicitaba que dejara de remitir correos electrónicos publicitarios a las direcciones de correo electrónico que ALLIANZ puso a disposición de sus agentes para el desempeño de las correspondientes funciones profesionales. ACCURACY recibió el burofax en fecha 30 de enero de 2009, pero no fue contestado.

Finalmente, añadir que en ninguna de estas comunicaciones comerciales aparecía indicación relativa al modo en el que los destinatarios de ellas podían oponerse al tratamiento de sus datos personales, en concreto su dirección de correo electrónico, con fines promocionales.

Los representantes de ACCURACY, en respuesta a la solicitud de información remitida por la Inspección de Datos, realizaron entre otras las siguientes alegaciones:

Al ponerse en contacto telefónico con ALLIANZ para tratar de llegar a un acuerdo de colaboración, una persona del departamento de Recursos Humanos les informó de que ALLIANZ no hacía ese tipo de convenios, pero, al parecerle interesante, les permitió comunicar directamente sus servicios a sus agentes remitiéndole para ello a la página web www.agentesallianz.com, donde se encontraban las direcciones de correos y datos personales de los mismos. ACCURACY siguió el planteamiento de Recursos Humanos y, dado que no existía otra opción, remitió los mensajes facilitando todos sus datos, así como una persona de contacto.

(...)

Es por ello que entendemos que el consentimiento por parte de ALLIANZ si que se efectuó, si bien no de forma fehaciente, pues no es practica habitual de ALLIANZ tener convenios de colaboración con otras entidades, sí que el departamento de RR.HH. consideró interesante las ofertas que a sus empleados les podría repercutir, los servicios de ACCURACY.

(…)

Sin embargo, no quedan prohibidos todos los mensajes electrónicos no solicitados. Está prevista una excepción a esta norma cuando los datos electrónicos para el envío de correo electrónico o SMS se hayan obtenido en el marco de una venta. Es lo que a veces se denomina "consentimiento previo suave" (en negrita en el original).

Sobre esta curiosa y novedosa alegación la AEPD opina:

En este sentido, y en contestación a la alegación del “consentimiento previo suave” se puede afirmar, tal y como tiene sentado consolidada jurisprudencia del Tribunal Supremo - por todas las sentencias de 8 de febrero de 1.964, 26 de mayo de 1.986 y 11 de junio de 1.991 - en interpretación del artículo 1.253 del Código Civil, que existen tres modos o formas básicas del consentimiento: expreso, manifestado mediante un acto positivo y declarativo de la voluntad; tácito, cuando pudiendo manifestar un acto de voluntad contrario, éste no se lleva a cabo, es decir, cuando el silencio se presume o se presupone como un acto de aquiescencia o aceptación; y presunto, que no se deduce ni de una declaración ni de un acto de silencio positivo, sino de un comportamiento o conducta que implica aceptación de un determinado compromiso u obligación. A efectos de la Ley Orgánica 15/1999 y con carácter general, son admisibles las dos primeras formas de prestar el consentimiento. Y en este supuesto, ALLIANZ manifestó en la denuncia presentada a esta Agencia en fecha 11 de marzo de 2009 que: “Ni Allianz Seguros, ni ninguno de los mediadores afectados, ha otorgado su consentimiento a Accuracy para el envío de información no conectada directamente con la actividad de mediación de seguros". Por el contrario, ACCURACY CONSULTING, S.L. no ha podido acreditar en el procedimiento seguido que contara con el consentimiento de la entidad denunciante ni de ninguno de sus empleados, agentes y mediadores para realizar los envíos del correo electrónico reseñados en los puntos 1 y 2 anteriores.

Y por tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad ACCURACY CONSULTING, S.L. una multa de 15.100,00 € (quince mil cien euros) por la infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma y de conformidad con lo establecido en el artículo 39.1.c) y 40.d) de esa misma Ley.

Datos que llegaron de diversas fuentes

2010-02-24T09:26:00.002+01:00

El procedimiento sancionador PS/00285/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad, OFERDATA, S.L., se inicia por la denuncia presentada por A.A.A. tras recibir en su domicilio una comunicación comercial de EUROLINEA HOGAR en la que constaba su dirección y apellidos, y en la que se informaba que los datos utilizados habían sido proporcionados por la entidad OFERDATA S.L.

Los inspectores de la AEPD comprobaron que en los ficheros de OFERDATA S.L. constaban los datos personales de la denunciante, consistentes en nombre y apellidos y dirección completa, que ella negaba haber proporcionado.

OFERDATA S.L. manifestó respecto del origen de los datos de la denunciante que

OFERDATA obtuvo los datos de las siguientes fuentes: listados accesibles al público -páginas blancas, páginas amarillas, QDQ, repertorios de servicios de telecomunicaciones (11811, 11850, 11888, etc.) revistas u otros medios de comunicación, nombramientos oficiales, diarios oficiales, etc. -, los cuales han sido sujetos a un proceso de normalización, a fin de unificar criterios y nomenclaturas de nombres propios, apellidos, nombres de vías, direcciones y poblaciones. Igualmente, se recaban nuevos datos, o se enriquecen los ya existentes, con la información obtenida de las bibliotecas de calles de Correos y del INE. También es utilizada la información proporcionada por los interesados en acciones promocionales históricas a las que pudieran haberse acogido con anterioridad - descuentos especiales, participaciones en concursos y premios, etc.

Sin embargo, realizada la búsqueda de los datos de la denunciante en los ficheros electrónicos de guías de abonados, se obtuvo resultado negativo.

En los Fundamentos de Derecho se explica:

En el presente caso ha resultado que el denunciante ha recibido comunicación comercial incluyendo su apellido y domicilio ( piso y puerta), teniendo dicha comunicación una leyenda informativa de la que se deduce el tratamiento de sus datos por parte de OFERDATA S.L.. asimismo de la documentación obtenida en las actuaciones previas de inspección, se ha acreditado que los datos personales de la denunciante se encuentran en los ficheros de OFERDATA. S.L, lo que evidencia un tratamiento de datos personales por parte de ésta, y de conformidad con el art. 43 de la LOPD, ostenta un estatus jurídico susceptible de fiscalización por esta Agencia, por ser responsable del fichero y del tratamiento de datos del denunciante.

Respecto a las alegaciones de la denunciada en el sentido de que obtuvo los datos de diversas fuentes públicas, así como de la propia actuación de los titulares de los datos en diversas acciones, se aclara:

De la primera circunstancia, señalar que en dichos repertorios no consta piso y puerta, tal como acontece en el presente caso, por lo que no se pueden entender obtenidos de dicha fuente. A mayor abundamiento, se consultó los repertorios telefónicos de abonados (http://blancas.paginasamarillas.es) realizando la búsqueda de los datos personales de la denunciante, sin tener resultado alguno.
De la segunda circunstancia, tal como que fue la propia denunciante la que ha podido dar sus datos, para el caso de que así fuera, a OFERDATA S.L le compete guardar prueba de dicha circunstancia

Y ya que no se ha presentado ninguna prueba que pueda evidenciar que contaba con sus consentimiento, la AEPD sentencia:

OFERDATA S.L trato datos personales de la denunciante, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos, por tanto la actuación de OFERDATA S.L. no es incardinable en ningún supuesto a la excepción a la prestación del consentimiento que recoge el artículo 6.2 de la LOPD, considerando vulnerado dicho precepto.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad, OFERDATA, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Un cartel desproporcionado

2010-02-16T08:21:00.012+01:00

El procedimiento sancionador PS/00118/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad Cartrans S.A., se inicia tras la denuncia presentada por A.A.A. por la colocación en el tablón de anuncios de la misma de un cuadro, del que se adjunta copia, considerando que en el se hacía una valoración subjetiva de los conocimientos y eficacia de cada trabajador.

En el cuadro figuraban los nombres de 17 personas y las valoraciones sobre 15 aspectos o actividades distintas de su trabajo (tal como “Amarre del Vehículo” o “Conductor Vehiculo Campa”). Dentro de cada aspecto se añadía una valoración de acuerdo a cuatro criterios, a los que se asignaba una letra determinada:

I Conoce el puesto de trabajo y lo desarrolla bajo supervisión
L Conoce bien el puesto de trabajo sin necesidad de supervisión
U Conoce perfectamente el puesto de trabajo y puede dar formación
O Conoce perfectamente el puesto de trabajo y puede aportar ideas de mejora.

Su contenido podía ser visto por las personas con acceso a dicha oficina, incluído el personal de la empresa, algún trabajador de Mercedes que llevaba la coordinación de actividades con Cartrans, las visitas y el personal de la limpieza

Según las alegaciones de la empresa denunciada:

No existe acreditación documental del consentimiento prestado por los titulares de los datos pues se considera que ese tipo de datos no son de carácter personal, sino que son un mínimo de datos profesionales necesarios, que se utilizan para llevar a cabo una eficaz distribución y organización del trabajo de la plantilla. Estos datos están relacionados con un tema laboral del trabajo, hacen referencia a un tema que afecta a los trabajadores de producción, y su contenido no sobrepasa el ámbito laboral.

En la Fundamentos de Derecho la AEPD da parcialmente razón a Cartrans:

Debe aceptarse la alegación de la entidad denunciada en lo relativo a que la información relativa a los trabajadores/as, que se ha reflejado en el tablón de anuncios, no afecta al núcleo de intimidad de las mismas y por tanto no tiene la consideración de especialmente protegidos.

Aceptado lo anterior, debe plantearse si los datos recogidos son proporcionales a la finalidad planteada por la denunciada: “unos mínimos datos profesionales necesarios, que se utilizan para llevar a cabo una eficaz distribución y organización del trabajo entre la plantilla de la empresa”.

Y tras el análisis de esta cuestión, se dictamina:

No se discute que el conocimiento de dicha información sea necesaria en relación al ámbito organizativo de la empresa, dentro del poder de control y dirección contemplado en el art. 20 del Estatuto de Trabajadores. pero vulnera el principio de proporcionalidad que dichos datos aparezcan en un tablón de anuncios, por que suponen una valoración de la capacidad de los trabajadores –aunque sólo se trate de determinados aspectos profesionales-, y dicha información está accesible a terceros, a todas aquellas personas que accedan a la oficina donde se encuentra dicho tablón.

Y por tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: Imponer a la entidad Cartrans S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601.01 € (seiscientos un euro con un céntimo) de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.

¿A qué estás jugando con el zoom?

2010-02-09T08:07:00.000+01:00

El procedimiento sancionador PS/00381/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad SEGUR IBERICA, S.A., se inicia vista la denuncia presentada por la Sección de la Guardia Civil del Aeropuerto de Gran Canaria, que aportó un CD, compuesto por once ficheros, con una duración estimada de 2:22:00 horas, donde se comprueba que éste contiene una serie de imágenes en las que aparecen una serie de personas perfectamente identificables por sus rasgos faciales y anatómicos. Dichas imágenes fueron obtenidas mediante la utilización de las cámaras de seguridad instaladas en dicho recinto aeroportuario, pudiendo visualizarse en las mismas determinadas partes de la anatomía del personal femenino objeto de grabación, ya que los objetivos de las cámaras se dirigieron por la persona responsable de su manejo, y mediante la utilización del “zoom”, de forma especial hacia las zonas pectorales y las nalgas de las empleadas y viajeras que trabajaban en el aeropuerto o utilizaban sus instalaciones.

Las imágenes contenidas en el mencionado soporte fueron captadas por el vigilante de seguridad de la empresa SEGUR IBERICA, S.A. responsable del Centro de Control de Videocámaras de vigilancia del Aeropuerto de Gran Canaria. El mencionado empleado fue dado de “baja no voluntaria” en la Tesorería General de la Seguridad Social como trabajador de SEGUR IBÉRICA, S.A.

SEGUR IBERICA, S.A. está inscrita en el Registro de Empresas de Seguridad, encontrándose habilitada para prestar, entre otros, servicios de vigilancia y protección de bienes, establecimientos, espectáculos, certámenes o convecciones de conformidad con la Ley y Reglamento de Seguridad Privada, y había suscrito un contrato de prestación de servicios de seguridad privada con la Entidad Pública Empresarial Aeropuertos Españoles y Navegación Aérea (en adelante AENA) en el año 2000. Entre las estipulaciones del reseñado contrato figuran, entre otras, que el objeto del mismo es la prestación por parte de SEGUR de un servicio de vigilancia y protección en el Aeropuerto de Gran Canaria y que su duración será de cuatro años, rigiéndose por la normativa reguladora de la seguridad privada. En la estipulación Decimocuarta, relativa a la normativa aplicable consta que: “El presente contrato y las actividades derivadas del mismo, sin perjuicio del cumplimiento de las normas generales que le sean de aplicación, se regirá igualmente por la normativa reguladora de seguridad privada.”

Se ha verificado que en la copia del contrato aportado por SEGUR no figura ninguna estipulación relativa al acceso y tratamiento de datos de carácter personal por cuenta de terceros conteniendo las garantías y regulación a las que se refiere el artículo 12.2 de la LOPD.

La representación de SEGUR alegó:

Que la función de los vigilantes de seguridad en relación con el sistema de videovigilancia instalado en el Aeropuerto de Gran Canaria es la de visualizar las pantallas con fines preventivos a efectos de seguridad, teniendo éstos orden expresa de que cualquier incidencia sospechosa de poner en peligro la seguridad aeroportuaria debe ser comunicada de forma inmediata al jefe de equipo y a la Guardia Civil, si la incidencia se produce en la zona restringida, o a la Policía Nacional, si la incidencia se produce en la zona pública, añadiendo que no es responsable del sistema de videovigilancia al no ostentar la titularidad del mismo.

Que resulta cierto que en las fechas aludidas se detectó un comportamiento anómalo del empleado con número de T.I.P. 3###, quien desviaba la actividad de prevención a fines particulares utilizando, al parecer, el zoom del mando direccional de seguimiento de las cámaras para enfocar determinadas partes de la anatomía del personal femenino. Esta actitud conllevó su baja en el servicio y posterior despido.

Según explica la AEPD en los Fundamentos de Derecho:

Por lo tanto, el tratamiento que SEGUR ha realizado por un período de tiempo superior a cinco años de los datos personales de los afectados mediante la visualización de las imágenes captadas por las cámaras de vigilancia, tanto en las zonas restringidas como públicas del Aeropuerto de Gran Canaria, y que se ha desarrollado en el Centro de Control de Seguridad del citado Aeropuerto a través de los vigilantes de seguridad (operadores) que desempeñan las funciones de control y manejo de las cámaras de videovigilancia, no estaba regulado en la forma descrita en el artículo 12.2 de la LOPD, no existiendo así constancia de que la conducta de SEGUR se produjera con arreglo a las estipulaciones que constaran en un contrato escrito o en cualquier otra forma que permita acreditar su celebración y contenido. De lo que se infiere que en el período mencionado SEGUR decidió sobre las concretas actividades que suponía el tratamiento de datos de carácter personal derivado de la captación de imágenes a través de videocámaras en el reseñado recinto, convirtiéndose, por ello, en responsable del tratamiento.

No puede perderse de vista que la LOPD que debe velar para que no se lesionen los derechos de los afectados, causa por la que no puede permitir que los datos personales sean objeto de tratamiento por cuenta de tercero en el modo que mejor convenga a éste y al responsable del fichero o del tratamiento, sin someterse a la cobertura formal exigida en la Ley que garantiza la existencia de relación contractual en los términos antes transcritos.

En primer lugar, el responsable del fichero debe haber encomendado el tratamiento de los datos mediante un contrato, pactado de forma que permita comprobar su existencia así como su contenido. En segundo término, dicha convención ha de contener las instrucciones que el responsable del tratamiento impone para el uso de los datos y de las que el encargado no puede separarse. Finalmente, tiene que constar también el fin que legítima la comunicación, que no pueden obviar las partes, quienes, además, han de abstenerse de comunicar los datos a otras personas.

Y como conclusión:

De conformidad con lo expuesto en los Fundamentos de Derecho anteriores SEGUR ha incurrido en las dos infracciones graves descritas. Así, ha quedado acreditado, por un lado, que en la fecha de los hechos se han utilizado los dispositivos de seguridad (videocámaras y elementos para su manejo) del Centro de Control de Seguridad del Aeropuerto de Gran Canaria para captar y visualizar imágenes de forma inadecuada y excesiva para el cumplimiento de los servicios de vigilancia y seguridad encomendados a la empresa de seguridad contratada, habiéndose actuado de una forma que no responde a la intervención mínima que exige la ponderación entre la finalidad de vigilancia y control de bienes y personas y la posible afectación por la utilización de las mencionadas videocámaras al derecho al honor, a la propia imagen, a la intimidad de las personas y a la normativa de protección de datos, hecho que vulnera el principio de calidad de los datos recogido en el artículo 4.1 de la LOPD. Igualmente, ha quedado probado, por otro lado, que SEGUR durante la prestación del servicio de seguridad contratado con AENA ha accedido a datos de carácter personal por cuenta de terceros sin cumplir con las garantías exigidas en el artículo 12.2 de la LOPD, conductas ambas que encuentran su tipificación en este artículo 44.3.d).

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad SEGUR IBERICA, S.A., por una infracción del artículo 4.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 30.000 € (Treinta mil euros), de conformidad con lo establecido en el artículo 45. 2, 4 y 5 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad SEGUR IBERICA, S.A., por una infracción del artículo 12.2 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (Sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45. 2 y 4 de la citada Ley Orgánica.

Saberlo todo es saber demasiado

2010-02-03T07:49:00.009+01:00

El procedimiento sancionador PS/00629/2008, instruido por la Agencia Española de Protección de Datos (AGPD) a la entidad SABERLOTODO INTERNET, S.L., se inició tras las denuncias presentadas por D. R.R.R., D. F.F.F., D. G.G.G., D. I.I.I., DÑA. C.C.C. y D. J.J.J., a diferentes entidades financieras por haber utilizado sus respectivos datos de carácter personal para requerirles el pago de una deuda, mediante escritos dirigidos a sus domicilios. Los denunciantes niegan haber facilitado dichos datos y, en dos de los tres casos, señalan que la deuda requerida no les corresponde.

En los casos denunciados, ante la imposibilidad de contactar con los supuestos deudores en las direcciones facilitadas por las titulares de las deudas, las entidades denunciadas realizaron una búsqueda de nuevos datos relativos a los mismos, obteniendo otras direcciones y teléfonos a través del sitio Web www.saberlotodo.com, que les permitió la realización de nuevas actuaciones de recobro, en virtud del contrato que mantienen con la entidad SABERLOTODO, titular de dicha base de datos.

Al ser requerida para que justifique la prestación del consentimiento para el tratamiento de datos personales por parte de los afectados registrados en el fichero “DOMICILIOS”, SABERLOTODO informó que remite a dichos afectados un escrito comunicándoles los datos personales disponibles en la entidad.

La información contenida en los ficheros de SABERLOTODO es accesible para las empresas que previamente han suscrito con la misma un contrato de suministro de información, vía Internet, utilizando protocolo seguro y clave de usuario con contraseña. SABERLOTODO cuenta con unos 124 clientes que consultan los datos recabados por la citada entidad a través de la página web

En el presente caso ha quedado acreditado que SABERLOTODO registró en sus ficheros automatizados los datos de los denunciantes, sin que haya acreditado que contaba con sus consentimientos y sin que concurriera ninguna de las circunstancias previstas en el citado artículo 6.2, por lo que vulneró el principio de consentimiento recogido en el artículo 6 de la LOPD.

La denunciaba había argumentado, entre otros, como origen legal de los datos el censo electoral, pero ya que el artículo 41 de la Ley Orgánica 5/1985, del Régimen Electoral General (en lo sucesivo LOREG), establece en su párrafo 2 que "Queda prohibida cualquier información particularizada sobre los datos personales contenidos en el censo electoral, a excepción de los que se soliciten por conducto judicial", la AEPD declara:

En definitiva, el censo electoral y el padrón municipal de habitantes no son una fuente de acceso público, de modo que la utilización y cesión de los datos de carácter personal provenientes del censo o del padrón municipal efectuada por SABERLOTODO no se ajusta a las previsiones de la LOPD.

A este fichero se incorporan, igualmente, datos de carácter personal de los denunciantes facilitados a SABERLOTODO por la entidad Detectives Lucentum, S.L., que le presta servicios para la elaboración de informes de solvencia, sin que conste acreditado que las investigaciones encargadas por SABERLOTODO a dicha agencia de detectives estén motivadas y justificadas por un interés legítimo que, además, guarde relación con las personas investigadas y con la obtención de información sobre conductas o hechos privados, o con la investigación de delitos perseguibles sólo a instancia de parte, conforme a lo establecido en el artículo 19 de la Ley 23/1992, de 30 de julio, de Seguridad Privada.

En el presente caso, considerando las circunstancias expuestas, no se ha acreditado la existencia de causa ni justificación alguna para el desarrollo de una investigación a los denunciantes por parte de un detective privado, y por encargo de SABERLOTODO, de modo que los datos obtenidos como resultado de dicha investigación no pueden someterse a tratamiento por parte de la entidad que realizó el encargo, que no puede considerarse legitimada para ello.

Respecto a la alegación de que el consentimiento se justificaba mediante escrito enviado a las personas afectadas, la AEPD afirma que no se ha acreditado en la debida forma que los afectados recibieran efectivamente los escritos citados y, en cualquier caso, la información facilitada en los mismos no permite considerar válidamente prestado el consentimiento. De los escritos aportados por SABERLOTODO, supuestamente remitidos al denunciante, se desprende que, en ellos, no se informa de la finalidad ni de los destinatarios de la información, y tampoco informó sobre el origen de los datos, por lo que los mismos no cumplen con la exigencia de un consentimiento informado. Según ha quedado acreditado, SABERLOTODO posibilita incluso la obtención de información asociada a una determinada persona de las registradas en el citado fichero, como es el caso del denunciante DRH, con detalle de las personas que conviven en el mismo domicilio de aquella, afectando gravemente a los derechos fundamentales de los titulares de los datos, especialmente a la intimidad personal y familiar.

Y así, finalmente:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad SABERLOTODO INTERNET, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad SABERLOTODO INTERNET, S.L., por una infracción del artículo 11.1 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 300.506,05 € (trescientos mil quinientos seis euros con cinco céntimos), de conformidad con lo establecido en el artículo 45.3 y 4 de la citada Ley Orgánica.

Aunque no te lo parezca, tienes un fichero

2010-01-27T08:38:00.000+01:00

El procedimiento sancionador PS/00389/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad Sociedad Musical Maestro Moragues ( en adelante SMM), se inicia vista la denuncia presentada por C.C.C. en la que afirmaba que SMM repartió por su localidad, incluido en un Centro Docente donde estudia la hija del denunciante, una nota informativa donde se solicitaban datos a menores de edad consistentes en nombre, apellidos, DNI, sexo, lugar, fecha de nacimiento, domicilio, código postal, municipio, teléfono fijo y teléfono móvil.

En la citada nota informativa, en la que no se informaba a los titulares de los datos en los términos del art. 5 de la LOPD, constaba el siguiente literal:

Sociedad Muscial Grupo de Viento Maestro Moragues. Aula de educandos para la formacion de nuevos musicos, inscripciones hasta el 30 de septiembre. Informacion e inscripciones en (c/...................) (tienda Laura moda infantil) telefonos #######1/ #######2.

Al menos cinco familias del municipio se interesaron en la oferta de SMM y rellenaron los folletos con los datos requeridos, tal como reconoce la propia SMM. Sin embargo la oferta musical no se llevo a cabo y se destruyeron los datos recogidos.

Por los Servicios de Inspección de la AEPD, se verificó que durante el tiempo en que se recogieron datos personales, SMM no tenía inscrito el fichero de recogida de datos en el Registro General de Ficheros de la AEPD.

La denunciada alegó:

La SMM no dispone de ningún tipo de fichero de datos personales, ni automatizado ni en soporte físico. Ni si quiera disponen de ordenador. En ningún momento desde su creación en abril del 2004 se ha creado ningún fichero con esas características.
Al no disponer de fichero, no se puede informar de la existencia del mismo.
El hecho de que no exista fichero impide que no se de cualquier tipo de tratamiento de dados. En el presente caso no se ha realzado ninguna de las acciones indicadas en el art. 3 de la LOPD, ni tan siquiera la de la recogida, ya que esos datos nunca llegaron a formar parte de ningún fichero. Sólo 5 familias se mostraron interesadas y sus correspondientes solicitudes de admisión fueron destruidas.
La referencia a cuestionarios u otros impresos para la recogida tampoco resulta aplicable al caso, ya que en ningún momento la finalidad de la solicitud de admisión era la de recopilar datos para formar un fichero y retratar posteriormente los datos sino mas bien la de informar de la existencia de los cursos. Los trípticos se entregaron a titulo informativo, comunicando oralmente que la única finalidad era contactar a las familias interesadas en que sus hijos participaran en el “Aula de Educando”. Además este documento informativo ya había sido distribuido de manera informal a través de amigos y familiares y a petición de algún interesado en la sede de la Sociedad Musical.
El propio art. 5.3 pone de relieve la importancia del contexto a la hora de analizar las previsiones de la LOPD. En el presente caso, el contexto de la SMM, la recopilación de datos para su posterior tratamiento no es necesaria en el marco de las actividades de la sociedad.
Por la inexistencia de fichero y por tanto de tratamiento, tampoco se han violado los apartados 4 y 5 del citado artículo.
En ningún momento se violó ni se puso en peligro el derecho de los ciudadanos a controlar y disponer de sus datos personales, dado que no ha existido fichero y a su vez se informo oralmente de que la única finalidad era proporcionar mayor información sobre los cursos de música.
Se hace patente que no hubo intención traficar con datos ni agruparlos bajo un fichero, ni tratarlos de manera especifica.

En los Fundamentos de Derecho la AEPD aclara:

Al contrario de lo que manifiesta la representación de SMM, en el momento que recoge datos personales, se considera fichero cualquier soporte en el que se encuentren, llegando a tener tal consideración incluso un espacio físico donde se guarden los “folletos” valorados en el presente procedimiento.

(...)

De lo expuesto, se deduce que SMM ha tratado datos personales sin tener inscrito el fichero correspondiente, lo que supone una vulneración de la LOPD.

Sin embargo, respecto a la falta de inscripción de fichero se explica:

El incumplimiento del art. 26 LOPD constituye una de las infracciones denominadas continuadas y no prescribe hasta que no se inscriba el fichero. Sin embargo en el presente caso, no se tiene conocimiento por parte de esta Agencia de que a día de hoy se siguen recogiendo datos, presupuesto necesario para considerar la existencia de fichero y la obligatoriedad de inscribirlo.

Por tanto, de acuerdo con el art. 47 de la LOPD que establece los plazos de prescripción de las infracciones, y respecto de las leves, la prescripción se produce en el plazo de un año, la infracción por incumplimiento del art. 26 LOPD estaría prescrita.

Pero en lo que se refiere a la falta de información en el folleto de los derechos de los titulares de los datos:

En este caso, ha quedado acreditado que en el folleto de recogida de datos personales no facilitaba a los titulares de éstos ( menores de edad ) la información que señala el artículo 5 de la LOPD, por lo que debe considerarse que han incurrido en la infracción del deber de información que les incumbe. En consecuencia han cometido la infracción del artículo 44.2.d) de la LOPD.

A la hora de graduar la sanción:

En el presente caso, de conformidad con los criterios establecidos en el artículo 45.4 de la LOPD, y en atención a la falta de intencionalidad de infringir la norma, así como al beneficio obtenido que ha de considerarse nulo, se propone la sanción en la cuantía mínima, correspondiente al intervalo de las leves.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad SOCIEDAD MUSICAL MAESTRO MORAGUES, por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2 de dicha norma, una multa de 600 euros € (seis cientos euros ) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Ahora se contempla, ahora no se contempla

2010-01-20T07:27:00.048+01:00

El procedimiento sancionador PS/00193/2009 (que comienza de un forma muy similar a Todos a una, pero termina de forma muy distinta), instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad AELIA S.L., se incia vista la denuncia presentada por D. G.G.G. donde expone que envió un correo electrónico a la cuenta de “F.F.F.”, empleada y usuaria de una dirección de correo electrónico de AELIA, solicitando el cese de los envíos de comunicaciones comerciales y la cancelación de su dirección de correo electrónico de los ficheros de AELIA. En el Asunto de dicha solicitud se comprueba que dicho correo responde a una comunicación anterior de AELIA de misma fecha en la que figuraba como asunto “Aelia Comunicación Boletín especialaelia”.

Sin embargo con posterioridad recibió en su dirección de correo electrónico cinco comunicaciones comerciales de la empresa, sin que el texto de los mencionados correos ofreciera al destinatario de los mismos un procedimiento sencillo y gratuito para que pudieran oponerse al tratamiento de sus datos con fines promocionales.

La denunciada alegó:

AELIA indica que obtuvo la autorización de la Asociación para la Autorregulación de la Comunicación Comercial (en adelante AUTORREGULACIÓN o Asociación) para la remisión de boletines publicitarios a raíz de los diferentes contactos mantenidos con dicha Asociación, los cuales justifica mediante la aportación de copia de dos fichas de “Gestión Comercial a Empresas”, (...)

AELIA ha presentado copia de una tarjeta de visita en la que el denunciante figura como Director General de la referida Asociación, obrando entre los datos de contacto del mismo la dirección de correo electrónico ...Y..@...... Según AELIA, la referida tarjeta de visita se obtuvo en la reunión comercial mantenida en las oficinas de AUTOCONTROL entre la empleada de AELIA, Dª Z.Z.Z., y la adjunta a la dirección de AUTOCONTROL, Dª C.C.C., durante cuyo transcurso se autorizó la remisión de información comercial por parte de AELIA a la dirección de correo electrónico del denunciante que constaba en dicha tarjeta.

También intentó descargar parte de la responsabilidad en la empleada que no atendió la petición de cancelación por parte del denunciante:

Que considera determinante y relevante en el acontecer de los hechos imputados un hecho recogido en el Acta de Inspección que no se menciona en el acuerdo de inicio, consistente en que los correos remitidos por el denunciante solicitando el cese de las comunicaciones comerciales fueron enviados a la cuenta de correo de una empleada de AELIA que causo baja en la citada entidad con fecha 29/02/2008 por despido disciplinario, y quien no procedió a cursar la baja en la lista de direcciones de correos de la entidad mediante el procedimiento establecido al efecto, lo que motivó que AELIA, ignorando la voluntad del denunciante, continuara remitiendo publicidad y ofertas comerciales al que consideraba su cliente.

Y finalmente:

Que la imposición de la sanción acarrearía consecuencias nefastas para la entidad debido a la crítica situación económica y financiera por la que atraviesa, tal y como se desprende del balance de situación referido al ejercicio 2008 que adjunta.

Tras el conocimiento de estas circunstancias D. G.G.G. envió un escrito a la AEPD:

(...) indicando que después de la denuncia los responsables de AELIA le han pedido “disculpas por las molestias ocasionadas por el envío de correos electrónicos” con posterioridad a su solicitud de baja, aclarando que dichos envíos se debieron “a la negligencia de una trabajadora” que fue despedida en los días siguientes por su inadaptación al puesto de trabajo. Igualmente, pone de manifiesto que la recepción de los mensajes no le ha causado perjuicio alguno y “que es mi intención no proseguir con la denuncia” a la vista de las disculpas y explicaciones ofrecidas por AELIA. Asimismo, reconoce como propia la tarjeta de visita cuya copia le fue adjuntada, la cual debió de ser entregada por personal de su empresa en una visita realizada por un comercial de AELIA en el año 2006, momento en que también se facilitaron sus datos de correo electrónico para recibir información comercial.

En los Fundamentos de Derecho, la Agencia afirma:

En lo que respecta a la primera cuestión planteada, ha quedado probado que las cinco comunicaciones comerciales objeto de estudio fueron remitidas por AELIA con posterioridad a la solicitud de baja de cese de envíos comerciales que fue recibida con fecha 21/02/2008 en la cuenta de correo electrónico de una empleada de dicha empresa, por lo que su envío no contaba a partir de dicho momento con la cobertura del consentimiento previo y expreso del destinatario de las mismas, tratándose, por ello, de envíos publicitarios no solicitados que fueron remitidos por AELIA sin cumplir el requisito de consentimiento previo y expreso establecido en el artículo 21.1 de la LSSI para la remisión de las citadas comunicaciones.

En lo que respecta a la segunda cuestión planteada, la simple lectura de los textos de las cinco comunicaciones comerciales de fechas 03/04/2008, 21704/2008, 30/04/2008, 21/05/2008 y 13/06/2004 objeto de análisis lleva a constatar que el prestador del servicio, en este supuesto, la entidad imputada, no ofreció al destinatario de los citados correos comerciales la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, conforme se recoge en el segundo párrafo del artículo 21.2 de la LSSI.

Sobre la responsabilidad de la empleada que no cursó la petición de baja:

A juicio de la AEPD dicha alegación no desvirtúa la responsabilidad de la entidad denunciada en los hechos imputados, ya que el correo en el que el denunciante ejercía su derecho a no recibir más mensajes comerciales se dirigió a una dirección de correo de la entidad imputada, tal y como se constató en la visita de inspección de fecha 04/02/2009 practicada en las instalaciones de AELIA al localizarse por los inspectores actuantes en la cuenta de correo de la antigua empleada “F.F.F.” información que probaba tal recepción y el conocimiento de su contenido, motivo por el que se considera que la solicitud de baja fue recibida por la entidad AELIA sin que la misma se llevara a efecto por su parte.

Sobre la petición del denunciante de detener el proceso:

El hecho de que el denunciante haya presentado un escrito manifestando que la recepción de los referidos mensajes no le había causado perjuicio alguno y que su intención era no proseguir con la denuncia, además de confirmar el envío de comunicaciones comerciales sin consentimiento que resulta objeto del presente procedimiento sancionador junto con el incumplimiento de lo previsto en el segundo párrafo del artículo 21.2 de la LSSI, no conlleva el archivo del expediente ya que la potestad sancionadora de la AEPD procede siempre de oficio, con independencia de la existencia, o no, de denuncia de parte (principio acusatorio).

Ya que en el artículo 38, apartados 3 de la LSSI, se consideran infracciones graves:

c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

La AEPD estima que:

El presente supuesto se ajusta al tipo de infracción establecido en el artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse del envío de más de tres comunicaciones comerciales por correo electrónico a un mismo destinatario en el plazo de un año (cinco mensajes publicitarios), las cuales, además, no ofrecían un procedimiento sencillo y gratuito al destinatario para oponerse al tratamiento de sus datos con fines promocionales, es decir, dichos envíos publicitarios no cumplan los requisitos establecidos en el artículo 21 de la LSSI, sin que tampoco se haya acreditado la existencia de una relación comercial previa entre emisor y receptor de los mismos.

Y además indica:

De conformidad con el principio de proporcionalidad y en base a los criterios de graduación de la sanción recogidos en el señalado artículo 40 de la LSSI, entre los que no se contempla la situación financiera atravesada por la entidad, y particularmente a la inexistencia de intencionalidad y a que el denunciante ha reconocido que su recepción no le ha ocasionado ningún perjuicio, procede imponer a la sociedad imputada la sanción en su importe mínimo de 30.001 € (Treinta mil un euros).

(La negrita es mía. Compárese con el caso enlazado al principio de esta nota donde se decía también en los Fundamentos de Derecho "hay que tener en cuenta, a la hora de graduar la sanción, que estamos ante una empresa que atraviesa una difícil situación financiera").

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad AELIA S.L., por una infracción del artículo 21, apartado 1 y segundo párrafo del apartado 2, de la LSSI, tipificada como grave en el artículo 38.3.c) de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, una multa 30.001 € (Treinta mil un euros), de conformidad con lo establecido en los artículos 39.1.b) y 40 de la citada LSSI.

Esta Resolución ha sido recurrida.

Información duplicada… multa doble

2010-01-15T06:36:00.009+01:00

El procedimiento sancionador PS/00523/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad LITOMAR 29 S.L., se inició tras la denuncia presentada por G.G.G. en la que exponía que tras haber solicitado a la denunciada información sobre la fuente de la que habían obtenido su dirección de correo electrónico y requerir la baja de sus datos, recibió un correo electrónico en el que le informaban de que sus datos habían sido obtenidos de una fuente de acceso público, en concreto del Libro del Colegio Oficial de Abogados, y le comunicaban que sus datos habían sido borrados de sus archivos. Sin embargo, poco después volvió a recibir varios correos electrónicos desde dominios de Litomar.

La empresa explicó durante el procedimiento que:

(…) procedió a cancelar el dato del correo electrónico de sus bases de datos de forma inmediata, si bien no se percataron de que dicha información estaba duplicada en otro equipo informático, (…)

La AEPD declara:

En el supuesto examinado, ha quedado acreditado a través de la investigación realizada y las actuaciones practicadas, que la entidad LITOMAR 29, S.L. remitió, con fechas 16 de abril y 13 de junio de 2008, desde la dirección de correo “...A.@.... “ dos comunicaciones comerciales a la dirección de correo electrónico “...B.@....” sin disponer de autorización expresa y previa del destinatario de los mismos y sin que conste la existencia de una relación contractual anterior que justifique el envío de los citados mensajes, de conformidad con lo dispuesto en el artículo 21 de la LSSI.

Acerca de la alegación de la denunciada sobre el origen de los datos, se aclara que:

(…) es obvio que no resulta suficiente a tales efectos el hecho de que la dirección de correo electrónico del denunciante figurara en una fuente accesible al público, ya que nos encontramos frente a la comisión de una infracción tipificada en la LSSI en la que se exige la necesidad de que los envíos publicitarios sean solicitados o expresamente autorizados por los destinatarios de los mismos, con independencia de lo recogido en la LOPD al definir las fuentes de acceso público.

Como además hubo envíos posteriores a la solicitud de cancelación de los datos, debido al error informático de la duplicidad de bases de datos, se explica:

Dicha circunstancia suponía en la práctica y en lo que se refiere a la infracción imputada del artículo 22.1 de la LSSI, que la entidad LITOMAR 29, S.L., en su condición de prestador de servicios, no tenía habilitado un procedimiento válido para que los destinatarios de los mensajes publicitarios pudieran revocar el consentimiento que hubieran prestado para recibir comunicaciones comerciales u oponerse, como en el caso del afectado, al tratamiento de sus datos personales con tal fin, ya que el procedimiento establecido para ello no ofrecía las suficientes garantías para resultar eficaz y efectivo (…)

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad LITOMAR 29 S.L., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

SEGUNDO: IMPONER a la entidad LITOMAR 29 S.L., por una infracción del artículo 22.1 de la LSSI, tipificada como leve en el artículo 38.4.h) de dicha norma, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

Todos a una

2010-01-07T05:54:00.001+01:00

El procedimiento sancionador PS/00256/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad EL REBOST DE SUQUIMEL S.C., se inició tras la denuncia presentada de forma conjunta por seis afectados que declararon que cada uno de ellos había recibido una comunicación comercial no solicitada, a través de correo electrónico, donde se daba a conocer a la empresa denunciada.

Según declaró ésta a la inspección de la AEPD:

No disponían documentación que pudiera acreditar el origen de las direcciones de correo de los denunciantes ni del consentimiento de los mismos para remitir los correos.

Recabaron datos a través de un formulario disponible en su página web http://www....X...., donde los potenciales clientes facilitan su dirección de correo electrónico para recibir información de la empresa. Asimismo, en las ferias del sector a las que asisten obtienen datos de esos posibles clientes de forma verbal.

Sin embargo, la representación de los denunciantes contestó:

Que todos los denunciantes en ningún momento cumplimentaron formulario alguno en la web de EL REBOST DE SUQUIMEL S.C. y

Que todos ellos niegan rotundamente que en ningún momento asistieran a feria del sector agroalimentario y, por consiguiente, que proporcionaran dato personal alguno.

En los Fundamentos de Derecho se deja claro:

En el presente supuesto, ha quedado acreditado que EL REBOST DE SUQUIMEL S.C. remitió comunicación publicitaria a las direcciones de correo electrónico de los denunciantes, sin disponer de autorización expresa y previa de los destinatarios, y sin que conste la existencia de una relación contractual anterior que justifique el envío de esos mensajes, de conformidad con lo dispuesto en el artículo 21.2 de la LSSI. En dichas comunicaciones se ofrecían distintos productos comercializados por la citada empresa denunciada.

A la hora de graduar la sanción, según el articulado de la LSSI:

El presente supuesto se ajusta al tipo de infracción establecido en el artículo 38.4.d), calificado como infracción leve, al tratarse del envío por correo electrónico de una única comunicación comercial.

Sin embargo, la AEPD matiza:

No obstante, hay que tener en cuenta, a la hora de graduar la sanción, que estamos ante una empresa que atraviesa una difícil situación financiera (tal como queda acreditado en el expediente) y que imponer una sanción cuantiosa supondría poner en peligro la propia continuidad de la empresa.

Y en consecuencia:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad EL REBOST DE SUQUIMEL S.C. por la infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.300,00 € (mil trescientos euros) conforme a lo establecido en el articulo 39.1.c), en relación con el 40 de la citada Ley.

La modificación de la Ley Ómnibus en los sistemas de videovigilancia

2009-12-30T22:40:00.002+01:00

La Agencia Española de Protección de Datos (AEPD) ha publicado hoy una nota informativa sobre la modificación de la Ley Ómnibus en los sistemas de videovigilancia, tras la entrada en vigor el 27 de diciembre de la Ley 25/2009, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios.

Los puntos destacados son:

Hasta la entrada en vigor de la Ley 25/2009, el 27 de diciembre, sólo era conforme a la legislación de protección de datos personales la utilización de dispositivos de videovigilancia si se había contratado con empresas de seguridad privada, debidamente autorizadas por el Ministerio del Interior.
La Ley Ómnibus reforma la Ley de Seguridad Privada, liberalizando esta actividad determinando que la venta, entrega, instalación o mantenimiento de estos sistemas podrá llevarse a cabo por particulares y empresas distintas de las de seguridad privada siempre que la instalación no implique una conexión con centrales de alarma.
Se modifica por tanto la exigencia de recurrir a empresas de seguridad autorizadas por el Ministerio del Interior y de notificar el contrato a dicho Departamento.
En todo caso, deberán cumplirse en el tratamiento de imágenes las normas establecidas en la legislación de Protección de Datos de Carácter Personal, entre las que se incluyen el deber de informar a los interesados, la inscripción de ficheros, y la implantación de medidas de seguridad.

Nota de Prensa completa.

(Madrid, 30 de diciembre de 2009). Hasta la entrada en vigor, el pasado 27 de diciembre, de la Ley 25/2009, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio (conocida como “Ley Ómnibus”), la legitimación para el tratamiento por particulares y empresas de imágenes captadas a través de dispositivos de videovigilancia sólo era posible en caso de que dichos sistemas hubieran sido contratados con empresas de seguridad privada, debidamente acreditadas ante el Ministerio del Interior, al que además debía notificarse el contrato que se hubiese celebrado, conforme a lo exigido por la Ley 23/1992, de 30 de julio de Seguridad Privada.

La Ley Ómnibus ha suprimido para la mayor parte de los casos estas exigencias, al liberalizar la comercialización, entrega, instalación y mantenimiento de estos dispositivos, de forma que ya no será necesario acudir para su puesta en funcionamiento a una empresa de seguridad privada ni cumplir las obligaciones de notificación del contrato al Ministerio del Interior.

En concreto, el artículo 14 de la nueva Ley modifica el artículo 5.1 e) de la Ley 23/1992, de 30 de julio de Seguridad Privada, añadiendo una Disposición Adicional Sexta a la Ley de Seguridad Privada con la siguiente redacción:

“Disposición Adicional Sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad:

Los prestadores de servicios y las filiales de empresas de seguridad que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidas de la legislación de seguridad privada, siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”

La interpretación de la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá: “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal.

No obstante, la instalación de un sistema de videovigilancia conectado a una central de alarma, sí seguirá requiriendo la concurrencia de los requisitos exigidos hasta ahora; esto es, que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento.

En todo caso, el tratamiento de las imágenes deberá cumplir los restantes requisitos exigibles en materia de protección de datos de Carácter Personal, recogidos en la Ley Orgánica y, en particular, en la instrucción 1/2006 de la Agencia Española de Protección de Datos, como son, entre otros, los relativos a que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida; el deber de informar a los interesados, tanto a través de la colocación de carteles informativos como mediante la puesta a disposición de aquéllos de impresos en que se detalle la información; la notificación de la existencia de los ficheros a la Agencia Española de Protección de Datos; o la implantación de medidas de seguridad.

Eso no te lo he dicho yo

2009-12-22T06:09:00.008+01:00

El procedimiento sancionador PS/00025/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a D. C.C.C. (Talleres Castelar), se inicia tras la denuncia presentada por D. G.G.G., cliente del taller del anterior, tras recibir un cargo en su cuenta corriente por servicios prestados que ya había abonado con anterioridad.

El fichero de “Clientes” del taller contiene una ficha correspondiente a D. G.G.G. en la que constan sus datos personales relativos a nombre, apellidos, DNI y dirección, que se habían utilizado en ocasiones anteriores para facturar los servicios del taller. Además de dichos datos se encontró un área tachada que, según manifestó D. C.C.C., había contenido un número de cuenta bancaria del cliente, integrado por nueve dígitos, que él nunca había proporcionado.

La AEPD dictamina:

En el presente caso, C.C.C. es responsable de haber anotado en sus propios ficheros el dato personal del denunciante relativo a su cuenta bancaria, sin que conste acreditado que el mismo hubiese prestado su consentimiento para ello, no resultando suficiente a tales efectos las manifestaciones realizadas por C.C.C. sobre la obtención de dicho consentimiento del propio denunciante manifestado de forma verbal que, además, no ha sido reconocido por el mismo.

Por tanto, C.C.C. no ha justificado el origen del dato personal relativo a la cuenta bancaria del denunciante ni la prestación del consentimiento por parte del mismo para que aquél pudiera tratar este dato, registrándolo en sus ficheros y utilizando para hacer efectivo el cobro de la factura número ***, emitida en fecha 04/03/2007 a nombre del denunciante. Ambas actuaciones constituyen un tratamiento de los datos personales del denunciante sin su consentimiento, no excluido del ámbito de protección establecido en la LOPD, según ha quedado expuesto.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a D. C.C.C., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.000,00 € (dos mil euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

Empresas de seguridad privada contratadas por ayuntamientos

2009-12-17T08:01:00.001+01:00

En el Informe 0569/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos, se responde a la cuestión sobre cual es la regulación normativa que debe de aplicarse para instalar cámaras de videovigilancia en la vía pública y en lugares públicos siendo el cliente un Ayuntamiento.

Tal y como se indicaba en la Guía de Videovigilancia editada por la AEPD:

La captación de imágenes en la vía pública está reserva a los Cuerpos y Fuerzas de Seguridad del Estado, y resultará aplicable la Ley Orgánica 4/1997 de 4 de agosto por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos.

El Informe señala que si un Ayuntamiento contrata la seguridad de su edificio con una empresa de seguridad privada, ésta deberá informarle de los extremos en los que podrá llevar a cabo su actividad, especialmente del artículo 4.3 de la Instrucción 1/2006 que dispone:

Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

En consecuencia la normativa que debe de aplicar una empresa de seguridad privada cuando es contratada por un Ayuntamiento o cualquier organismo público es la Ley 23/1992 de 30 de julio de Seguridad Privada.

Supuestos en los que se puede comunicar información salarial para los embargos

2009-12-14T06:13:00.000+01:00

En el Informe 0539/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), se da respuesta a uan consulta en la que se planteaba si las peticiones de información sobre sueldos y salarios realizados a la entidad consultante, por parte de diversas entidades puede ser atendida sin vulnerar la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

Se sobreentiende que se trata de comunicaciones de datos sin consentimiento del afectado, que rara vez estaría de acuerdo en ponérselo fácil a aquellos que pretendar embargar parte de su salario para cobrar deudas.

La AEPD, tras repasar la legislación afectada, afirma:

En virtud de lo expuesto podemos concluir que la cesión de la información salarial se puede comunicar sin el consentimiento de los afectados a la Administración Tributaria, pues así lo ampara el artículo 93 de la Ley General Tributaria y a los Tribunales encargados de las ejecuciones dinerarias amparados en los artículos 590 y 591 de la Ley de Enjuiciamiento Civil.

Criticar a un antiguo empleado en un blog

2009-12-09T06:05:00.001+01:00

En el procedimiento sancionador PS/00044/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ECOSMEP, S.L.L., vista la denuncia presentada por M.M.M., se trata de la publicación en un blog de la empresa de determinados datos personales del denunciante sin su consentimiento.

Concretamente en la página referida aparece fechado el 6/12/2007, una información referida a M.M.M., en la que se usa el dato personal de nombre y apellidos, se da información de su retribución, horario laboral, que llevaba 3 años aprendiendo informática en la empresa, que estuvo de baja por estrés laboral, indicando que a los 4 meses de estar de baja “le despedí”, abonándole toda la indemnización”, además de otra información sobre la opinión que le merece al que suscribe el artículo: incompetente “sin pegar palo al agua”. Al final de artículo consta “Publicado por www....X...”. El artículo está suscrito en primera persona “Teníamos” a los 4 meses de estar de baja lo despedí”, ”el empleado al que despedimos.”, “Lo he tenido cerca de durante 5 años”. Esta información podía verse en abierto en la web a fecha 6/02/2008. Con fecha 13/03/2009, ECOSMEP aporta copia de impresión de la web, en la que se lee que se ha eliminado, así como la impresión de los caracteres de su nombre y apellidos en el buscador Google en el que no aparece relación alguna con ECOSMEP.

Aunque M.M.M. había sido efectivamente empleado de la empresa y ésta había obtenido por tanto legalmente sus datos a efectos del cumplimiento de la legalidad vigente en materia laboral, no tenía desde luego ningún consentimiento para una finalidad más amplia que la que subyace del vínculo laboral.

La AEPD afirma:

En este sentido, consta acreditado que los datos personales revelados por la denunciante fueron datos personales que unidos de por sí, forman un perfil en lo profesional del denunciante en la empresa ECOSMPE. Además, la información que se da aparte de esos datos, constituye un perfil, en este caso negativo en lo laboral del denunciante. La información asociada a los datos de carácter personal del denunciante perfilan aun más el ámbito laboral del denunciante, siendo y dándose un perfil laboral negativo del denunciante.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad ECOSMEP, S.L.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

Nivel de seguridad en ficheros de recursos humanos y asesoría fiscal

2009-11-30T09:01:00.002+01:00

Un nuevo informe del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) sobre un tema ya tratado con anterioridad en este blog, pero que sigue despertando dudas: en este caso el nivel de seguridad exigible a los ficheros mantenidos por los colegiados pertenecientes a la Corporación consultante y relativos a la gestión de recursos humanos de empresas clientes de los mismos o a la realización de actividades de asesoría fiscal de clientes que sean personas físicas.

El Informe 0511/2009 llega a las siguientes conclusiones:

En relación con los ficheros de gestión de nóminas o recursos humanos será posible la implantación de medidas de seguridad de nivel básico siempre que los datos de salud de los trabajadores se limiten a los enumerados en el apartado a) de este informe (grado o porcentaje de minusvalía, indicación del dato “apto” o “no apto”, y datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social).
En cuanto a los ficheros relacionados con la función de asesoría fiscal de los clientes, cabrá implantar sobre los mismos las medidas de seguridad de nivel básico siempre que el tratamiento de los datos de salud se limite al de discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado.

Nada nuevo, pero siempre es interesante retomar y aclarar las cuestiones relacionadas con la aplicación de la LOPD en asesorías, puesto que este tipo de empresas van a ser en muchas ocasiones las encargadas de solventar dudas sobre el cumplimiento de protección de datos a sus empresas clientes.

Compartir datos sin consentimiento

2009-11-23T07:42:00.001+01:00

El procedimiento sancionador PS/00704/2008, instruido por la Agencia Española de Protección de Datos, se inicia tras la denuncia presentada por D. G.G.G. contra DIGITAL DISTRIBUTION MANAGEMENT, S.L. por comunicar sus datos de usuario del portal http://www....X..... a INVERLAND LEITARIEGOS, S.L., habiendo tenido constancia del hecho al intentar registrarse en el portal http://www....Y......

Ambas empresas comparten una plataforma tecnológica de apuestas con un modelo de negocio que pretende evitar que un usuario forme parte de los ficheros de ambas compañías simultáneamente. Para ello cuando un usuario se registra en uno de estos servicios, automáticamente se verifica si su código de usuario (número de pasaporte, D.N.I. o N.I.E.) figura ya inscrito en el fichero de usuarios del otro servicio. En tal caso, el sistema informa al usuario de que “Este NIF/NIE o pasaporte ya está registrado”, impidiéndole el alta.

Durante la inspección realizada, se pudo verificar que, tras dar de alta un nuevo usuario del servicio (identificado por un número de D.N.I. generado al azar) en el portal http://www....X....., ese mismo identificador de usuario era rechazado al intentar darlo de alta como usuario en el otro portal, obteniéndose el siguiente mensaje de error: “Este NIF/NIE o pasaporte ya está registrado. Por favor pónte en contacto con nuestro servicio de atención al cliente. E-mail duplicado. Por favor pónte en contacto con nuestro servicio de atención al cliente”. Esta circunstancia ocurria sin que en los Términos y condiciones de contratación se informara de este traspaso de datos.

Por lo tanto el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad DIGITAL DISTRIBUTION MANAGEMENT, S.L., por una infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45, apartados 3 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad LOTOSYSTEMS NETWORK, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45 apartados 2 y 5 de la citada Ley Orgánica.

Sanciones por videovigilancia (3)

2009-11-16T06:46:00.019+01:00

Tercera recopilación de sanciones de la Agencia Española de Protección de Datos, por motivo de instalaciones de videovigilancia (aquí la primera y la segunda).

Procedimiento sancionador PS/00030/2009, instruido por la Agencia Española de Protección de Datos a la entidad COMUNIDAD DE PROPIETARIOS DE C/ DEL SOL, 5, en (..........), vista la denuncia presentada por D. M.M.M., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 1.200 €.
Procedimiento sancionador PS/00066/2009, instruido por la Agencia Española de Protección de Datos a GASOLINERA LOFER S.A., vista la denuncia presentada por D. G.G.G., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 €.
Procedimiento sancionador PS/00133/2009, instruido por la Agencia Española de Protección de Datos a la entidad BOWLING PARK, S.A., vista la denuncia presentada por ÁREA DE GOBIERNO DE SEGURIDAD Y MOVILIDAD, por una del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d de dicha norma, una multa de 1.500 €.
Procedimiento sancionador PS/00141/2009, instruido por la Agencia Española de Protección de Datos a Dª R.R.R., como titular del establecimiento BAZAR EURO 0,60 Y MAS, vista la denuncia presentada por POLICIA MUNICIPAL DE MADRID, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d de dicha norma, una multa de 2.000 €.
Procedimiento sancionador PS/00144/2009, instruido por la Agencia Española de Protección de Datos a la entidad X.X.X., vista la denuncia presentada por POLICIA MUNICIPAL DE MADRID, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d de dicha norma, una multa de 2.000 €.
Procedimiento sancionador PS/00208/2009, instruido por la Agencia Española de Protección de Datos a la COMUNIDAD DE TITULARES DE LOCALES DEL CENTRO COMERCIAL DE LA PLAYA DE AMADORES, vista la denuncia presentada por D. S.S.S., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 €.
Procedimiento sancionador PS/00280/2009, instruido por la Agencia Española de Protección de Datos a la entidad JUEMVIC, S.A., vista la denuncia presentada por la POLICÍA MUNICIPAL DE MADRID, por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 1.000 €.
Procedimiento sancionador PS/00300/2009, instruido por la Agencia Española de Protección de Datos a la entidad RENTAPINAR, S.L.U., vista la denuncia presentada por D. M.M.M., por una infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 €.
Procedimiento sancionador PS/00587/2008, instruido por la Agencia Española de Protección de Datos a la entidad TENESUR, S.A., vista la denuncia presentada DE OFICIO, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.500 €.

Guía de Relaciones Laborales de la AEPD

2009-11-08T22:35:00.000+01:00

En el marco de la 31 Conferencia Internacional de Privacidad, la Agencia Española de Protección de Datos ha editado una interesante Guía de Relaciones Laborables donde se unifican varios de los conceptos, informes jurídicos y resoluciones ya indicados por la Agencia acerca de la protección de datos personales en las relaciones entre empresas y trabajadores, y que aquí se reúnen ahora en este documentos para unificar criterios.

La Guía se divide en cuatro bloques: Recursos humanos, Prevención de riesgos laborales, Controles empresariales y Relaciones con los sindicatos. Además se añade una sección sobre los deberes de los trabajadores que aaceden a datos de carácter personal. Para ello se recomienda:

Diseñar las funciones y responsabilidades de la plantilla de personal teniendo en cuenta su relación con el tratamiento de datos personales.
Formar adecuadamente a los trabajadores teniendo en cuenta su distinto grado de responsabilidad y garantizando que conozcan sus deberes de seguridad y secreto. La formación debe contribuir a crear una cultura de compromiso con la protección de datos.
Advertir y formar incluso a aquellos trabajadores que no teniendo una relación directa con los sistemas de información y los tratamientos de datos personales puedan poner en peligro el secreto o la seguridad de los mismos.

Guía de Relaciones Laborales (PDF 684 KB)

Grupos de empresas y la LOPD

2009-11-05T01:00:00.000+01:00

Otro clásico en cuestiones planteadas por clientes: si tengo varias empresas que comparten bases de datos, basta con que la central cumpla la LOPD, ¿cierto? Pues no. Independientemente de que una serie de empresas compartan propietario o estén participadas, cada una es una persona jurídica con sus propias obligaciones legales, y de la misma forma que presentarán sus declaraciones de IVA o IRPF, su impuesto de sociedades, etc, de forma individual, cada una deberá afrontar el cumplimiento de sus obligaciones en el ámbito de la protección de datos.

El caso específico de la creación de una base de datos centralizada, que se sustenta de los datos de los empleados que envían a la misma las distintas empresas que forman el grupo, se trató en el Informe 0494/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD).

Siguiendo el criterio citado en el párrafo inicial, cada una de las empresas que integran el grupo será responsable del fichero de datos de sus correspondientes empleados, y por lo tanto la empresa central, que realmente estaría presntando un servicio de hosting (alojamiento de los ficheros) se configuraría como encargado de tratamiento, en el sentido del apartado g) del artículo 3 de la LOPD. Ello sucederá siempre que la empresa prestataria del servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar la base de datos, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá el consentimiento de los afectados.

En definitiva, la incorporación de los datos de los empleados a la base de datos centralizada, exige que cada empresa haya informado debidamente a los afectados en los términos del artículo 5.1 de la Ley Orgánica 15/1999 y que haya obtenido el consentimiento de éstos para la incorporación de su información personal en dicha base de datos. Y por lo tanto, en buena lógica, deberán formalizarse los correspondientes contratos de tratamiento de datos entre las diferentes empresas y la central.

El Corredor de Seguros y los datos de los asegurados

2009-10-27T06:29:00.022+01:00

El Informe 0463/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), aborda el asunto del tratamiento de los datos que un corredor de seguros puede efectuar tras haber extinguido unilateralmente la relación con la entidad tomadora de seguros.

La Ley 26/2006 de Mediación de seguros y reaseguros privados, en su artículo 62 regula la condición de responsable o encargado del tratamiento, que tienen los agentes de seguro, o corredores:

1. c) Los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.

Por lo tanto en su condición de responsable del tratamiento, la AEPD indica que habiendo dejado de ostentar la condición de mediador de seguros, debe de proceder a cancelar la base de datos.

Por otro lado el artículo 63 de la Ley 26/2006 en sus apartados 3 y 4 señala que:

3. Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:

a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades de ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o reaseguradora con la que fuese a celebrarse el correspondiente contrato.

b) Después de celebrado el contrato de seguro, exclusivamente para ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley o a los fines previstos en su artículo 26.3. Para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las establecidas en las dos letras anteriores, los corredores de seguros deberán contar con el consentimiento de los interesados.

4. Resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de sus datos para otras finalidades y, en particular, para la celebración de un nuevo contrato. En todo caso, el corredor de seguros y el corredor de reaseguros no podrán facilitar los datos del interesado a otra entidad distinta de aquélla con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco para ello.

Y aquí es donde la AEPD da verdaderamente en el clavo de porqué a un corredor de seguros le conviene sin duda cumplir la LOPD más allá de las obligaciones mínimas inherentes a su situación empresarial (responsable del tratamiento) hasta convertirse en un responsable del fichero:

En virtud del contenido del mencionado artículo, debemos de señalar que la correduría de seguros, si hubiera obtenido con anterioridad a la rescisión de la relación contractual, legítimamente el consentimiento de los asegurados, podrá seguir tratando los datos, en los términos en los que autorizó cada asegurado.

Lo poco que valen tus datos... y lo caros que pueden salir

2009-10-21T11:54:00.002+02:00

D. B.B.B. (en adelante el denunciante) denunció ante la Agencia Española de Protección de Datos (AEPD) a las compañías DE´NOGAL y GUPOST, manifestando que haber recibido un envío de publicidad no solicitada en su domicilio, conteniendo sus datos personales sin que haya existido ningún tipo de relación comercial previa. También, añadió que no figura la fuente de obtención de sus datos ni el contacto para poder hacer uso de sus derechos en cuanto al tratamiento de sus datos personales (cancelación, oposición, etc.).

La historia sobre de dónde habían sacado sus datos y cómo habían llegado hasta la empresa emisora es de lo más rocambolesca, y detalle más o menos, se resume así:

La entidad Arvato Services Iberia S.A., en virtud de acuerdo de distribución, le proporciona a Informa D & B, un fichero de base de datos de personales para marketing, en dicho fichero se encuentran los datos personales del denunciante, habiéndose acreditado su obtención de una fuente de acceso público (la Guía QDQ).
Informa D & B procedió a facilitar a GRUPO LIDER unos ficheros de marketing entre los que se encontraban el fichero que contenía los datos personales del denunciante.
GRUPO LIDER y GRUPO LINCE ASPRONA S.L.U (en adelante GRLAP) formalizaron un contrato de prestación de servicios para la realización de servicios de publicidad directa. En virtud del mencionado contrato, GRUPO LIDER facilitaba a GRLAP una base de datos, para la realización del envío publicitario, así como el texto comercial a incluir, y el formato del sobre a remitir en la campaña.
GRLAP no intervino en la creación, diseño o redacción del contenido de la comunicación comercial facilitada por GRUPO LÍDER, siguiendo las instrucciones recibidas de esta empresa, tampoco ha participado ni en el diseño de parámetros de la base de datos facilitada ni en la elaboración de la misma.
Como consecuencia de las relaciones jurídicas anteriormente referenciadas, el denunciante, recibió un envío comercial de la entidad DE`NOGAL en cuyo sobre consta su nombre, apellidos y domicilio “(C/.....................)”, también figura como empresa que realizó el franqueo “GUPOST”, fecha “9.5.08” y como remitente “de´nogal parking hipercor la flecha (.........)”. En el interior del citado sobre figuraba un documento publicitario –carta-descuento- de muebles “de´nogal.
En el envío publicitario recibido por el denunciante, en el que se tratan sus datos personales no consta información relativa al origen de sus datos ni la información relativa al ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.

Basándose en estos hechos probados, la AEPD acordó iniciar el Procedimiento Nº PS/00224/2009 a GRUPO LIDER DE COMPRAS, S.L. por la presunta infracción del artículo 5 en relación con el 30.2 de la LOPD, tipificada como GRAVE en el artículo 44.3 l) de la citada Ley Orgánica.

Las alegaciones de Grupo Líder resultaron ser de lo más variopintas, intentando cargar toda la responsabilidad sobre Informa e indicando que Avanto era el verdadero responsable del fichero, que dio determinadas instrucciones para su uso a Informa y que ésta último incumplió sus obligaciones al no informar a Grupo Líder de estas instrucciones (pags 5 a 7 del procedimiento).

La AEPD responde tajante en los Fundamentos de Derecho:

GRUPO LIDER DE COMPRAS S.L., (en adelante GRUPO LIDER), es de conformidad con las definiciones responsable del fichero y del tratamiento. Del fichero en tanto que lo adquirió de Informa D & B, de conformidad con las manifestaciones obrantes en el expediente y las facturas emitidas por ésta cuyo concepto consta “Base de Datos de Marketing”, (Folios 128 a 130). Responsable del tratamiento, en tanto que fija los parámetros de la campaña y contrato con GRUPO LINCE ASPRONA S.L.U. (en adelante GPLA), para la realización de servicios de prospección comercial, para lo cual GRUPO LIDER dio las instrucciones precisas, y en definitiva decidió sobre la finalidad, contenido y uso del tratamiento.
(...)
En definitiva, la representación de GRUPO LIDER pretende descargar la responsabilidad de su actuación en otras entidades que participaron en el itering relativo a la realización de la campaña publicitaria, de la que sale el envío objeto de discusión en el presente procedimiento.
Pues bien, admitiendo la interpretación de GRUPO LIDER, se estaría abonando zonas de impunidad en lo referente al tratamiento de datos personales, es decir, no se puede, al socaire de un incumplimiento de un contrato privado, dejar de observar los mandatos que la LOPD impone. Cualquier persona física o jurídica que intervenga en el tratamiento de datos personales ha de observar las prescripciones de la LOPD, y en el presente caso, GRUPO LIDER se constituye en responsable del tratamiento de conformidad con el art. 43 LOPD y lo expuesto en el Fundamento de Derecho anterior, y por tanto susceptible de generar responsabilidad por incumplimiento de la LOPD.

Pero es que además en el contrato entre Grupo Líder y GRLAP se especificaba:

“En consecuencia, corresponderá a la entidad LIDER DE COMPRAS, en su condición de titular y responsable del fichero o ficheros que pudieren ser objeto de tratamiento por parte de LINCE GUPOST, observar y cumplimentar cuantas obligaciones pudieren venir impuestas por la normativa legal.
Especialmente, y sin que ello tenga carácter exhaustivo, la entidad LIDER DE COMPRAS deberá cumplimentar o haber cumplimentado, por si misma, las obligaciones establecidas en la vigente Ley Orgánica 15/1999 en relación con la recogida de datos informaciones a facilitara los afectados, cumplimentación de los derechos de los mismos y formalización de las notificaciones que puedan proceder a la Agencia de Proteccion de Datos.”

Todo este enredo y trasvase de datos entre varias empresas no anula el hecho de los datos fueron obtenido de una fuente de acceso público (guía QDQ), pero la denuncia deja la descubierto que en el envío no se cumplían las obligaciones señaladas en el artículo 30.2 de la LOPD:

Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

Grupo Líder solicita también la aplicación del artículo 45.5 de la LOPD con el fin de reducir la posible sanción, pero tampoco lo consigue:

GRUPO LIDER solicita la aplicación del citado precepto, sin embargo no procede dicha aplicación, ya que pretende escudar el incumplimiento en que Informa no le suministró la información necesaria para el cumplimiento de la LOPD ( Págs. 4 a 6 de las alegaciones de GRUPO LIDER), afirmación en modo alguno se puede admitir.
GRUPO LIDER no ha mostrado un celo y diligencia, que debe ser de notable entidad en atención a su actividad mercantil de la que se infiere un continuo tratamiento de datos personales, al establecer ninguna previsión relativa a la información que debían ofrecer sus envíos publicitarios (...)

Un detalle que me ha llamado la atención es que en el procedimiento se especifica el tamaño de la base de datos vendida (un fichero con 9.935 registros que contenía Profesionales y Personas Físicas y otro de 1.779 registros), así como el precio facturado (1.502,47€), lo cual resulta en un precio de 13 céntimos de euro por cada registro. Y sin embargo el mal uso de los datos lleva a esta consecuencia:

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GRUPO LIDER DE COMPRAS S.L., por una infracción del artículo 5 relacionado con el artículo 30.2, ambos de la LOPD, tipificada como grave en el artículo 44.3 l) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Informe Jurídico sobre la huella dactilar (y otros datos biométricos)

2009-10-14T14:46:00.002+02:00

Hace unos días comentaba en el blog Marketing Positivo la Declaración de Infracción de la AEPD sobre la puesta en marcha por parte de un Museo público de un sistema de control de presencia de trabajadores basado en la huella dactilar. La AEPD sancionaba tal práctica sin entrar demasiado en el fondo del asunto, puesto que desde el incio quedaba claro que faltaba la pieza básica del cumplimiento de la LOPD: el consentimiento para el uso de datos personales, ya que tales datos habían sido recogidos sin haber procedido a informar previamente, de forma expresa, precisa e inequívoca, de ninguno de los extremos previstos en el artículo 5.1 de la LOPD.

Sin embargo uno de los habituales del blog comentaba:

¿Porqué no se entra nunca en la información excesiva?, ¿la huella no es información excesiva para prevenir una cosa tan nimia como un control de presencia?, ¿no hay técnicas eficaces y menos invasivas? ¿Los tornos y los vigilantes de seguridad no son suficientes? ¿cuando es suficiente? ¿tendras las empresas "información suficiente" alguna vez?

Aunque esto podría parecer un asunto alejado de la problemática de los profesionales y pequeñas empresas a quienes preferentemente se dirige este blog, resulta que el dueño de un taller mediano (15 empleados) me comenta que le han ofrecido montarle un sistema de control similar al comentado y ya que le ha parecido relativamente económico quiere saber si le puede dar problemas desde la perspectiva LOPD.

Como siempre que se da asesoramiento de tipo jurídico hay que extremar las precauciones, acudimos a la web de la AEPD por ver si entre sus miles de documentos hay más referencias al asunto, y así encontramos el Informe Jurídico 0368/2006. En este caso se respondía la cuestión de si puede establecerse un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos.

Primero se define el concepto de dato biométrico:

Son datos biométricos aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.

Después se cita documentación europea:

A nuestro juicio, tal y como se ha venido indicando por el Grupo de trabajo creado por el artículo 29 de la Directiva 95/46/CE, en el Documento de Trabajo sobre biometría, de fecha 1 agosto de 2003, la obtención de la huella dactilar como medio para identificar a los alumnos en el centro resulta excesivo y desproporcionado, para dicha finalidad.

Y finalmente se declara:

En consecuencia, entendemos que resulta desproporcionado y por ello contrario a lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999 antes citado, la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos.

¿Aplicación a una empresa en control de trabajadores? Aunque en el Informe no se trate el tema desde la perspectiva empresarial, entiendo que a falta de otro documento se puede traspasar el concepto y aconsejar tal y como se dice en el texto buscar un medio de control menos intrusivo.

Ni se te ocurra enviar un spam a D. S.S.S.

2009-10-08T18:51:00.000+02:00

Hace ya más de un año comenté aquí una sanción de las muchas que se dan por vulneración de la LSSI al realizar envíos comerciales no solicitados (spam) por correo electrónico, que tenía la peculiaridad de que el receptor denunciante había incluído un aviso en su web dejando las cosas bien claras:

ADVERTENCIA: En ningún caso la publicación de estos datos de contacto significa el consentimiento a recibir comunicaciones comerciales no solicitadas. Cualquier comunicación de este tipo recibida por correo electrónico es un delito tipificado por la LSSI y será denunciada ante la Agencia de Protección de Datos a efectos de abrir expediente sancionador, pudiendo resultar en sanciones de hasta 601.012,10 euros. Así mismo queda expresamente prohibido incorporar esta información en cualquier tipo de fichero informatizado sin el consentimiento previo de On-Line Services 2000, SL.

En aquel caso citado el denunciado había hecho caso omiso de tal advertencia y su acción terminó siendo sancionada con 600€.

Quizás con el fin de que no se sintiera sólo, quizás por una súbita epidemia de ceguera, o quizás simplemente porque buena parte de las empresas de email marketing (y el resto) manejan habitualmente la LOPD y la LSSI a beneficio de inventario, el caso es que On-Line Services y su responsable D. S.S.S.(probablemente como casi todos) sigue recibiendo spam... y además (a diferencia de casi todos) lo sigue denunciando. Y para muestra, no un botón, sino una buena y reciente colección:

En el procedimiento sancionador PS/00023/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad COCINEROS INFO COOKING SERVICES, S.L., vista la denuncia presentada por D. S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad COCINEROS INFO COOKING SERVICES, S.L., por una infracción del artículo 21.2 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
En el procedimiento sancionador PS/00232/2009, instruido por la AEPD a C.C.C., vista la denuncia presentada por S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a C.C.C., por una infracción del artículo 21 de la LSSI, apartado 1 y segundo párrafo del apartado 2 del mismo, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
En el procedimiento sancionador PS/00060/2009, instruido por la AEPD a la entidad GRUPO KREA 2000 COM NETWORK, S.L., vista la denuncia presentada por D. S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad GRUPO KREA 2000 COM NETWORK, S.L., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
En el procedimiento sancionador PS/00585/2008, instruido por la AEPD a la entidad GREEN TAL S.A., vista la denuncia presentada por S.S.S. y en base a los siguientes, el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad GREEN TAL S.A., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.800 €, de conformidad con lo establecido en el artículo 39.1 de la citada LSSI, teniendo en cuenta los criterios que se recogen en el artículo 40 de la misma norma.

Ya podemos decir que D. S.S.S. supera a Estación de Servicio Islares como el máximo justiciero de la protección de datos.

Test psicotécnicos y comunicación de datos al Comité de Disciplina Deportiva

2009-10-01T06:33:00.013+02:00

Dos nuevos Informes Jurídicos de la Agencia Española de Protección de Datos (AEPD) sobre datos de salud y el ámbito deportivo.

En el Informe 0414/2009, Comunicación de datos al Comité de Disciplina Deportiva, la consulta plantea si la comunicación de determinados datos relacionados con un expediente de disciplina deportiva resulta conforme con la LOPD. La AEPD aclara que siempre y cuando la información no se utilice para ningún otro fin, está entre las atribuciones legales de los Comités de Disciplina Deportiva recabar todos los datos necesarios para ejercer correctamente sus funciones investigadoras y sancionadoras.
En el Informe 0445/2009, La realización de test psicotécnicos implica el tratamiento de datos de salud, se analiza la actividad de una empresa que realiza evaluaciones psicotécnicas de aptitudes, características de personalidad y preferencias profesionales de los alumnos. Además de la obvia declaración del título, en el informe se aclara que podemos concluir que al tratarse de datos relacionados con la salud de los escolares, deberá contarse con su consentimiento expreso para que pueda procederse al tratamiento y tratándose de menores de edad, el artículo 13.1 del reglamento de desarrollo de la Ley Orgánica 15/1999 establece, como criterio general que “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores”.

Cesión de los TC2 y nóminas de los trabajadores de las subcontratas

2009-09-28T23:02:00.000+02:00

El asunto de la obligatoriedad o no de la cesión de datos como los TC2 y las nóminas de empresas subcontradas a las empresas contratistas es uno de los que más veces me ha surgido entre las dudas de los clientes acerca de la aplicación de la Ley Orgánica de Protección de Datos (LOPD). La Agencia Española de Protección de Datos (AEPD) acaba de publicar sobre este tema el Informe Jurídico 0412/2009, variando en parte la tesis mantenida hasta ahora.

Por una parte el artículo 42.1 del Estatuto de los Trabajadores dispone que

Los empresarios que contraten o subcontraten con otros la realización de obras o servicios correspondientes a la propia actividad de aquéllos deberán comprobar que dichos contratistas están al corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería General de la Seguridad Social, que deberá librar inexcusablemente dicha certificación en el término de treinta días improrrogables y en los términos que reglamentariamente se establezcan. Transcurrido este plazo, quedará exonerado de responsabilidad el empresario solicitante.

Como bien se aclara en el informe:

La comunicación de datos tales como el TC2 y las nóminas no permite amparase en el mencionado artículo, dado que dicho artículo es claro al concretar que, el contratista habrá de conocer, a través de los certificados previstos en el artículo 42.1 del Estatuto de los Trabajadores el cumplimiento por parte del subcontratista de sus obligaciones en materia de seguridad social en relación con los trabajadores subcontratados, dado que en caso contrario responderá del cumplimiento de dichas obligaciones.

Por otro lado el artículo 42.2 del Estatuto de los Trabajadores, impone al contratista principal una responsabilidad solidaria, responsabilidad que implica atender el cumplimiento de una obligación de naturaleza salaria y las referidas a la Seguridad Social durante el período de vigencia de la contrata.

El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.

En este caso la tesis de la AEPD se basa en el artículo 10.2 del Reglamento de Desarrollo de la LOPD

No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:

a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.

El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

En consecuencia, la cesión de los TC2 estaría amparada en el artículo 7.3 de la Ley Orgánica 15/1999, en relación con el artículo 42.2 del Estatuto de los Trabajadores y por el alcance que el Código Civil impone a las obligaciones solidarias.

En el caso de las nóminas se plantea el problema adicional de que en algunos casos aparecen datos relativos a la afiliación sindical, para efectuar los pagos de las cuotas correspondientes, siendo este un tipo de dato especialmente protegido. Pero ya que el pago de la citada cuota es una de las obligaciones del empresario que son de carácter solidario en el caso de la relación entre contratista y subcontrata, la AEPD utiliza un argumento similar al del caso anterior para igualmente declarar tal cesión conforme con la LOPD.

Eso sí, el Informe Jurídico advierte:

En todo caso, el acceso por parte del contratista debería limitarse a los datos relacionados con los trabajadores subcontratados y no a cualesquiera trabajadores de la empresa subcontratada.

Al propio tiempo, el hecho de que la comunicación de los datos se encuentre amparada por los artículos ya citados de la Ley Orgánica 15/1999 no eximirá a la empresa subcontratista del cumplimiento del deber de información, respecto de los trabajadores subcontratados, de la cesión de sus datos a la empresa contratista, toda vez que el artículo 5.1 a) de la Ley Orgánica impone al responsable del fichero el deber de informar acerca de los destinatarios de las cesiones de datos que se hubieran producido.

Actuando de buena fe

2009-09-23T06:11:00.002+02:00

El procedimiento sancionador PS/00683/2008, instruido por la Agencia Española de Protección de Datos, se incia tras el escrito presentado por DÑA. M.M.M., en el que denuncia a la entidad Auto Plus Fleet Services, S.L. (en lo sucesivo AUTOPLUS FLEET), por tratar automatizadamente datos de carácter personal relativos a infracciones administrativas de tráfico y circulación de los ciudadanos, obtenidos de Boletines Oficiales estatales, provinciales y autonómicos. Asimismo, añade que dicha información puede ser consultada por cualquier ciudadano desde la página www…X… y que dicha entidad cruza el citado fichero con listas blancas de particulares para la realización de campañas de telemarketing y captación de clientes, cediendo para ello los ficheros a la empresa Axesor y a plataformas de telemarketing.

Se trataría de una infracción del artículo 7.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.

Tras la oportuna inspección, la empresa denunciada alegó que

No cuenta con un conjunto de datos de carácter personal sobre infracciones penales o administrativas organizados bajo ningún criterio, sino con un conjunto de ejemplares de Boletines Oficiales almacenados en formato digital, formato original en el que son publicados por sus respectivas fuentes, sobre los que cabe aplicar criterios de búsqueda de palabras porque así lo permite el formato en el que éstos se descargan de sus páginas web oficiales. De modo que en ningún momento ha incluido en ficheros de su propiedad datos relativos a la comisión de infracciones penales o administrativas.

Asimismo, alega que no tiene la consideración de responsable del fichero, puesto que no decide la finalidad y contenido de los Boletines Oficiales que almacena, ya que únicamente puede disponer sobre el uso que de la información que se proporciona en los mismos sin agregar datos adicionales, de modo que no puede considerársele responsable de un fichero sobre infracciones administrativas. Además, los Boletines Oficiales tienen la consideración expresa de fuentes accesibles al público, según se establece en el artículo 3, apartado j) de la LOPD, por lo que su consulta puede ser realizada por cualquier persona.

Ha actuado en todo momento de buena fe, cumpliendo con la normativa vigente en materia de protección de datos y con la convicción de que sus actuaciones eran conforme a derecho, con los ficheros de su titularidad debidamente inscritos en el Registro General de Protección de Datos, con el preceptivo documento de seguridad y con los correspondientes contratos de encargado del tratamiento exigidos por el artículo 12 de la LOPD con todos los prestadores de servicios que tienen acceso a datos personales de los que es responsable. Asimismo, consta que AUTOPLUS FLEET registró de forma previa al inicio de sus actividades los ficheros de los que es responsable en el Registro General de Protección de Datos, y entre ellos el fichero denominado “Potenciales Clientes”, notificado el 04/07/2006. En la notificación efectuada de dicho fichero se comunicaba que el mismo incluía, entre otros, datos relativos a infracciones de tráfico con la finalidad de ofrecer información sobre la publicación de infracciones de tráfico y ofrecer sus servicios. Igualmente se indicaba que el origen de estos datos eran fuentes accesibles al público.

Esta última alegación, dando un valor de validación sobre la legalidad del contenido de un fichero a la mera aceptación de su alta administrativa en le Registro, creo que es la primera vez que la leo y en cualquier caso seguro que no es muy habitual. Pero funciona. En los Fundamentos de Derecho se desestiman las primeras alegaciones:

En primer lugar, debe indicarse que, respecto de los ficheros que contengan datos relativos a la comisión de infracciones penales o administrativas, el artículo 7.5 de la LOPD es terminante al establecer de modo taxativo que estos datos “sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”. En consecuencia, el tratamiento de estos datos por parte de una entidad de derecho privado como AUTOPLUS FLEET resulta contrario a lo establecido en la citada Ley Orgánica, quedando limitado a las Administraciones Públicas en el ejercicio de las atribuciones que tengan conferidas, es decir, a aquellos casos en que el órgano responsable del fichero sea titular de la competencia que legitime el tratamiento y, exclusivamente, cuando así lo establezca una norma con rango suficiente.

De ello se desprende que, aunque los datos se hubieran obtenido de fuentes accesibles al público, o se trate de datos que puedan ser accedidos por terceros cuando una Ley lo permita, el tratamiento inconsentido de tales datos se encuentra vedado a AUTOPLUS FLEET, dada su naturaleza jurídico-privada.

Sin embargo se admite que:

En consecuencia, resulta que AUTOPLUS FLEET ha tratado datos relativos a infracciones de tráfico en un fichero previamente notificado al Registro General de Protección de Datos, con detalle de su estructura, que contempla la recogida de dichos datos de fuentes accesibles al público, e inscrito de conformidad por la Agencia Española de Protección de Datos. Por tanto, cabe deducir que AUTOPLUS FLEET actuó en el convencimiento de que dicha actuación se ajusta a la normativa de protección de datos de carácter personal, en la presunción de legalidad de las actuaciones de la citada Agencia. En consecuencia, respecto de la infracción del artículo 7.5 de la LOPD, es de apreciar una ausencia de culpabilidad en la conducta mantenida por AUTOPLUS FLEET, en virtud del citado principio de confianza legítima.

Y así llega la rebaja en la sanción:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad AUTOPLUS FLEET SERVICES, S.L., por una infracción del artículo 7.5 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 euros (seis mil euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

No dejes los datos abandonados, ellos no lo harían contigo

2009-09-17T08:42:00.003+02:00

Y es que pasear por internet es como surcar las aguas de los canales en Venecia: todo muy bonito hasta que de vez en cuando posas la mirada en alguna esquina abandonada donde se acumula la basura.

Así ocurrió en el procedimiento sancionador PS/00705/2008, instruido por la Agencia Española de Protección de Datos a la entidad ABANIKO MEDIA, S.L., vista la denuncia presentada por D. R.R.R., que declaró:

“…que el año pasado participé en el concurso promocional online de la película "7 Mesas de Billar Francés", sito en “http://www....X..../.....” donde introduje mis datos personales al inscribirme (nombre completo, login, password, dirección, teléfono, edad y correo electrónico).

Tiempo después volví a entrar en dicha página web y ésta redirigió a “http://www....X..../...../links/” donde se listaban una serie de ficheros (listado que adjunto como documento n° 1). En uno de ellos (llamado prueba.php) se mostraba mi dirección de correo, mi login y password, así como el de todos los demás participantes (…)

Que a fecha de 28 de Mayo de 2008 este listado sigue disponible para su visualización por cualquier usuario de Internet, sin ningún tipo de control de acceso, y cuenta con aproximadamente 1500 usuarios, correos y contraseñas. Adjunto la impresión de este enlace “http://www....X..../...../linksprueba.php/” como documento n° 2 (mis datos aparecen en la página 23 de dicho documento) (…)

Que el password mostrado en esa web (*****) es mi contraseña habitual para el acceso a ciertas páginas y cuentas de correo, razón por la cual he tenido que modificar todas ellas, y es muy posible que buena parte de los 1500 usuarios mostrados en ese fichero se encuentren en la misma situación sin saberlo. Estas contraseñas se almacenan en texto claro, sin ningún tipo de seguridad o cifrado (…)

Que la web no contaba ni cuenta actualmente con ninguna dirección de contacto para ejercer mi derecho a cancelar, rectificar o modificar los datos personales exhibidos en ese fichero (…)

Que el periodo de concurso parece haber terminado pero la web sigue permitiendo inscribirse y no ha destruido mis datos ni los del resto de participantes.”

En resumen, típico ejemplo de acción promocional en internet de carácter temporal, que una vez terminada... nadie recuerda retirar, con el agravante en este caso de que además su estado de abandono deja al descubierto datos de carácter personal de 1.500 personas.

La sociedad Abaniko, propietaria del dominio en cuestión, alegó la participación en la gestión del sitio de muchas otras empresas: hosting, posicionamiento, programación, etc..., que en todo caso sería encargada del tratamiento, e incluso intenta culpar al propio denunciante al asegurar que:

sólo la pericia de alguien muy especializado podía haber aprovechado algún resquicio de vulnerabilidad en los sistemas (mucho más allá de lo razonable) para introducirse en el dominio con finalidades ilegítimas, y producto de mis averiguaciones he podido comprobar que la persona del denunciante se corresponde con un asiduo de páginas de (…)

Se aporta (…) Algunas páginas extraídas del buscador GOOGLE donde aparece relacionado el nombre de D. R.R.R., acreditativas de la cualificación y preparación en temas informáticos y de redes sociales de la persona que se corresponde con el denunciante

Y sin embargo, poco después presenta escrito en el que comunica:

“…No obstante a ello, y entendiendo lo difícil de llegar a concluir el expediente, por las numerosas sociedades intervinientes, desde la responsabilidad que ostento en la representación de ABANIKO MEDIA, S.L., y en aras de no perjudicar a la sociedad que represento, de conformidad al artículo 8 del Real Decreto 1398/1993, vengo a reconocer voluntariamente la responsabilidad de ABANIKO MEDIA, S.L. en los hechos inspeccionados, con el exclusivo fin, de conseguir una resolución lo menos gravosa posible a los intereses que represento, por cuanto la situación económico-financiera y de tesorería de ABANIKO MEDIA, S.L. se encuentran en estos momentos muy delicada, resultando incluso, el mantenimiento de los puestos de trabajo altamente comprometida…”

Al haber reconocido los hechos imputados se procede resolver el procedimiento iniciado, y así

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad ABANIKO MEDIA, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

Videovigilancia en entornos escolares

2009-09-08T09:09:00.001+02:00

Ya que toca la vuelta al cole por estas fechas resulta oportuna la publicación del Informe Jurídico 0345/2009 de la Agencia Española de Protecciónde Datos (AEPD) sobre la videovigilancia por razones de seguridad en entornos escolares.

La consulta plantea si la instalación de cámaras que tienen en sus centros de enseñanza cumple con la legalidad vigente. Siguiendo la tesis ya expuesta en consultas similares respecto a otros ámbitos, la AEPD aclara que:

Al tratarse de motivos de seguridad resulta de aplicación la Ley 23/1992, de 30 de julio de de Seguridad Privada, en la que se fundamenta la legitimación para grabar las imágenes tanto de los menores de edad como de aquellas personas que acudan al centro.

(...)

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de videovigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación.

Así, quedaría legitimado por la existencia de una norma con rango de Ley habilitante el tratamiento al que se refiere el apartado 2 de los citados con anterioridad, siempre que se cumplan los requisitos a los que se ha hecho referencia o concurra una de las excepciones previstas en el RSP, no siendo necesario el consentimiento del afectado”.

De este modo, el consultante deberá contratar con una empresa de seguridad que haya cumplido los requisitos antes expuestos, para que el tratamiento de las imágenes quedará legitimado, por la existencia de una norma con rango de Ley habilitante, no siendo por tanto necesario el consentimiento de los afectados.

Los requisitos que se acaban de exponer son aplicables cuando la finalidad de la grabación sea la seguridad, por el contrario si el tratamiento de las imágenes se efectúa con fines distintos a la seguridad será necesario obtener el consentimiento para legitimar el tratamiento.

Se lo llevó a casa un empleado

2009-09-03T09:11:00.000+02:00

Hacía tiempo que no comentaba una sanción de la serie "se lo llevó a casa un empleado", para justificar la aparición en una red P2P de información con datos de carácter personal provenientes de una empresa.

En el procedimiento sancionador PS/00601/2008, instruido por la Agencia Española de Protección de Datos a la entidad OYONARTE INMOBILIARIA, S.L., vista la denuncia presentada por la POLICIA LOCAL DE OURENSE, quedó probado que en el eMule aparecían distintos ficheros con datos de carácter personal supuestamente relativos a titulares de viviendas de la ciudad de Alicante, al parecer gestionadas por ACAL Administradores.

Del análisis de los ficheros informáticos remitidos por la Policía Local de Ourense se observó que se trataba de varias tablas algunas de ellas con datos personales relativos a: propiedad, nombre, apellidos, dirección postal, teléfono, forma de pago, código de banco, cuenta de pago (20 dígitos), datos del pagador (nombre, apellidos, dirección postal y teléfono), coeficientes y cuotas. Constaba información de más de 6.000 personas.

Entre las actividades que desarrolla la sociedad Oyonarte Inmobiliaria se encuentra la de administración de fincas y, en particular la gestión económica, por lo que disponen de datos personales de sus integrantes, y para ello utilizan el nombre comercial ACAL.

Se verificó a través de la compañía Jazz Telecom, S.A. que los ficheros compartidos procedían de la conexión realizada a través de una dirección IP que correspondía a un particular.

Notificado el acuerdo de inicio, Oyonarte Inmobiliaria, S.L. formuló alegaciones, solicitando la aplicación del artículo 45.5 y alegando que el origen de la incidencia era que un empleado se llevó trabajo a su domicilio particular.

Este tipo de alegación, como ya hemos visto en numerosas ocasiones, es desestimada por la Agencia:

Así, Oyonarte Inmobiliaria, S.L. estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que incumplió esta obligación.

Aunque se utiliza en parte para justificar la aplicación del artículo 45.5 y por tanto una notable rebaja a la hora de aplicar el régimen sancionador:

En el presente caso, si bien la entidad imputada vulneró el principio de seguridad de los datos al no adoptar las medidas necesarias para evitar el acceso a los datos por parte de terceros, desde la óptica de la culpabilidad, ha de tomarse en consideración, como medida adoptada por la empresa, que el programa “eMule” no se encontraba instalado en los sistemas de la entidad, así como que no consta acreditada una actuación maliciosa por parte de la empresa, ya que la propia configuración del programa “eMule” permite el intercambio de información sin que sea necesaria una actuación intencionada para dar a conocer datos y archivos a terceros, a través de Internet. Por ello se aprecia, en este caso, una disminución cualificada de la culpabilidad del imputado, aunque no una ausencia total de la misma, por lo que procede aplicar el citado articulo 45. 5 de la LOPD procediendo imponer a dicha empresa una sanción de 6000 euros.

Si tenemos en cuenta la redacción del punto sexto de los Hechos Probados:

El 2 de marzo de 2009, se emite propuesta de resolución por la Instructora del procedimiento en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Oyonarte Inmobiliaria, S.L. con dos multas de 60.101,21 € cada una, por las infracciones del artículo 9 y 10 de la LOPD, tipificadas como graves en el artículo 44.3.h) y 44.3.g) de dicha norma.

El desenlace de la Resolución queda bastante suavizado:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad OYONARTE INMOBILIARIA, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

De lo que no hay mucha noticia es de los aspectos documentales de la LOPD. Me quedo con la duda sobre la existencia del Documento de Seguridad, sobre si el empleado que se llevaba el trabajo a casa era norma o excepción y si se registraban estas salidas de soportes informáticos, sobre la formación e información recibida por los empleados de la compañía, etc.

La videovigilancia continúa en racha

2009-08-20T23:15:00.000+02:00

Como continuación de la recopilación anterior, una nueva colección de procedimientos por videovigilancia sancionados este mismo año:

Procedimiento Nº PS/00470/2008 instruido a la entidad Hospital Recoletas Castilla y León, S.L., vista la denuncia presentada por D. B.B.B., por una infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2 c) de dicha norma, una multa de 1.000 € (mil euros).
Procedimiento Nº PS/00059/2009 instruido a la entidad CIXTASBUR, S.A., vista la denuncia presentada por D. C.C.C., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 2000 € (dos mil euros).
Procedimiento Nº PS/00063/2009 instruido a la entidad TERMAS PALLARES, S.A., vista la denuncia presentada por la Federación de Comercio, Hostelería y Turismo de Aragón, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 1.500 € (mil quinientos euros).
Procedimiento Nº PS/00064/2009 instruido a la COMUNIDAD DE PROPIETARIOS DE AVDA. DE EXTREMADURA, 51, vista la denuncia presentada por Dª. U.U.U. y D. G.G.G., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2500 € (dos mil quinientos euros).
Procedimiento Nº PS/00085/2009 instruido a la entidad CAMPO DE GAMA, S.L., vista la denuncia presentada por Direccio General de Policia de la Generalitat de Catalunya, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 1.500 € (mil quinientos euros).
Procedimiento Nº PS/00120/2009 instruido a la entidad Comunidad de Propietarios CAMPS I FABRES, 3-1 de Barcelona, vista la denuncia presentada por D. X.X.X., por una infracción del artículo 5 en sus apartados 1, 2, 3 de la LOPD, tipificada como leve en el artículo 44.2 d) de dicha norma, una multa de 1.000 € (mil euros).
Procedimiento Nº PS/00065/2009 instruido a la entidad METROPOLITAN SPAIN S.L., vista la denuncia presentada por D. R.R.R., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 1.500 € (mil quinientos euros).
Procedimiento Nº PS/00122/2009 instruido a la entidad INTOGU, S.L., vista la denuncia presentada por la Policía Municipal de Madrid, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 1.500 € (mil quinientos euros).
Procedimiento Nº PS/00519/2008 instruido a la entidad P/R C.B., vista la denuncia presentada por D. R.R.R., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 1.000 € (MIL EUROS).
Procedimiento Nº PS/00609/2008 instruido a la entidad FITNESS FIRST ESPAÑA S.A., vista la denuncia presentada por la POLICIA MUNICIPAL DE MADRID-AREA DE GOBIERNO DE SEGURIDAD Y MOVILIDAD, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3. d) de dicha norma, una multa de 2.500 € (dos mil quinientos euros).
Procedimiento Nº PS/00639/2008 instruido a D. M.M.M., vista la denuncia presentada por la POLICIA LOCAL DE SAN MARTIN DE LA VEGA, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1000 € (mil euros).
Procedimiento Nº PS/00569/2008 instruido a DON F.F.F., vista la denuncia presentada por DON M.M.M., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.000 € (dos mil euros).

Acceso por el empresario al correo electrónico de los trabajadores

2009-08-12T06:32:00.001+02:00

Me han llegado un par de consultas acerca del asunto de la legalidad del control del correo electrónico de los empleados de una empresa. No hay mucho que opinar al respecto, la Agencia de Protección de Datos lo dejó claro en el Informe 0247/2008 del Gabinete Jurídico.

Puedes leer los 10 folios de argumentación jurídica, o puedes simplemente quedarte con el último párrafo:

En conclusión, podemos señalar que el artículo 20.3 del Estatuto de los Trabajadores habilita al Empresario a controlar el correo electrónico que él otorga a los trabajadores para el desarrollo de sus funciones, pero siempre que previamente haya informado sobre dicho extremo y cumpla de ese modo el deber de informar previsto en el artículo 5.1 de la Ley Orgánica 15/1999.

Hago "chas" y aparezco "gogleado"

2009-08-06T13:59:00.000+02:00

El procedimiento sancionador PS/00687/2008, instruido por la Agencia Española de Protección de Datos a la entidad CENTRO DE ESTUDIOS SAN MIGUEL DE ZARAGOZA, S.L., se inició a raiz de la denuncia presentada por DÑA. L.L.L. en la que indicaba que tras haber hecho un curso descubrió que introduciendo su nombre en el buscador de Internet GOOGLE aparecían todos sus datos personales, Nombre, Dirección, teléfono, Nº Seg. Social y dirección de e-mail, procediendo dicha ficha de la página web de la citada academia.

El centro de estudios explicó:

Debido a un desafortunado error técnico en la configuración de los equipos de comunicación (indebida apertura de un puerto en el router), una página destinada al uso interno del personal administrativo y de acceso restringido quedó temporalmente indexada por Google mostrando datos personales del alumno al realizar una búsqueda detallada…..”

En el instante que se produjo la incidencia…el responsable informático, corrige el error informático para evitar que se pueda acceder a la información a través del exterior del centro. Dicho error que permitió temporalmente acceder desde el exterior a esos datos, se produjo durante el proceso de actualización del servidor de información de Internet, quedando expuesta dicha información durante un periodo de tiempo no superior a 48 horas (…)

A la hora de establecer la sanción, el instructor indica:

Por otro lado, teniendo en cuenta que es un hecho aislado, con una duración temporal limitada, rápidamente corregida mediante las medidas adoptadas, tal como queda acreditado en el antecedente segundo, apartado b.2) y en las alegaciones a la propuesta de resolución posible apreciar la concurrencia de disminución de la culpabilidad y procede imponer la sanción en su cuantía de 2000 €.

Argumentos bastante razonables y además habituales en la aplicación del artículo 45.5 de la LOPD. Por eso sorprende que además se haya añadido este texto:

En el presente caso, teniendo en cuenta que Centro de Estudios no es una empresa vinculada directamente al marco de las nuevas tecnologías de la información, es por ello, que no cabe atribuirla un grado de culpabilidad en la no adopción de sus medidas de seguridad, equivalente a supuestos vinculados a profundos conocimientos técnicos.

Que yo recuerde este es un eximente novedoso: "empresa no vinculada directamente con las TIC". ¿Alguien lo conocía?

Actuaciones de oficio

2009-07-27T07:19:00.016+02:00

Pese a estar normativamente más que adecuada para esa función, y a pesar del general incumplimiento de la LOPD, lo cierto es que la Agencia Española de Protección de Datos (AEPD) no tiene un gran historial de actuaciones de oficio. Sin embargo estos días se han publicado dos resoluciones iniciadas desde la AEPD a raiz de la publicación de ciertas noticias.

En el procedimiento sancionador PS/00686/2008, instruido por la Agencia Española de Protección de Datos a la entidad ARSYS INTERNET, S.L. se solicita el inicio de actuaciones previas, debido al presunto acceso ilícito a datos personales en los sistemas de información de la empresa dedicada a gestionar dominios de Internet. Junto a la orden de apertura, incluye: Noticia publicada en el periódico El País el día 11/6/2007, en cuyos titulares consta literalmente: Los datos de 120.000 usuarios españoles en manos de ‘ciberpiratas’.
Y aunque el titular era un tanto escandaloso y los afectados fueron en realidad menos de 10.000

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad ARSYS INTERNET, S.L. por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 (seis mil euros) € de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

En el procedimiento sancionador PS/00138/2009, instruido por la AEPD a COMUNICACIONES REUNIDAS S.L., se trata del asunto, también muy comentado en su momento en especial en los medios de internet, de los sitios en los que por desconocimiento de la ley, error informático o mala voluntad ajena, se podían ver a través de cualquier ordenador las grabaciones de videocámaras conectadas a la red. Los inspectores comprobaron en una web que:

La cámara transmite imágenes en tiempo real del interior de una sala, despacho u oficina, siendo posible controlar el movimiento de la cámara tanto en horizontal como en vertical así como efectuar zoom sobre la imagen.
La instalación y resolución de la cámara permite identificar a las personas que se sitúen en su zona de cobertura como puede constatarse en las impresiones de pantalla incorporadas a la diligencia practicada en el mismo día de la consulta.
El visionado de la cámara es de libre acceso para cualquier usuario de Internet, ya que se ha realizado sin que haya existido ningún tipo de control de acceso previo y con la simple selección de la citada dirección Internet en el navegador.

Tras comprobar que el dominio correspondía a Comunicaciones Reunidas, S.L., la empresa alegó:

Que la única explicación que pueden dar al acceso a las imágenes emitidas por la cámara a través de Internet, no es otra que un posible fallo puntual en el sistema, muy difícilmente explicable conforme las normas de seguridad que se adoptaron en el momento de su instalación.

Excusa muy poco jurídica, que da como resultado que:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad COMUNICACIONES REUNIDAS S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.500 € (dos mil quinientos euros) de conformidad con lo establecido en el artículo 45.2.4 y 5 de la citada Ley Orgánica.

Y cuidado también con las copias de seguridad

2009-07-20T08:48:00.010+02:00

Veíamos en la anterior nota que hay que tener cuidado con las disecciones que en marketing se hacen de las bases de datos para segmentar posibles clientes, ya que si uno de estos solicita al amparo de la LOPD ejercer su derecho de cancelación y que sus datos no sean usado en más ocasiones para la remisión de mensajes publicitarios, la entidad responsable de los datos deberá tener la precaución de bloquear o borrar tales datos no sólo en la base de datos original, sino en cualquiera de estas particiones que se hayan preparado en el tiempo y pudieran incluir los datos del sujeto en cuestión.

Ahora veremos que lógicamente lo mismo ocurre cuando se hace una copia de seguridad y ha de restaurarse posteriormente: habrá que incorporar todas las actuaciones realizadas sobre la base de datos desde el momento de la copia hasta el de la pérdida o deterioro del fichero, incluidas las realizadas al amparo de la LOPD.

Esto fue lo que se les olvidó a la entidad GREEN TAL S.A., que ya en el procedimiento PS/00309/2007 había recibido una sanción por enviar correo por enviar correo no autorizado a D. S.S.S. Por un fallo en el sistema de alojamiento en el servidor que GREEN TAL tenía contratado con ARSYS, se procedió a reinstaurar toda la información que constaba anteriormente, entre ella, la dirección del correo electrónico del denunciante. Este hecho provocó que en la siguiente campaña D. S.S.S. recibiera dos correos electrónicos que denunció a la AEPD, inciándose el procedimiento Nº PS/00585/2008.

Y a pesar de los intentos de alegaciones de GREEN TAL, el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad GREEN TAL, S.A., por una infracción del artículo artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 €, de conformidad con lo establecido en el artículo 39.1 c) y 40 de la citada LSSI.

Cuidado con las copias de la base de datos

2009-07-16T08:49:00.001+02:00

El procedimiento sancionador PS/00032/2009, instruido por la Agencia Española de Protección de Datos a la entidad WOLTERS KLUWE ESPAÑA, S.A., se inició tras la denuncia presentada por A.A.A. en la que explicaba que tras haber solicitado a WOLTERS la cancelación de sus datos personales y haber recibido de dicha empresa la confirmación de tal cancelación, posteriormente recibió publicidad postal nominativa de la entidad.

Aunque WOLTERS había tomado la precaución de marcar los datos del denunciante como "Robinson", haciendo referencia a su deseo de no recibir más comunciaciones comerciales, ésta acción se llevó a cabo en la base de datos central, pero no en otro fichero elaborado con anterioridad por el departamento de marketing destinado a ser utilizado en distintas campañas de marketing posteriores. Este fue el fichero utilizado en la campaña de marketing origen de la denuncia y en la fecha de generación de este fichero, el Sr. A.A.A. no constaba como “Robinson”.

En sus alegaciones, además de reclamar una posible caducidad el procedimiento, WOLTERS intenta que se acepten tales datos como "distintos", argumentando que canceló y no volvió a usar los datos que el denunciante le había proporcionado como cliente, pero que los de la campaña objeto de denuncia provenían de fuentes de acceso público. Semejante enroque no es aceptado por la AEPD, en buena lógica ya que su implantación haría casi imposible el ejercicio del derecho de cancelación para una persona física, a la que obligaría a solicitarla tantas veces como orígenes distintos haya tenido la recopilación de esa información por parte de la entidad.

Por tanto, el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad WOLTERS KLUWE ESPAÑA, S.A., por una infracción del artículo 16 de la LOPD, tipificada como grave en el artículo 44.3 f) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Sobre los videoporteros

2009-07-13T11:53:00.001+02:00

La Instrucción 1/2006 sobre videovigilancia excluye expresamente su aplicación a imágenes obtenidas en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar. Es por eso que en los casos en los que la utilización de videoporteros se limite a su función de verificar la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda, no será de aplicación la normativa sobre protección de datos.

El Informe 0335/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) responde a la cuestión de si la implantación de un videoportero que permite conectar la señal de la cámara a la red de televisión y visionar en la televisión todas las imágenes que capta la cámara, vulnera la LOPD.

Esta cuestión se analiza en la Guía de Videovigilancia en materia de videoporteros, señalando que:

Sin embargo, si el servicio se articula mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante, resultará de plena aplicación la Instrucción 1/2006.

Por lo tanto, cuando una cámara permite reproducir en tiempo real las imágenes que concurren en la portería de un edificio, su actuación excede con mucho del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, que conlleva la necesidad de legitimar dicho tratamiento en los términos del artículo 2 de la Instrucción 1/2006.

En consecuencia, se le aplicará a dicho tratamiento la misma legislación y requisitos que a cualquier instalación de videocámaras, en especial los que hacen referencia a la instalación del sistema por parte de una empresa de seguridad debidamente autorizada e inscrita en el registro del Ministerio del Interior, así como la comunicación al mismo ministerio del oportuno contrato por escrito con arreglo a modelo oficial con una antelación mínima de tres días a la iniciación de tales servicios.

Pero si nunca pasa nada...

2009-07-06T11:35:00.000+02:00

... hasta que pasa claro, y entonces puede que te venga todo de golpe.

¿Cuántas veces hemos oído lo de "aquí no vienen inspectores", "a mí nadie me denuncia", "si me ponen una multa ya la pagaré", etc...? Hay esa creencia de que se puede incumplir una ley como la LOPD de rango orgánico y "no pasa nada", y en todo caso si ocurre algo ya se pagará y se resuelve... como si años y años de vulneración se fueran a pasar de rositas con una sanción de 600€.

Quizás eso pensaban en DATA INTEGRAL ACTION S.L., que total años y años de incumplimiento les habían dado unos beneficios que justifican pagar alguna pequeña sanción, pero por si acaso no les había quedado claro con lo que ya habían recibido y señalamos en la nota Reincidentes, ahí van dos más (y atentos a los montos):

Procedimiento Nº PS/00038/2009

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad, DATA INTEGRAL ACTION, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento uno con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Procedimiento Nº PS/00034/2009

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad DATA INTEGRAL ACTION, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

A título particular

2009-06-29T09:01:00.000+02:00

Resulta habitual que ante la celebración de un evento de duración superior a un día, los organizadores negocien con los hoteles cercanos condiciones especiales para alojar a los invitados. Y no es extraño que los hoteles ofrezcan a estos la posibilidad de alargar su estancia y disfrutar así de unos días de descanso manteniendo el precio especial de la oferta, aunque la reserva y facturación se hagan a título particular.

Así ocurrió en un campeonato de pesca donde la Federación Gallega de Pesca negoció con la entidad CELUISMA un precio especial en su hotel Celuisma Torrelavega, y D. P.P.P. decidió llegar un día antes solicitando un reserva de pago directo por el cliente, ya que del resto se hacía cargo la Organización del campeonato.

El caso es que el importe de aquella reserva no fue satisfecho por el denunciante y con el ánimo de resolver amistosamente la situación, la cadena hotelera se puso en contacto con el Club de Pesca Deportiva “O CAPOTE”, del que es miembro el denunciante. Un cargo del club solicitó una copia de la factura, que le fue remitida por correo electrónico.

Enterado de esta circunstancia, D. P.P.P. interpuso denuncia ante la Agencia Española de Protección de Datos (AEPD) que inició el Procedimiento Nº PS/00541/2008 por vulneración del artículo 10 de la LOPD.

El hotel presentó copia del Registro de Clientes en el que se incluye la siguiente información:

El/los firmantes queda/n informado/s de que los datos que se solicitan son necesarios para la formalización y gestión de su estancia en el hotel y se incorporan al correspondiente fichero de clientes del hotel para uso interno y para las ofertas y realización de operaciones y contratación de los servicios de dicho hotel. PARA LO CUAL DAN SU AUTORIZACIÓN, así como a la cesión para las indicadas finalidades que puedan ser necesarias entre la entidad y otras sociedades relacionadas con la contratación de los servicios del hotel o auxiliares de éstas

En el escrito de alegaciones manifestó que el propio denunciante indicó verbalmente al personal del Hotel que el importe de la factura en cuestión debía exigirse al Club de Pesca “O CAPOTE”, cuyo “Cargo 1” contactó con el Director del citada establecimiento para informarle que asumía el pago y facilitarle la dirección de correo electrónico a la que remitir la factura. Asimismo, añade que en el momento de la recogida de los datos personales del denunciante, éste consintió expresamente la comunicación de sus datos a dicho Club, conforme a lo señalado en la cláusula informativa reseñada en el formulario cumplimentado, en el que se informa expresamente sobre la finalidad (“realización de operaciones y contratación de los servicios del Hotel”) y cesionarios de los datos (“entidades relacionadas con la contratación de los servicios del Hotel”), de modo que CELUISMA estaba habilitada para comunicar tales datos al Club “O CAPOTE”. Además, el denunciante conocía la intervención del citado Club en la contratación de los servicios del Hotel y se benefició de las especiales condiciones pactadas con el mismo.

En los Fundamentos de Derecho la AEPD indica:

En el presente caso, ha quedado acreditado que CELUISMA, como responsable del envío a un tercero de un duplicado de la factura emitida por dicha entidad a nombre del denunciante, no actuó con la diligencia debida al haber posibilitado que un tercero tuviese acceso a datos personales de aquél, por lo que se vulnera el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD.

Respecto a los consentimientos verbales o telefónicos supuestamente otorgados por el denunciante, tal y como suele ser habitual la AEPD los desestima por completo al considerarlos "no acreditados". Igualmente desestima que el alcance del consentimiento firmado en el Registro de Clientes ampare la cesión de datos a un tercero, aún cuando se pretenda un hecho legítimo como es el cobro de una factura impagada.

Y por lo tanto el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad CELUISMA, S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

No le contrates si no quiere

2009-06-18T00:21:00.000+02:00

Los habituales movimientos de trabajadores entre empresas subcontratadas en el sector de la construcción pueden dar un severo disgusto en protección de datos sino se hacen con meticulosidad, como se puede ver en el procedimiento sancionador PS/00289/2007, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidades PLANET STEEL, S.L. y FERROINSA ACEROS Y FERRALLAS INDUSTRIALES, S.A.

Estando en situación de desempleo con derecho a prestación, D. L.L.L. se llevó una sorpresa un mes cuando percibió un importe inferior al reconocido inicialmente, comprobando, según la información facilitada por el Instituto Nacional de Empleo, que dicha prestación había sido suspendida por un alta en Seguridad Social formalizada por FERROINSA. Según consta en el “Informe de Vida Laboral” facilitado por la Tesorería General de la Seguridad Social, el denunciante figura como trabajador de dicha empresa por un periodo de 7 días, señalando como motivo de la baja el cese voluntario del mismo.

D. L.L.L. denunció ante la AEPD este uso indebido de sus datos personales, acompañando la denuncia con una Declaración Jurada, emitida para la reanudación de las prestaciones de desempleo, en la que manifiesta que en ningún momento ha prestado servicios en la empresa FERROINSA, y copia de la solicitud dirigida por esta empresa a la Tesorería General de la Seguridad Social, en la que solicita la anulación de los movimientos de alta y baja del denunciante en la empresa, causadas por un error administrativo de la entidad que motivó la suspensión de la prestación por desempleo que aquél venía percibiendo.
También denunció que ni FERROINSA ni PLANET STEEL habían inscrito fichero de datos personales alguno ante el Registro General de la Protección de Datos (RGPD).

FERROINSA tenía una relación de subcontrata con PLANET STEEL, última empresa en la que había trabajado D. L.L.L. antes de inciar su período de prestación por desempleo, y ambas compañías eran clientes de la misma asesoría.

Esta fue la cadena de errores que motivó el alta indebida del denunciante:

PLANET STEEL ofreció a D.L.L.L. un nuevo contrato de trabajo, que este no aceptó, pero por error se solicitó a la asesoría que tramitara el alta.
Al “Cargo 2” se le olvida pasar un parte de anulación del alta que en realidad nunca tendría que haberse comunicado, puesto que no se llega a iniciar la prestación laboral.
La asesoría se equivocó de empresa y realizó el alta en la Seguridad Social a nombre de FERROINSA.

Es interesante aclarar que según las empresas denunciadas D.L.L.L. sí aceptó de forma verbal el nuevo contrato que se le ofreció, y así lo declaró ante la AEPD uno de los jefes de obra, pero su afirmación no fue tomada en consideración al ser una manifestación de parte y, por tanto, necesitado de prueba.

Finalmente la Agencia explica:

En el presente caso ha quedado acreditado que PLANET STEEL trató los datos de carácter personal del denunciante, ordenando expresamente a la entidad que le presta servicios en gestión de personal la formalización del alta en Seguridad Social del mismo como trabajador de la entidad, a pesar de que el denunciante no había consentido la relación laboral ni formalizado ningún contrato de trabajo que regulara la misma.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad PLANET STEEL, S.L., por las infracciones de los artículos 6.1 y 26 de la LOPD, tipificadas como grave y leve, respectivamente, en los artículo 44.3.d) y 44.2.c) de dicha norma, una multa de 60.101,21 (sesenta mil ciento un euros con veintiún céntimos) y una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1, 2 y 4 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad FERROINSA ACEROS Y FERRALLAS INDUSTRIALES, S.A., por la infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Esta Resolución ha sido recurrida.

Reincidentes

2009-06-15T08:39:00.001+02:00

Es merecedor de especial atención la circunstancia de que esta Agencia ha sancionado a DATA INTEGRAL ACTION S.L., por hechos similares durante el último año, pudiéndose apreciar la reincidencia en su actuación, por lo que atendiendo a lo expuesto no se aprecia una “cualificada disminución de la culpabilidad”, de conformidad con el apartado 5 del artículo 45, sin que proceda su aplicación.

Así queda escrito en el procedimiento sancionador PS/00596/2008, justo antes de entrar a matar:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad Data Integral Action S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un mil con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Y es que hay quien sencillamente tiene políticas comerciales incompatibles con la Ley Orgánica de Protección de Datos, según se puede ver en:

Búsqueda de "Data Integral Action" en Google

políticas que dan este resultado:

Búsqueda de "Data Integral Action" en agpd.es

Y en la mayor parte de los casos, como en el ejemplo con el que comenzaba esta nota, por vulneración del artículo 6 de la LOPD, algo tan básico como recabar el consentimiento de los interesados para el uso de sus datos personales.

Para entender cuál es el mecanismo mental con el que esta clase de empresas trabajan no hay más que prestar atención a una de sus alegaciones:

En el presente caso, es imposible guardar prueba de la concreta fuente pública de la que se han obtenido cada uno de los datos existentes en el fichero. Si la administración esta imputando una infracción de tratamiento sin consentimiento, debe probarse que los datos no constaban en ninguna fuente publica en la fecha de la infracción.

El paraíso de los spammer: que cada ciudadano tuviera que probar para cada momento concreto que no había prestado su consentimiento (?)

Y aún así la AEPD parece aceptar el envite y en la resolución ya enlazada indica:

Realizada consulta a los repertorios telefónicos de abonados y otras fuentes de acceso público, no se han encontrado datos del denunciante.

Lo mismo en el procedimiento sancionador PS/00462/2008, contra la misma mercantil, donde se señala:

Por los servicios de Inspección de esta Agencia se realizó consulta a los repertorios telefónicos on-line de www….X… y www….Y… sin encontrarse datos de la denunciante.

Vamos, que ni por esas se libran.

Y de nuevo:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad Data Integral Action, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un mil con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Te invito a bailar salsa

2009-06-09T09:38:00.016+02:00

D. S.S.S. recibió en su dirección de correo electrónico una comunicación comercial no solicitada remitida desde la cuenta de correo electrónico ....X.@... en cuyo asunto rezaba “invitación”, promocionando la asistencia a una discoteca:

Hola este domingo te invito a bailar salsa en la Discoteca Beethoven.

Nuevo ambiente latino, no te lo pierdas

(C/..................) i Contesta Telefono de Información ########.

Tomas la Diagonal dirección (......) en la (C/..................), tomas el lateral y en la primera que se puede a la derecha es la (C/..................) esta: LA DISCOTECA BEETHOVEN, o sea de Catalunya Radio sigues y esta en la siguiente esquina.

En el texto del reseñado correo no se ofrecía información alguna sobre el ejercicio del derecho de oposición del destinatario al tratamiento de sus datos con fines promocionales.

D. S.S.S. puso el asunto en manos de la Agencia Española de Protección de Datos (AEPD), que inició el Procedimiento Nº PS/00630/2008 y con su habitual poderío comprobó, mediante información facilitada por Telefónica de España S.A.U., que la dirección IP del ordenador desde donde se remitió el correo comercial estuvo asignada de forma dinámica el día en cuestión a una línea telefónica cuyo titular era M.M.M. Además se comprobó que el dominio del correo emisor del spam estaba a nombre de la misma persona.

D. M.M.M. no pudo acreditado contar con el consentimiento otorgado por el titular de la dirección de correo electrónico del denunciante para la remisión al mismo de la comunicación comercial, ni ha probado que ésta hubiera sido solicitada previamente, ni la existencia de una relación contractual previa mantenida con el destinatario del mismo.

Y por lo tanto

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a D. M.M.M., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una sanción de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

¿Se puede publicar el TC2 en un tablón de anuncios?

2009-06-04T09:47:00.000+02:00

El Informe Jurídico 0247/2009 de la AEPD responde a la cuestión de si se puede legalmente publicar los TC2 en un tablón de anuncios con el fin de verificar que la empresa cumple correctamente su deber de pago a la Seguridad Social, en cumplimiento de una cláusula de un Convenio Colectivo que exige

.. La obligatoriedad de publicar en el tablón de anuncios los modelos TC1 y TC2 correspondientes al último mes en que se haya hecho efectiva la liquidación, para todas las empresas afectadas por este convenio.

Ante todo se aclara que la publicación en el tablón de anuncios de la empresa los TC2 constituye una cesión o comunicación de los datos de dichos trabajadores, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”. Además se considera que los citados documentos no se limitan únicamente a incluir una mera relación nominal de los trabajadores respecto de los cuales el empresario da cumplimiento a su obligación de abono de la correspondiente cuota, sino que introducen diversas informaciones referentes a los citados trabajadores, tales como su número de afiliación, si se encuentran en una de las situaciones especiales descritas en el Texto refundido de la Ley General de la Seguridad Social, aprobado por Real decreto Legislativo 1/1994, de 20 de junio, el tipo de contrato celebrado o la concurrencia de circunstancias que determinan la existencia de deducciones o compensaciones. Todo ello implica que dicho documento incluye datos que incluso pueden encontrarse vinculados con la salud de los trabajadores, relacionados con su salud laboral, incapacidades o minusvalías.

Así nos encontramos con que sólo sería posible tal publicidad obteniendo el consentimiento previo de los interesados o que una norma con rango de Ley habilite tal cesión.

La AEPD aclara:

el Convenio Colectivo no tiene el rango de Ley a los efectos de permitir una comunicación masiva de dichos datos.

Y ante la duda de cómo resolver entonces el asunto, la AEPD sugiere (siempre hay que recordar que estos informes no son vinculantes) hacerlo a través del Comité de Empresa ajustándose a las previsiones del articulo 64.1 del Estatuto de los Trabajadores, auqnue de paso advierte:

Debe, por otra parte recordarse que el Comité de Empresa, en virtud de lo establecido en el artículo 4.2 de la Ley Orgánica 15/1999, no podrá utilizar los datos cedidos para finalidades distintas de las que motivaron su recogida. en este caso, el correcto desenvolvimiento de la relación laboral y por tanto, deberá limitarse a la finalidad de control que el propio Estatuto atribuye al Comité de Empresa.

No le dejes el sobre a la vecina

2009-06-01T09:16:00.001+02:00

D. M.M.M. prestó servicios como empleado de la entidad J.A. CONSTRUCCIONES hasta la rescisión de la correspondiente relación laboral, que quedó formalizada con efectos de 10/01/2008.

La empresa explica:

Comoquiera que D. M.M.M. (trabajador que fue de esta empresa) estaba de vacaciones en esas fechas, y era y es preceptivo legalmente, preavisarle la terminación de su contrato con 15 días de antelación, finalizado el mismo el 10/01/08, y no cogiendo el teléfono móvil pese a las numerosas llamadas que se le efectuaban, dos empleados de esta empresa intentaron hacerle entrega personal de dicha comunicación.

Para ello, se desplazaron a su domicilio, haciendo varias llamadas a su puerta, sin obtener respuesta. En un momento determinado, abrió la puerta de su casa la vecina, Dª R.R.R., quien junto con dichos empleados insistió en la llamada y, al seguir sin respuesta, se ofreció amablemente para entregársela. Ante ofrecimiento tan desinteresado los operarios así lo efectuaron.

La vecina acusó recibo de la citada comunicación haciendo constar en el propio documento la siguiente indicación, junto con su firma: “R.R.R. 15 VECINA. Recibí”.

En la mencionada carta se recogían los datos personales de D. M.M.M. relativos a nombre, apellidos y domicilio, además de algunos datos correspondientes a la relación laboral que mantenía con J.A. CONSTRUCCIONES.

Posteriormente J.A. CONSTRUCCIONES remitió a D. M.M.M. un burofax en el que se le indica lo siguiente:

... le acompañamos la carta de terminación de contrato, que al no encontrarse Ud. en la empresa, acudimos a su domicilio arriba indicado, y al no hallarle, se la dejamos a su vecina Dª R.R.R., el día 27-12-2007, para que se la entregara.

Con estos documentos D. M.M.M. presentó la correspondiente denuncia ante la AEPD.

Tras recibir la comunicación de inicio del procedimiento sancionador PS/00564/2008, J.A. CONSTRUCCIONES, presentó escrito de alegaciones, en el que manifiestaban que no fueron los representantes de la empresa los que facilitaron a la vecina del denunciante la carta por la que se comunicaba al mismo la finalización del contrato laboral, sino dos compañeros de trabajo con los que aquel mantiene una cierta amistad, que se acercaron a su domicilio ante la ausencia del trabajo del denunciante. En definitiva, alegaron que los hechos se produjeron erróneamente por unos compañeros.

Parece un poco feo intentar descargar la responsabilidad en dos trabajadores compañeros del denunciante, pero en cualquier caso como muy bien aclara la AEPD en los Fundamentos de Derecho

El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática.

Y como ya sabemos, el responsable del fichero no puede "culpar" a ningún empleado (al menos en el proceso administrativo), así que finalmente:

En el presente caso, ha quedado acreditado que J.A. CONSTRUCCIONES, como responsable de la entrega a un tercero de la comunicación dirigida al denunciante por la que se le informaba sobre la rescisión de la relación laboral, no actuó con la diligencia debida al haber posibilitado que esa tercera persona tuviese acceso a datos personales de aquél, por lo que se vulnera el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad J.A. CONSTRUCCIONES, S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

4 kilos de datos personales

2009-05-26T09:43:00.022+02:00

Eso es lo que se encontró la Policía Local del Ayuntamiento de Cambrils en un camino forestal: una caja de cartón llena de tickets de un restaurante con nombres de clientes y datos de tarjetas de crédito. En concreto, según la posterior inspección de la AEPD: nº de tarjeta, nombre y apellidos, fecha de caducidad de la tarjeta y firma del cliente, figurando en la parte superior del ticket “Restaurant Gran Mon”.

Notificado el acuerdo de inicio del procedimiento sancionador PS/00498/2008, el restaurante alegó:

Niega los hechos de los que dicen no “existir pruebas”. Añade que ningún empleado o persona del Restaurante puso la caja de cartón con los tickets y boletas de pago en el lugar en que se halló. Se debería exigir responsabilidad al autor de los hechos.
El hecho se debe a un caso fortuito. El Restaurante se hallaba en obras, los albañiles debieron depositar los tickets en el lugar en que se hallaron. Aporta una licencia de obras en el Restaurante, sellada por el Ayuntamiento de (.....) de 27/09/2007.
Ausencia de malicia en los hechos denunciados.
Falta de proporcionalidad en la sanción a imponer, aunque no detalla los aspectos que se tendrían que tener en cuenta en el caso concreto.

Los tickets y boletos de pago en los que figuran en muchos de ellos los 20 dígitos completos de la cuenta bancaria, el nombre y apellidos, y las fechas, existiendo desde los años 2004, 05, 06 se hallaban, según Restaurante Gran Mon, guardados en el despacho del encargado, del cual sólo él tenía llaves, concretamente dentro de un armario del despacho, que a su vez era cerrado con llave. Manifiesta su representante que cuando se efectuaron las obras, los empleados vaciaron los armarios para moverlos, se mezclaron con otras cajas que contenían material de deshecho para ser tiradas, sin que la empresa tuviera conocimiento en ningún momento de que habían sido sacadas.

La AEPD resuelve:

Pese a que los hechos descritos suponen una clara conducta negligente por parte de RESTAURANTE GRAN MON, al no cumplir las medidas de seguridad exigidas en la legislación vigente, con el resultado de la vulneración de dicho principio, no obstante, se aprecia una cualificada disminución de la culpabilidad ya que los documentos se encontraron y recuperaron de forma inmediata, con posterioridad a la realización de obras en el restaurante, se hallaban y fueron encontrados en una caja de cartón, sin que estuvieran diseminados por la superficie, por tanto, procede la aplicación en el presente supuesto del artículo 45.5 de la LOPD,

No obstante, teniendo en cuenta los criterios de graduación de la sanción previstos en el artículo 45.4 de la LOPD y, en especial, la ausencia de intencionalidad acreditada en el presente procedimiento, procede proponer la sanción en cuantía de 6.000 €.

Vistos los preceptos citados y demás de general aplicación,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a RESTAURANT GRAN MON, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

El "Quién es Quién" de los dominios de internet

2009-05-22T10:19:00.024+02:00

Ha quedado ya dicho en innumerables ocasiones que en lo que se refiere a la protección de datos (LOPD, LSSI y cualquier otra legislación referente), internet no es una fuente de acceso público, y por lo tanto tales datos no podrán ser tratados sin el consentimiento de los afectados.

En el caso del procedimiento sancionador PS/00583/2008, instruido por la Agencia Española de Protección de Datos a la entidad ALMA RECORDS ENTERTAINMENT, el dato necesario para el envío de un correo electrónico comercial no solicitado (spam) se extrajo de una web que ofrecía los datos de los propietarios de dominios de internet.

WHOIS es un protocolo TCP basado en petición/repuesta que se utiliza para efectuar consultas en una base de datos que permite determinar el propietario de un nombre de dominio o una dirección IP en Internet. Las consultas WHOIS se han realizado tradicionalmente usando una interfaz de línea de comandos, pero actualmente existen multitud de páginas web que permiten realizar estas consultas. Estas páginas siguen dependiendo internamente del protocolo WHOIS para conectar a un servidor WHOIS y hacer las peticiones.

Wikipedia

La empresa denunciada alegó:

El consentimiento otorgado por el destinatario se entiende, puesto que la comunicación comercial contenía al final un apartado donde le informan de sus derechos, a través del cual podría haber denegado su consentimiento; sin embargo nunca se dirigió a la entidad para ello.

El motivo del envío fue el de ofertar el servicio de creación y publicación de una página web, entendiendo que la oferta podía resultarle interesante al haber adquirido recientemente un dominio web.

Los datos del destinatario fueron obtenidos a través de la web www...Y.... en cuya sección ESTADÍSTICAS se puede descargar el documento en formato “pdf” correspondiente al mes de mayo, en el cual se encuentra un listado de acceso libre.

A continuación, en la web www...Z.... se busca en su sección ¿Qué dominio deseas registrar?, se indica el nombre del dominio del cliente buscado en el “pdf” anterior obteniéndose todos los datos del cliente mediante libre acceso (el proceso se encuentra descrito en el documento presentado por ALMA RECORDS ENTERTAINMENT).

A lo que la AEPD responde en los Fundamentos de Derecho:

En el presente supuesto, ha quedado acreditado que la entidad ALMA RECORDS ENTERTAINMENT, S.L. remitió, en fecha 23 de mayo de 2008, una comunicación publicitaria a la dirección de correo electrónico ..S..@...., sin disponer de autorización expresa y previa del destinatario y sin que conste la existencia de una relación contractual anterior que justifique el envío del mensaje, de conformidad con lo dispuesto en el artículo 21.2 de la LSSI. En dicha comunicación se ofrece el servicio de creación y publicación de una página web.

El envío de la comunicación comercial que motiva el presente procedimiento, se produce desde una dirección de correo electrónico (“....X..@.......”) de las que es titular dicha entidad, habiendo utilizado unos equipos informáticos propios ubicados en los locales de la entidad. Así, debe concluirse que la entidad ALMA RECORDS ENTERTAINMENT, S.L. es responsable del incumplimiento de la prohibición prevista en el artículo 21.1 de la LSSI antes citado.

Y por lo tanto

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad ALMA RECORDS ENTERTAINMENT, por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 600 € (seiscientos euros), de conformidad con lo establecido en el artículo 39.1.c) de la citada LSSI.

Dime tu URL y te diré quién eres

2009-05-18T08:40:00.000+02:00

El procedimiento sancionador PS/00459/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad INTRASOFT, S.L. se inició tras el escrito de denuncia presentado por D. B.B.B. en el que manifestaba que a través de la página web de PERÍS CORREDURÍA DE SEGUROS, S.A. (en adelante PERIS):

(...) rellenó con sus propios datos personales los distintos formularios de datos requeridos para solicitar el seguro de su motocicleta. Y en el último paso, al finalizar la tramitación de dicha solicitud, y tras así ser requerido por la propia página web, imprimió el comprobante de solicitud de seguro.

En éste comprobante impreso figura la dirección URL http://www....X..../....../....../................

Con motivo de conservar una copia del comprobante en papel, introdujo la dirección URL que aparecía en el comprobante para imprimirlo de nuevo, observando cómo el comprobante de solicitud de seguro, con todos los datos de índole personal, bancarios y de salud, aparecía sin requerir ningún tipo de identificación personal, a través de un nombre de usuario y contraseña o cualquier otro medio de acceso seguro. Este hecho se comprueba en días sucesivos y desde ordenadores distintos.

D. B.B.B. no se conformó con esta prueba y además acudió a un notario:

Para que a través del ordenador de mi despacho entre en la pagina web http://www....X../..../.. y una vez en la misma compruebe por apreciación directa que los datos personales del requirente aparecen en la misma sin pedir ningún tipo de contraseña para ello. Acepto el requerimiento…comprobando que se accede a una página en la que aparecen datos de requirente y que en ningún momento se solicita nombre de usuario ni contraseña alguna. He impreso dicha pagina que queda unida a la presente acta.

Por su parte los inspectores de la AEPD comprobaron que modificando la ID de la URL citada se podía acceder a los datos de otras personas:

verificado que se visualizan los datos personales de doce personas físicas, sin que exista un procedimiento de identificación y de autenticación para el citado acceso.

Entre la información a la que se ha tenido acceso de las doce personas físicas se encuentra: nombre, apellidos, NIF, dirección postal, dirección electrónica, teléfono, fecha de nacimiento, estado civil, sexo, fecha de expedición y tipo de carnet, profesión, datos del vehículo, datos relativos a la póliza en vigor y cuenta corriente. También consta información relativa a: fumador, bebe habitualmente, practica deporte de riesgo, viaja frecuentemente, tensión máxima y mínima, peso y altura.

La correduría de seguros PERIS acreditó que tiene suscrito y en vigor un contrato con la empresa de informática INTRASOFT, en virtud del cual dicha entidad viene prestándole servicios de tratamiento de datos de carácter personal, asumiendo en virtud de dicho contrato y a todos los efectos la condición de Encargado de Tratamiento. Asímismo demostró que cumplía las obligaciones documentales de la LOPD y que había inscrito el correspondiente fichero en el RGPD, declarándolo de nivel alto.

INTRASOFT admitió:

(...) que los datos de ciertas personas que han solicitado un seguro han podido ser visualizados mediante este recurso (…) la causa por la que se esto ha podido suceder consistió, tal y como ahora hemos podido verificar, en un error en la funcionalidad del servicio web, no previsto y producido accidentalmente en un desarrollo (...)

En su recurso, la empresa informática intenta anular el proceso por haber prescrito (siendo su única opción, ya que por lo demás todo está muy claro) sin conseguirlo.

Por todo ello, en base a los criterios de graduación establecidos en el artículo 45.4 de la LOPD, y, en especial, a la falta de intencionalidad observada en el procedimiento, procede proponer la sanción en su cuantía mínima.

Vistos los preceptos citados y demás de general aplicación,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad INTRASOFT, S.L. por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Esta Resolución ha sido recurrida.

De cuatro en cuatro

2009-05-07T16:32:00.000+02:00

Siempre habrá quien diga que las sanciones en protección de datos son excesivas, pero lo cierto es que las leves no funcionan.

Hemos visto ya cientos de sanciones de entre 1000 y 3000 euros por el envío de faxes comerciales sin consentimiento, pero esta práctica lejos de disminuir sigue molestando a los dueños de los faxes, que ponen la tinta y el papel que se ahorran los spammer. Pero parece que los recursos a la falta de intencionalidad o de reincidencia empiezan a no funcionar.

Así nos encontramos con el procedimiento sancionador PS/00512/2008, instruido por la Agencia Española de Protección de Datos a la entidad GLOBAL MESSAGING SOLUTIONS, S.L., tras la denuncia presentada por D. M.M.M. por la recepción de cuatro mensajes publicitarios por fax.

Este tipo de empresas suelen montar un entramado de varias firmas que intentan pasarse unas a otras la responsabilidad, tal y como se puede ver en el desarrollo de la resolución, pero la AEPD no sólo señala al infractor final, sino que tras tipificar la infracción como grave, al llegar la final de los Fundamentos de Derecho no la baja de nivel como venía siendo habitual, y aunque la deja en el mínimo posible dentro del baremo sancionador, lo cierto es que es un buen pellizco:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad GLOBAL MESSAGING SOLUTIONS, S.L., por una infracción del artículo 38.3.h) de la LGT, tipificada como grave en el artículo 38.3.c) de la LSSI, una multa 30.001 € (Treinta mil un euros), de conformidad con lo establecido en el artículo 39.1.b) y 40 de la citada LSSI.

A ver si así lo entienden.

Peligro portátil

2009-04-21T11:33:00.001+02:00

Es evidente que el uso de dispositivos portátiles se ha convertido en habitual en el mundo empresarial, y por alguna extraña razón se desprecia los peligros de su uso respecto a la seguridad de la información y la protección de datos, cuando resulta que precisamente por su movilidad son más vulnerables a robos y pérdidas, y a que la falta de supervisión provoque la instalación o mal uso de programas no convenientes. Veamos estos dos ejemplos centrados en el uso erróneo (otra vez) del eMule:

Procedimiento sancionador PS/00532/2008, instruido por la Agencia Española de Protección de Datos al CLUB DEPORTIVO SOCIEDAD DE CAZA SAN ANTON DE ARQUILLOS, vista la denuncia presentada por el AYUNTAMIENTO DE OURENSE.

Se trata de un caso en el que el gerente de la sociedad (al parecer sin permiso de ésta) preparó una base de datos en su ordenador portátil, que más tarde apareció en la red.

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER al CLUB DEPORTIVO SOCIEDAD DE CAZA SAN ANTON DE ARQUILLOS, por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

Procedimiento sancionador PS/00515/2008, instruido por la Agencia Española de Protección de Datos a la entidad Dña. G.G.G., vista la denuncia presentada por el CONCELLO DE OURENSE - POLICIA LOCAL.

En este caso, Dña GGG, de profesión doctora, hizo una copia de seguridad de sus ficheros en un dispositivo USB, que se llevó a su casa para seguir trabajando en ellos. Aseguró que este fichero “se encontraba ubicado en una carpeta comprimida y protegida con contraseña, en un disco duro externo no conectado directamente con el ordenador que contenía el programa eMule .... se trata de una carpeta no compartida, y el hecho de que se compartiera a través de eMule fue sin duda un lamentable error involuntario e inexplicable". Pero lo cierto es que el tal fichero apareció en la red, procedente de la IP de su domicilio.

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la Dra. G.G.G., por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

Como se puede observar, en la Policía Local de Ourense le siguen echando horas al eMule.

Una rosa es una rosa... y dos son dos

2009-04-15T10:33:00.000+02:00

"Oiga señor consultor, que mire que si yo he montado varias sociedades es por intereses fiscales (o comerciales o laborales o por subvenciones, etc) pero en realidad somos una sola empresa y usamos la misma base de datos, así que LOPD sólo una ¿no?"

¿Cuántas veces has oído un argumento similar? Yo muchas. Y a pesar de que ese empresario presenta una declaración de IVA trimestral y un impuesto de sociedades anual (y muchos otros documentos) por cada sociedad, no resulta fácil hacerle comprender que exactamente igual en protección de datos ha de adecuar cada una de sus compañías (y en la mayor parte de los casos regular mediante contrato la cesión de datos de unas otras e informar a los afectados de esta circunstancia).

Quizás lo vea más claro con ejemplos como este:

El procedimiento sancionador PS/00072/2008, instruido por la Agencia Española de Protección de Datos a las entidades DISTRIBUCIONES MALABO 2000, y S.L., V SHOES DAM, S.L., se inicia tras la denuncia presentada por el AYUNTAMIENTO DE MÓSTOLES. POLICÍA LOCAL, donde se hace constar el hallazgo de gran cantidad de documentación procedente, según los indicios, de un local comercial de la empresa DISTRIBUCIONES MALABO 2000, S.L., entre la que se encontraban “currículum vitae” con datos personales, dirigidos tanto a ésta empresa como a V SHOES DAM, S.L.

Ambas empresas, bajo una misma propiedad, habían denunciado anteriormente el robo en sus instalaciones de cuatro ordenadores y diversa documentación fiscal de ambas compañías, aunque no constaba denunciada la desaparición de los currículum. Y la Agencia aclara en los Fundamentos de Derecho:

Así las posibles medidas de seguridad establecidas por ambas entidades resultaron insuficientes desde el momento que no echaron a faltar la documentación que apareció en la vía pública hasta que la Policía les refirió los hechos, lo que demuestra negligencia en la actuación de dichas entidades, que descuidaron la documentación.

Y por supuesto, una sanción para cada una:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad DISTRIBUCIONES MALABO 2000, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad V SHOES DAM, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

¿De buena fe?

2009-04-06T12:21:00.001+02:00

El procedimiento sancionador PS/00426/2008, instruido por la Agencia Española de Protección de Datos a la entidad Gestoría-Asesoría Gesto 3, se inició tras la denuncia presentada por D. C.C.C. en la que declaraba que:

GESTO 3 gestionaba toda la documentación relativa al denunciante como trabajador autónomo del sector del transporte, entre ella la relativa a la Mutualidad La Fraternidad Muprespa de la que era mutualista. En enero de 2006, el denunciante recibe escrito de la Tesorería General de la Seguridad Social, Dirección Provincial de (.......), donde le comunican que ha sido estimada su solicitud de cambio de mutua a favor de MUTUA GALLEGA.

El denunciante no había solicitado ningún cambio de mutualidad verificando, además, que su firma había sido falsificada en la solicitud mencionada, motivo por el cual interpuso denuncia ante el Juzgado de Guardia de (.......)

Los representantes de Mutua Gallega aportaron copia de la declaración de una empleada de Gesto 3 donde se ponía de manifiesto que:

todos los autónomos que llevaba la citada gestoría fueron pasados a MUTUA GALLEGA y que las propuestas de asociación no fueron firmados por las personas físicas sino que fueron autorizados y firmados por ella misma, indicando que tenía autorización verbal del denunciante y en otros casos autorización por escrito. Asimismo, manifiesta que “imitó la firma no lo hizo por orden”.

Gesto 3 manifestó que:

procedió al cambio de mutualidad a diversos clientes con el consentimiento de todos ellos firmando en su nombre las propuestas de Asociación a la MUTUA GALLEGA, siendo esta última la que se encargó de dar de baja en la mutua anterior a cada uno de los clientes.

Y tras recibir la comunicación del incio del procedimiento con una posible sanción de 300.506,05 € a 601.012,1 €, alega:

1. Que se ratifica en lo señalado en el acuerdo de inicio del procedimiento sancionador y lamenta su responsabilidad en el asunto, aunque lo hacia en aras a conseguir para los clientes un mejor servicio.

2. Su ignorancia en cuanto a la comisión de la infracción tipificada en el artículo 11.1 de la LOPD, entendiendo que dicha cesión la realizaba para el cumplimiento de fines relacionados con los intereses de su cliente y teniendo su consentimiento verbal.

3. Que su actuar ha venido motivado siempre por la buena fe.

Los lamentos, apelaciones a la ignorancia o alegaciones respecto a la buena fe, no parecen argumentos jurídicos de mucho peso, y efectivamente la AEPD lo deja claro en los Fundamentos de Derecho:

En el caso examinado, ha quedado acreditado que GESTO comunicó los datos personales del denunciante a MUTUA GALLEGA. Esta actuación ha de considerarse una cesión de datos, conforme a la definición del artículo 3.i) de la LOPD, y como tal ha de contar con el consentimiento del afectado o en su defecto, debe acreditarse que concurre alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento.

En este caso, no ha quedado acreditado que GESTO contara con el consentimiento del denunciante para la cesión de sus datos personales.

Tampoco existe norma legal que expresamente permita la cesión de los datos del denunciante por parte de GESTO a MUTUA GALLEGA.

En consecuencia, ha de entenderse que GESTO ha vulnerado el artículo 11 de la LOPD.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad Gestoría-Asesoría Gesto 3 por una infracción del artículo 11.1 de la LOPD, tipificada como muy grave en el 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

...y Estación de Servicio Islares, tampoco

2009-04-02T01:06:00.000+02:00

Continuando con la serie Gente a la que no conviene enviarle un fax, hoy presentamos El retorno de Estación de Servicio Islares. Sí, los mismo que ya habían golpeado aquí y aquí también, vuelven a la carga.

Se trata del procedimiento sancionador PS/00455/2008, instruido por la Agencia Española de Protección de Datos a la entidad ASIMAG SERVICIOS EMPRESARIALES, S.L., vista la denuncia presentada por la mercantil ESTACION DE SERVICIOS ISLARES, S.L. tras haber recibido, vía fax, publicidad de Asimag Cantabria (en lo sucesivo ASIMAG).

El asunto no tiene más miga desde el punto de vista jurídico porque es un caso más de spam via fax. Lo que me ha llamado la atención es la detallada explicación de la denunciada acerca de sus sistema de trabajo:

- “El departamento de telemarketing de Asimag, a través de un directorio público, PAGINAS AMARILLAS, obtiene el teléfono de la estación de servicio.

- La trabajadora T.T.T., asignada al expediente *+*+*+*, se pone en contacto telefónico con la empresa e informa de la posibilidad de remitir información comercial.

- Desde la estación de servicio están conformes y nos proporcionan tanto el fax (coincidente con el teléfono) como la persona de contacto L.L.L. (único dato de carácter personal del que disponemos).

-Se remite la información comercial vía fax el día y hora anteriormente indicados”

La AEPD explica muy bien en los Fundamentos de Derecho la cuestión del origen de los datos en relación a la LOPD y la LSSI:

Hay que manifestar aquí que, aunque los datos de los destinatarios de los fax con contenido comercial hubieran sido obtenidos de la guías telefónicas editadas en papel, las cuales si tienen la condición de fuentes accesibles al público en los términos recogidos en el artículo 3.j) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, este hecho no eximiría de la obligación de obtener el consentimiento de los destinatarios de aquéllos para la remisión de envíos publicitarios vía fax, por cuanto las mismas no constituyen fuentes de acceso público para la remisión de faxes, de acuerdo con la LSSI y la LGT.

Pero en mi opinión pierde una ocasión estupenda para aclarar que el problema de ASIMAG no es esta denuncia en concreto, sino que su sistema de trabajo se sitúa al margen de la LOPD, al recabar (dicen) consentimientos por teléfono sin proceder a su grabación. De hecho, poco después indica:

En este caso, el envío de comunicaciones comerciales no solicitadas, en los términos indicados por el citado artículo 38.4.d) de la LSSI, se califica como infracción leve, al tratarse del envío de sólo una única comunicación por fax, sin que el destinatario hubiera prestado su consentimiento expreso, previo e informado.

Pero es obvio que se refiere a una sola comunicación denunciada, porque ha quedado claro por su propia descripción que técnicamente no dispone del consentimiento de ninguno de los receptores de sus faxes.

De momento les sale barato.

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad ASIMAG SERVICIOS EMPRESARIALES, S.L., por una infracción del artículo 38.3.h) de la LGT, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.

¡Estación de Servicio Islares es mi héroe!

Spammer: la Guardia Cívil no quiere tus faxes

2009-04-01T00:05:00.001+02:00

El procedimiento sancionador PS/00385/2008, instruido por la Agencia Española de Protección de Datos a la entidad GLOBAL MESSAGING SOLUTIONS, S.L., se inicia tras el escrito presentado por MINISTERIO DEL INTERIOR, DIRECCION GENERAL DE LA POLICIA Y GUARDIA CIVIL, en el que se denunciaba la recepción de diversos mensajes comerciales a través de un número de fax perteneciente a la GUARDIA CIVIL. En dicha escrito se manifestaba, además, que se solicitó, vía fax, la no remisión de envíos publicitarios al citado número y que, a pesar de ello, se recibieron nuevos faxes publicitarios.

Ya que en los faxes se señalaba como responsable del fichero a la entidad TARGET A LAS DIEZ Y DIEZ, los inspectores se dirigieron a ésta, averiguando que TARGET tiene como único cliente a Global Messaging Solutions, S.L. (en lo sucesivo GLOBAL MESSAGING), empresa contra la que se inicia el procedimiento sancionador.

La primera vía de defensa de la empresa acusada es negar la mayor, asegurando no haber enviado esos faxes ya que en sus sistemas no consta referencia a tales envíos. Sin embargo, ante la evidencia irrefutable de uno de los casos alega en un nuevo escrito:

Asimismo, aporta testimonio de un trabajador de GLOBAL MESSAGING en el que declara que realizó diversas llamadas telefónicas al número ####### y que, “en una ocasión”, contactó con una persona a la que ofreció los productos de sus clientes y que consintió el envío de comunicaciones “aclaratorias”.

Esto de "me lo dijo por teléfono" empieza a ser una plaga.

La AEPD lo deja claro en los Fundamentos de Derecho:

En el supuesto que se examina, tal y como ha quedado acreditado, GLOBAL MESSAGING remitió a la entidad denunciante, al menos, cinco mensajes con comunicaciones comerciales por fax en los que se ofertaban, a cambio de una contraprestación económica, productos y servicios de terceras empresas, sin haber acreditado que dispusiera del consentimiento previo e informado del denunciante. A estos efectos, no resulta suficiente una simple manifestación de parte, según la cual el consentimiento se prestó por el afectado de forma verbal y vía telefónica, sin que se haya aportado prueba alguna sobre la realización efectiva de dicha llamada y, en su caso, sobre el contenido de la misma, la identidad de quién prestó, supuestamente el consentimiento, etc.

Dicha conclusión resulta considerando que en las citadas comunicaciones promocionales se indicaba que los datos utilizados para el envío se obtuvieron de las bases de datos de la entidad TARGET, habiéndose verificado, además, que en los ficheros de esta entidad estuvo disponible el número de línea telefónica destinatario de aquellas comunicaciones. Asimismo, se tiene en cuenta que la entidad GLOBAL MESSAGING es la única cliente de TARGET y que las entidades terceras que publicitaron sus productos y servicios mediante las repetidas comunicaciones eran, a su vez, clientes de GLOBAL MESSAGING, que facturó a las mismas los envíos realizados. Por otra parte, la prueba de estos envíos fue aportada por la entidad denunciante, por lo que no cabe admitir la alegación efectuada por GLOBAL MESSAGING relativa al envío de una única comunicación promocional.

Y en consecuencia

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad GLOBAL MESSAGING SOLUTIONS, S.L., por una infracción del artículo 38.3.h) de la LGT, tipificada como grave en el artículo 38.3.c) de la LSSI, una multa de 30.001 € (treinta mil un euros), de conformidad con lo establecido en el artículo 39.1.b) y 40 de la citada LSSI.

La videovigilancia en racha

2009-03-25T12:35:00.002+01:00

Iba muy en serio cuando hace unos meses la Agencia Española de Protección de Datos (AEPD) avisaba que estaban aumentando exponencialmente las denuncias sobre videovigilancia... y en consecuencia ahora van publicándose el reguero de sanciones correspondientes.

Algunas de las últimas:

Procedimiento sancionador PS/00467/2008, instruido por la AEPD a la entidad CARBURANTS J. SOLANAS, S.L., vista la denuncia presentada por Asociación De Vecinos De Palleja. Por una infracción del artículo 5 en sus apartados 1, 2, 3 de la LOPD, tipificada como leve en el artículo 44.2 d) de dicha norma, una multa de 1.000,00 € (mil euros).
Procedimiento sancionador PS/00521/2008, instruido por la AEPD a la entidad CAGIGAS SOLAR, S.L., vista la denuncia presentada por D. N.N.N. Por una infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2 c) de dicha norma, una multa de 2.000 € (dos mil euros).
Procedimiento sancionador PS/00517/2008, instruido por la AEPD a la entidad S.S.S., S.L., vista la denuncia presentada por D. L.L.L. Por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 1.500 € (mil quinientos euros).
Procedimiento sancionador PS/00472/2008, instruido por la AEPD a la entidad G.G.G., SECURITAS DIRECT ESPAÑA, S.A.U, vista la denuncia presentada por F.F.F. Por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.500 €.
Actualización 1.4.2009: si algo te suena raro en esta resolución, visita los comentarios.

Videovigilancia interior

2009-03-17T11:55:00.001+01:00

Aún hay quien piensa que el cumplimiento de la normativa sobre videovigilancia de la Agencia Española de Protección de Datos (AEPD) se refiere exclusivamente a los casos en los que se dan estas circunstancias:

Existe grabación de las imágenes
Se graban imágenes del público (si es personal interno no importa)
Las cámaras enfocan a una vía pública

Si ya vimos que el hecho de que el sistema de videovigilancia no grabe no es excusa, y que a los trabajadores se les debe informar previamente, el procedimiento sancionador PS/00468/2008, instruido por la AEPD a Dña. X.X.X., titular del establecimiento HIPER REGALOS, vista la denuncia presentada por la COMISARÍA DE POLICÍA DE MADRID-SAN BLAS, deja claro que la circunstancia de que el sistema de videovigilancia obtenga imágenes únicamente del interior del establecimiento no exime de las obligaciones informativas.

Según constaba en la denuncia, en el local se habían instalado seis cámaras, con objeto de vigilancia y seguridad, que captaban imágenes del interior del mismo, y aunque ninguna de ellas captaba imágenes del exterior ni de la vía pública, ya que la Inspección de la AEPD verificó que en el local comercial no se encontraban carteles que informaran sobre la existencia de un sistema de vigilancia y tampoco de los aspectos contemplados en el artículo 5 de la Ley Orgánica 15/1999:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a Dña. X.X.X., titular del establecimiento HIPER REGALOS, por una infracción del artículo 5 en sus apartados 1, 2, 3 de la LOPD, tipificada como leve en el artículo 44.2 d) de dicha norma, una multa de 601,01 € (seiscientos y un euros y un céntimo de euro) de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.

Confianza legítima

2009-03-09T11:36:00.002+01:00

El procedimiento sancionador PS/00391/2008, instruido por la Agencia Española de Protección de Datos a la entidad AUTO RES, S.L., se inició tras la denuncia presentada por DÑA. P.P.P. en el que declaraba que realizó una reclamación ante la empresa, para lo cual cumplimentó un formulario en el que facilitó sus datos de nombre y apellidos, dirección, teléfono y número de D.N.I. La denunciante manifiestó que en el formulario que cumplimentó, del que aportaba copia, no se facilita ninguna información relativa al tratamiento de los datos personales que se recogen. Además la Agencia comprobó que en el Registro General de Protección de Datos (RGPD) no se encuentraba ninguna inscripción de los ficheros de la entidad AUTO RES S.L.

En su respuesta la empresa alegó que:

Igualmente debe decirse de los formularios oficiales de reclamaciones, para el sector del transporte de viajeros por carretera (por ser esta nuestra actividad específica); son formularios oficiales, donde se recaban los datos identificativos de la persona reclamante y no se hace mención alguna a la Ley de Protección de Datos; por cuanto no han de informatizarse dichos datos, simplemente han de servir para tener una canal de comunicación con el usuario, en relación a la queja planteada.

Prueba de lo manifestado es la redacción de la ORDEN FOM/3398/2002 de 20 de diciembre, por la que se establecen normas de control en relación con los transportes públicos de viajeros por carretera (BOE 9-1-03), (...)

Por lo tanto AUTO RES, S.L. solicita la imposición de la sanción en su cuantía mínima pues, alega confianza legítima en su actuación de recogida de datos, por cuanto diversos organismos no han incorporado la cláusula informativa en el modelo de recogida de datos publicados en el BOE.

La AEPD en los Fundamentos de Derecho imputa a la empresa la comisión de dos infracciones: artículo 5.1 (consentimiento) y 26.1 (inscripción de ficheros), en ambos casos con la calificación de falta leve y posible sanción de 601,01 € a 60.101,21 €.

A la hora de graduar la multa, la AEPD explica:

En el presente caso, durante la tramitación del presente procedimiento, la citada entidad ha acreditado haber solicitado la inscripción de sus ficheros y estar en trámite de incorporar la cláusula informativa del art. 5 de la LOPD.
En virtud del principio de confianza legítima, que debe regir la actuación de las Administraciones Públicas, de acuerdo con el artículo 3.1 in fine de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC) que señala que: “Las Administraciones públicas sirven con objetividad los intereses generales y actúan de acuerdo con los principios de eficacia, jerarquía, descentralización desconcentración y coordinación, con sometimiento pleno a la Constitución, a la Ley y al Derecho. Igualmente, deberán respetar en su actuación los principios de buena fe y de confianza legítima.” Debe apreciarse, en consecuencia, la existencia de una circunstancia que disminuye cualificadamente la culpabilidad existente en la concreta actuación infractora realizada por AUTO RES, S.L., por lo que procede la aplicación del citado precepto.

Y por lo tanto:

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad AUTO RES, S.L., por la infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01 € (seiscientos un euro con un céntimo), de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad AUTO RES, S.L., por la infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euro con un céntimo), de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.

Es evidente que si las propias Administraciones Públicas "olvidan" incluir la LOPD y los derechos ARCO cuando diseñan modelos de formularios que incluyen datos de carácter personal, no están dando el ejemplo correcto ni ayudando a difundir la cultura de la protección de datos.

Cuando no te puedes fiar ni de los documentos oficiales, ha llegado el momento de llamar a un consultor.