28 de diciembre de 2007
¿La SGAE finalmente sancionada?
27 de diciembre de 2007
Formularios web
En resumen viene a decir que en el caso de recogida de datos básicos es suficiente incluir un link del tipo Aviso Legal o Política de Privacidad, pero que en el caso de datos especialmente protegidos el consentimiento ha de ser inequívoco y por lo tanto:
este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia.
Claro que siempre conviene recordar que la sección de Informes Jurídicos tiene esta salvaguarda de presentación:
Es un objetivo de la Agencia Española de Protección de Datos atender todas las cuestiones que se plantean relacionadas con el derecho a la protección de datos, y en este sentido, se emiten los informes jurídicos que se publican en esta sección de la página web.
No obstante, debe significarse que dichos informes no tienen carácter vinculante y no prejuzgan el criterio del Director de la Agencia en el ejercicio de sus funciones, entre las que la Ley no prevé la evacuación de consultas vinculantes.
12 de noviembre de 2007
Denuncia boomerang
Claro que no todo el mundo (ya lo sabemos, ahí está el negocio) disfruta del asesoramiento de Grupo Millar2, y por eso algunos emprenden acciones como esta:
En el procedimiento sancionador PS/00087/2007, instruido por la Agencia Española de Protección de Datos a la entidad CLÍNICA “LOPE DE RUEDA S.L.” , y contra DOÑA X.X.X., vista la denuncia presentada por CLÍNICA “LOPE DE RUEDA S.L.”, y sobre la base de los siguientes,
HECHOS
PRIMERO: Con fecha 7 de diciembre de 2005, tuvo entrada en esta Agencia una denuncia de la Clínica “Lope de Rueda S.L.” (en lo sucesivo, La Clínica), contra Doña X.X.X. por la utilización por ésta de los datos de carácter personal de los pacientes de dicha clínica con posterioridad a la finalización, en junio de 2005, del ejercicio en la misma de su especialidad en ginecología.
Y les pasan cosas como estas:
PRIMERO: IMPONER a DOÑA X.X.X. por la infracción del 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha Ley una multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.Si fuera una comedia del Siglo de Oro podría titularse “El Denunciante Sancionado”.
SEGUNDO: IMPONER a CLÍNICA “LOPE DE RUEDA S.L.” por la infracción del 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha Ley una multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica, y por la infracción del 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha Ley, una multa de 601,01 € (seiscientos un euros con un céntimo de euro), de conformidad con lo establecido en el artículo 45.1 y 4 de dicha Ley.
10 de noviembre de 2007
La SGAE y la LOPD
Me entero por Barrapunto que AEPD ha inciado un procedimiento contra la Sociedad General de Autores (SGAE) por grabar sin consentimiento la celebración de una boda con el fin de demostrar que allí se utilizaba música protegida y exigir la correspondiente minuta.
El expediente se incia con una posible sanción de 300.000 €, pero es de todos sabido que la SGAE ha utilizado este mismo procedimiento en otras ocasiones, con lo que se podría desencadenar una avalancha de reclamaciones. ¡ Si la SGAE te ha grabado, denuncia ! Es fácil y gratis aquí.
5 de noviembre de 2007
Abogados y Procuradores
Dentro de esta hay una sección específica dedicada al tema del Consentimiento y en el Informe 2000-0000 se responde a la cuestión planteada (por supuesto en el sentido de que no se necesita consentimiento, ya que prevalece el derecho a la tutela judicial).
4 de noviembre de 2007
La competencia acecha
Esta sanción, además de señalar claramente a la competencia como uno más de los posibles denunciantes de un incumplimiento, pone de manifiesto el deterioro para la imagen que puede suponer el hecho de que si ahora introduces la marca ("Ahorra Euros") de la compañía sancionada en el buscador de Google, te devolverá este resultado, con el enlace a la sanción en el tercer puesto de la lista. En un mercado tan competitivo actualmente como el de las entidades financieras de intermediación, esto cuesto mucho más de 601,01 €.
3 de noviembre de 2007
Videovigilancia en taxis
La Agencia Española de Protección de Datos ha editado un informe al respecto, que resume así:
En virtud de lo expuesto, podemos concluir señalando que la instalación de una cámara por el consultante requiere: Que la cámara la instale una empresa de seguridad privada, que deberá de obtener la autorización del Ministerio del Interior y si la cámara graba deberá de notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma, de conformidad con el artículo 7 de la Instrucción, donde habrá que cumplir con los requisitos del artículo 26 de la Ley Orgánica a efectos de inscripción .
2 de noviembre de 2007
La Agencia no advierte
La Agencia no advierte. Si hay unos hechos que vulneran la normativa y podemos demostrarlo, habrá sanción. Otra cosa son los planes sectoriales de inspección de oficio que solemos iniciar cuando detectamos que podría surgir un problema. Entonces sí se formulan recomendaciones y todos las atienden bastante bien.
22 de octubre de 2007
Apostasía y LOPD
13 de octubre de 2007
Sanción heredada
Esta es una resolución muy interesante porque toca un tema que te tratado varias veces en las formaciones de producto: “la herencia de las sanciones”.
Resumiendo bastante, la historia es así:
1. la entidad CONSODATA comete un error al no dar curso a una petición de baja
2. se produce un envío publicitario
3. el afectado denuncia
4. la AEPD inicia un expediente
5. la entidad HERA compra CONSODATA “con la única finalidad de aprovechar la personalidad jurídica de una sociedad ya constituida”.
6. la AEPD termina el expediente y la sanción recae en HERA, entidad que continúa la personalidad jurídica de CONSODATA. Y menos mal que se acepta la apelación de la empresa al artículo 45.5 de la LOPD que le permite atenuar su responsabilidad, porque sino estaríamos hablando de un mínimo de 30.000€.
Y cuidado que aquí, igual que en otros sitios, fichar galácticos no garantiza el éxito:
SEGUNDO: NOTIFICAR la presente resolución a HERA SERVICIOS TECNICOS AMBIENTALES, S.L. con domicilio a efectos de notificaciones en CUATRECASAS ABOGADOS, (…)
25 de septiembre de 2007
No he olvidado este blog
¿Estarán tomando impulso para cuando aparezca el nuevo Reglamento?
4 de agosto de 2007
Revocada la sanción por el spam del SIMO
El asunto comenzó el pasado 22 de marzo de 2005, cuando la Agencia de Protección de Datos sancionó a A.E.A. por enviar, el 23 de noviembre de 2003, 13 mails con información promocional de los productos de su empresa de telecomunicaciones. Había conseguido esos nombres y direcciones de correo electrónico en la feria SIMO 2003 mediante el intercambio de tarjetas de visita. La sanción se puede descargar aquí.
Se sostenía que los receptores no habían dado un consentimiento inequívoco para recibir correos comerciales, como exige el art. 21 de la LSSI. También se consideraba que el envío de 13 mensajes constituía un envío masivo, por lo que A.E.A. cometió una infracción grave y le sancionó con 30.001€.
El 24 de junio de 2007, en sentencia de la Audiencia Nacional, (descargar aquí) la juez Lourdes Sanz Calvo ha revocado la sanción de la AEPD, estableciendo que "la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico en un contexto como es la feria del SIMO, a la que para promocionar un producto acudió el denunciado con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta de consentimiento". También niega que se pueda considerar masivo el envío de 13 correos electrónicos.
En mi opinión en ambos casos ha faltado a las autoridades el sentido de la mesura.
Respecto a la sentencia de la Audiencia Nacional lo que no entiendo es:
- ¿Poseer una tarjeta demuestra que la persona te la ha dado? Cualquiera puede entrar en el SIMO y salir con cientos de tarjetas ¡están encima de los stands a toneladas, no hace falta pedirlas! Precisamente por tratarse del contexto que se trata (una feria masificada) dificilmente puede equipararse a un consentimiento.
- Suponiendo que te la haya dado personalmente ¿lo hizo sabiendo que iba a recibir publicidad de un servicio de telecomunicaciones? Esto es como los listados profesionales públicos. Cualquiera puede saber el nombre, dirección, teléfono, mail, web, etc. de los abogados colegiados de cualquier provincia. ¿Significa que como es público les puedo enviar publicidad por ejemplo de una recopilación de sentencias que comercializo en CD-ROM? Pues no. Esos datos están ahí con una finalidad concreta, no para cualquier cosa. Si yo voy al SIMO y monto un stand de de routers y le doy a alguien mi tarjeta no es para que me envíe publicidad (salvo que me avise y yo consienta, que no creo que sea el caso).
Estoy de acuerdo en que dentro del mundo del SPAM llamar envío masivo a 13 correos casi da la risa, y que 30.000€ es una barbaridad desproporcionada de sanción, pero que esto quedara así (que supongo que la Agencia habrá recurrido al Supremo) tampoco sería justo porque:
a) ¿Había este señor dado de alta sus ficheros ante la Agencia? (Trámite gratuito que se hace por internet en 15 minutos) NO
b) ¿Tenía este señor el obligatorio documento de seguridad y había implantado las medidas correspondientes? NO
c) ¿Informó este señor a las personas físicas de que sus datos se incorporaban a un fichero, cuál era la utilidad de este y que tenían derecho de baja, rectificación, cancelación y oposición al tratamiento, y cómo podían ejercer estos derechos de una manera sencilla? NO
A y B son obligatorios desde hace ya ¡ ocho años !, y C es el corazón mismo de la LOPD y la LSSI: lo que significa es que los datos personales son propiedad exclusiva de las personas y que estas únicamente los “ceden” a las entidades que los tratan y lo hacen siempre bajo ese marco jurídico que defiende algo tan importante como es el derecho (constitucional) a la intimidad.
Así que tampoco me parece justo la sentencia. Lo más lógico es que atendiendo a muchísimas resoluciones de la propia Agencia, se hubiera convertido en una sanción de 1.000€, que ha sido la habitual en los casos de SPAM.
Para terminar no puedo evitar señalar un detalle de la propia sentencia que podría llevar incluso a dudar de la capacidad de la Audiencia Nacional y en general de las instituciones del estado (recordemos que hay otro procedimiento en marcha contra el propio Tribunal Constitucional) para entender la "cultura" de la protección de datos. Resulta que en la página tres del texto (y no olvidemos que se trata de un documento que se va a publicar en infinidad de sitios) se indican sin ninguna protección ¡ casi todas las direcciones electrónicas a las que se envío el mensaje !
Sería "interesante" ver qué ocurriría si alguno de los afectados denunciara ahora a la Audiencia Nacional ante la Agencia de Protección de Datos.
3 de agosto de 2007
Otra sanción por tirar Curriculum a la basura
25 de julio de 2007
Primera sanción por envío de SMS
Se sanciona a la empresa con 3.600€.
24 de julio de 2007
Sanción "completita"
http://mkpositivo.googlepages.com/DendriteSpainSA.pdf
Además de hacer referencia a aspectos fundamentales de la LOPD, como son el concepto de consentimiento inequívoco, y a otros que han generado varias dudas, como el uso de los listados profesionales públicos, el interés de esta resolución reside también en que se ve que la empresa está asesorada por algún gabinete jurídico de buen nivel y literalmente se defiende con uñas y dientes apelando a todo lo apelable posible... pero la Agencia desmonta todas las alegaciones y el resultado son 60.101,21 € de sanción.
12 de abril de 2007
Procedimiento Nº PS/00227/2004
En el procedimiento sancionador instruido por la Agencia Española de Protección de Datos a D. M.C.P (es decir, un autónomo, no una sociedad) se dice: "El denunciado ha manifestado que envió el correo electrónico de promoción comercial objeto de la denuncia a entre 25 y 100 direcciones de correo electrónico de distintas empresas y entidades, sin que se haya aportado prueba alguna que acredite su solicitud o autorización previa." (la cursiva es mía).
Es evidente que el cumplimiento del artículo 5 de la LOPD y del artículo 21 de la LSSI exige siempre tener el consentimiento previo e inequívoco del interesado antes de poder enviarle cualquier comunicación electrónica de tipo comercial (esta situación es exactamente igual en el uso de un fax). Es un grave error confundir el hecho de que una dirección electrónica sea pública en internet (por ejemplo en la propia web de la empresa o en un listado profesional de un colegio o asociación) con el derecho a enviarle cualquier tipo de comunicación. Y si digo y reafirmo que es un muy grave error, es porque está resolución termina así: "IMPONER a D. M.C.P., por una infracción del artículo 21 de la LSSI, tipificada como grave en el artículo 38.3 c) de dicha norma, una multa de 30.001 euros (treinta mil un euros)". Y recuerdo que es un autónomo.
23 de febrero de 2007
Sanción por utilizar el eMule
El resultado es que la Agencia decide IMPONER a la entidad FEDERACIÓN DE SERVICIOS Y ADMINISTRACIONES PÚBLICAS DE CCOO, por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 euros (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
4 de febrero de 2007
Inspecciones en Centros de Enseñanza
Fuente: Agencia Española de Protección de Datos
La AEPD ha inspeccionado más de 60 centros de enseñanza públicos, privados y concertados de todas Comunidades Autónomas. El incumplimiento del deber de información, la recopilación de datos innecesarios, e importantes carencias de medidas de seguridad han sido las principales deficiencias detectadas. De los colegios analizados cerca de 50% no habían cumplido con la exigencia legal de notificar sus ficheros con datos personales a la AEPD.