25 de noviembre de 2010

Revisa los comprobantes antes de dar copia

El procedimiento sancionador PS/00094/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a una asociación de madres y padres de alumnos (AMPA) se inicia tras la denuncia de un padre que al solicitar el comprobante de un impago que el AMPA le reclamaba, recibió copia del justificante bancario en el que constaba no solo el impago a nombre de su hija, sino además otros a nombre de dos alumnos del mismo colegio, incluyendo en ambos casos el numero de cuenta corriente y el motivo de la devolución.

Tras recibir la notificación del acuerdo de inicio de procedimiento sancionador, la entidad AMPA alegó no haber vulnerado la LOPD, por cuanto había obtenido el consentimiento de los padres de los afectados para la cesión de sus datos en el marco de su actividad. Asimismo, reiteró las manifestaciones efectuadas a los servicios de inspección de la AEPD, señalando que la información se facilitó al denunciante para atender la petición que el mismo había formulado a la Asociación y que dicha información no se cedió para que el denunciante hiciera un uso indebido de la misma. Finalmente, resaltaron que los propios afectados, valorando la ausencia de mala fe en la actuación de la AMPA, no presentaron denuncia alguna.

La Agencia admite en los Fundamentos de Derecho que en el denunciante había solicitado ante la AMPA que acreditasen la devolución de recibos de la misma emitidos a su cargo, pero aclara que esta solicitud no justifica la entrega de datos de terceros que figuran en el documento entregado al denunciante por la entidad imputada, que estaba obligada a respetar la confidencialidad de esa información y debió articular otro medio para atender la solicitud del denunciante sin que ello implicara la revelación de datos personales de terceros.

En referencia a un posible consentimiento de los padres de los alumnos afectados, se afirma que el documento aportado no acredita fehacientemente la identidad de las personas que lo suscriben y, en cualquier caso, no se refieren a los datos de los alumnos afectados, sino de los propios firmantes. Además, dicho documento, que autoriza la cesión en el marco de la actividad de la Asociación, no justifica la revelación de datos denunciada, por cuanto la misma no resulta necesaria para el desarrollo de la actividad de la AMPA.

Por tanto ha quedado acreditado que AMPA, como responsable de la entrega al denunciante del comprobante de devolución de recibos objeto de la denuncia, informó al mismo sobre recibos impagados por otros alumnos distintos a su hija, resultando que la entidad AMPA no actuó con la diligencia debida al haber posibilitado que una tercera persona tuviese acceso a la información señalada, por lo que se vulnera el deber de secreto a tenor del artículo 10 de la LOPD.

El incumplimiento del deber de guardar secreto establecido en el artículo 10 de la LOPD constituye, por regla general, una infracción leve y sólo constituye una infracción grave en los casos específicamente enunciados en el artículo 44.3.g), es decir, cuando la vulneración del deber de guardar secreto afecte a “... los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”.

En este caso, la AEPD sostiene que los datos personales contenidos en el comprobante de devolución de recibos, en concreto respecto del nombre, primer apellido y número de cuenta bancaria de dos alumnos, no permiten realizar una evaluación de la personalidad de los mismos, por lo que la vulneración del artículo 10 debe ser tipificada como infracción leve.

Y así, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AMPA CEIP ANTON BUSQUETS I PUNSET, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

18 de noviembre de 2010

Sanciones por videovigilancia (5)

Quinta recopilación en este blog de sanciones de la Agencia Española de Protección de Datos (AEPD), por motivo de instalaciones de videovigilancia (aquí la primera, la segunda, la tercera y la cuarta).

Fecha - Nº Expediente - Artº Infringido - Sancionado - Importe

10 de noviembre de 2010

Más de tres es pecado grave

El procedimiento sancionador PS/00191/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L., se inició tras denuncia de A.A.A. por haber recibido cuatro correos electrónicos no solicitados con información comercial de la citada empresa.

Ya que las cuentas de correo emisoras pertenecían a dos dominios propiedad de la empresa, y a que su proveedor de hosting informó que las IP habían sido en las fechas indicadas asignadas a la misma, no parecía quedar mucha duda sobre la autoría, y aunque la denunciada aseguró en un primer recurso que "No han remitido ninguno de los correos electrónicos referidos en el escrito de denuncia", al no volver a presentar alegación alguna durante el resto de fases del proceso, éste continuó con la calificación de falta grave, según el artículo 38.3.c) de la LSSI:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L, por una infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo 38.3 c) de la LSSI, una multa de 30.001 € ( treinta mil un euro) de conformidad con lo establecido en el artículo 40 de la citada LSSI.

5 de noviembre de 2010

Tienes que dejar que se opongan (siempre)

Ya se vió en Cuestión de detalles la importancia que tiene cumplir con las exigencias del artículo 21.2 de la Ley de Servicios de la Sociedad de la Información (LSSI), que en su párrafo final indica:
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
En el procedimiento sancionador PS/00278/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad JET MULTIMEDIA ESPAÑA S.A., estamos en una situación similar, ya que la denunciada envió por SMS un mensaje con el texto "Publi: El telefono ####### ha sido seleccionado para poder ganar 3000 euros. Si quieres conseguirlos envía la palabra ORO al ### -1,5e/sms", y aunque la receptora y denunciante había sido con anterioridad cliente de la empresa y no se discute la legitimidad para el envío del SMS, la AEPD señala:
En el presente supuesto, ha quedado acreditado que el denunciante recibió en su teléfono nº ####### el mensaje de texto que aparece en el Hecho Probado I y IV y no incluía la posibilidad de oponerse al tratamiento de sus datos con fines comerciales, tal como exige el último apartado del art. 21.2 de la LSSI. Sin que den cumplimiento al mandato del precepto los medios alternativos y la información de la pagina Web del denunciado referente a su política de privacidad, pues el articulo es claro en su redacción a la hora de establecer cuando se ha de ofrecer dicho procedimiento de oposición: " ….tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija".
Y así por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad JET MULTIMEDIA ESPAÑA S.A., por una infracción del artículo 21.2 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa de 600 euros ( seis cientos euros) de conformidad con lo establecido en el artículo 39 de la citada LSSI.

31 de octubre de 2010

De hermano a hermano

El procedimiento sancionador PS/00110/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a las entidades PESCATRADE, S.A. y FRIO DE CANTABRIA, S.A. (FRICANSA), se inicia tras la entrada en la AEPD de un escrito de D. A.A.A. (en adelante el denunciante) en el que declaraba que FRICANSA presentó en un juicio un correo electrónico, con un curriculum suyo adjunto, que el mismo denunciante había enviado con anterioridad a PESCATRADE, en solicitud de un puesto de trabajo.

Las empresas denunciadas alegaron que,
PESCATRADE es una empresa cántabra cuya actividad es la pesca, importación y venta de productos del mar. No dispone de camiones propios de distribución. Su gerente es el Sr. B.B.B.
FRICANSA es otra empresa cántabra de actividad la distribución de productos del mar, principalmente mediante camiones propios. Su gerente es el Sr. C.C.C., hermano del anterior.
Ambas compañías, de actividades complementarias, y que cuentan con una relación comercial desde hace años, además forman parte de un grupo empresarial, en el cual el Sr. B.B.B. es dueño de PESCATRADE y además es socio al 50% de FRICANSA. Es en el seno de este grupo empresarial en el que se produce la puesta en común del email de referencia, de gerente a gerente. Por tanto, no ha salido de este ámbito en ningún momento.

Asímismo añadieron que la cesión de datos personales “se realiza dentro de de un procedimiento judicial por despido”, que “se han cedido los datos dentro del marco contractual de las relaciones empresariales de un mismo grupo y en ejercicio del derecho de defensa” y que se produce la “puesta en común” de sus datos personales con el objetivo “del mejor ejercicio de su derecho a tutela judicial efectiva”.

La AEPD indica claramente que,
Los hechos expuestos llevan a concluir que la entidad PESCATRADE, S.A. recibió el C.V. del denunciante y lo facilitó a la entidad FRICANSA sin consentimiento del titular de los datos personales contenidos en el mencionado documento.

Reiterando además que ya en el juicio en el que pareció el citado curriculum, la defensa de denunciante presentó un escrito en el que se puede leer de manera literal:
“Que por medio del presente escrito vengo a interesar TESTIMONIO DE PARTICULARES referido los documentos que bajo los números 10 (folio 271) y 11 (folios 272 a 274) aportó la representación procesal de la demandada en el acto del juicio como prueba documental, por precisarlo para ejercer la acciones legales oportunas en relación con el derecho a la intimidad de datos personales, toda vez que los citados documentos consisten en un correo electrónico enviado por mi representado a un tercero ajeno al procedimiento y que obraba en poder de la empresa demandada sin ningún tipo de autorización del acto.”

Y a pesar de encontrar ciertos atenuantes, dado el carácter grave y muy grave de las vulneraciones,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad PESCATRADE, S.A. una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo 11 de la LOPD, tipificada como grave en el artículo 44.4.b) de dicha norma y de conformidad con lo establecido en el artículo 45.2, 3 y 5 de esa misma Ley Orgánica.
SEGUNDO: IMPONER a la entidad FRIO DE CANTABRIA, S.A. (FRICANSA) una multa de 6.000 € (seis mil euros) por la infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma y de conformidad con lo establecido en el artículo 45.1, 2 y 5 de esa misma Ley Orgánica.
Sobre este error de compartir datos entre empresas que tienen algún tipo de relación hay más información en el blog Ayuda Ley Protección Datos: