Hoy sábado día 28 de enero, el continente europeo celebrará una fiesta relativamente nueva y poco conocida: el Día de la Protección de Datos.
La idea de dedicar un día a la privacidad de los usuarios surgió en 2007 de manos del Consejo de Europa, y la atención es llamar la atención sobre la importancia de proteger la información personal en estos tiempos de avances tecnológicos y reinado de internet. Y por lo tanto, concienciar sobre los derechos y responsabilidades adquiridas.
La elección de la fecha no es baladí, ya que coincide con la firma allá por el año 1981 del primer tratado internacional que reconoce esta protección como un derecho fundamental: el Convenio 108 sobre tratamiento automatizado de datos.
Los eventos no se limitarán a esta jornada ni a Europa, sino que se extenderán a lo largo y ancho del globo durante toda la semana con actividades y charlas de expertos legales, organizaciones sin ánimo de lucro y empresas que desean reivindicar el asunto de la protección de la información.
En lo que llevamos de año 2009 han aumentado espectacularmente la cantidad de sanciones de la AEPD por videovigilancia, en consonancia con las declaraciones del director de la Agencia que ya avisó que asimismo habían aumentado de forma exponencial el número de denuncias sobre este asunto.
Esta información se ha visto reforzada con la presentación de la Memoria 2008 de la AEPD, donde se señala que las actuaciones previas de inspección en videovigilancia suponen el 15,5% del total de las realizadas, situándose en el tercer lugar de los sectores inspeccionados y las resoluciones de procedimientos sancionadores en este ámbito se han incrementado nada más y nada menos que en un 633,3%.
¿Será que la AEPD ha lanzado un equipo de inspectores a recorrer las calles de España en busca de cámaras no señalizadas? Pues no. Digámoslo claramente: la Agencia mantiene una actitud casi “pasiva”, son los ciudadanos los que están tomando las riendas.
BBVA deberá hacer frente a una multa de 60.101,21 euros por el abandono de cientos de documentos confidenciales en un descampado anexo al polígono industrial de San Cristóbal, hecho que fue revelado por EL MUNDO en su edición del 6 de febrero de 2006.Más de dos años después, la Agencia de Protección de Datos sanciona al banco por una “clara conducta negligente” en su obligación de custodiar información privada de los clientes, pero le impone la menor cuantía establecida para este tipo de infracciones (consideradas graves y que pueden acarrear multas de hasta 300.000 euros) al no percibir intencionalidad por parte de la entidad.
La resolución, firmada la pasada semana y sobre la que BBVA ya ha presentado recurso, imputa al banco un incumplimiento de las medidas de seguridad exigidas en la legislación vigente (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos) y que, como consecuencia, dejaron al alcance de terceros el acceso a datos personales y financieros de sus clientes.
Entre la información abandonada, contenida en bolsas de basura esparcidas en un montículo lleno de escombros, se encontraban numerosos documentos, desde extractos de cuentas bancarias hasta contratos de apertura de cartillas, solicitudes de créditos y productos financieros, declaraciones de la renta, fotocopias de DNI y correos electrónicos remitidos entre empleados.
La mayoría de ellos aparecieron íntegros, sin ni siquiera destruir, y todos procedían de dos oficinas: la sede central de la calle Duque de la Victoria y la sucursal ubicada en la calle Turquesa. Los papeles hacían referencia a movimientos de cientos de particulares y empresas, tanto de Valladolid como del resto de Castilla y León, así como de instituciones públicas como ayuntamientos de la Comunidad o la propia Administración regional.
La Agencia de Protección imputa la infracción al banco pese a que la empresa de limpieza que tenía contratada reconoció su actuación negligente al hacerse cargo de documentos destinados a su destrucción (de esa tarea se encargaba otra empresa) y depositarlo en dicho descampado, cuando, en todo caso, su destino hubiera sido el vertedero municipal de la carretera de León.
De hecho, Pedro Luis Navarro, entonces responsable de la contrata, (Clisa, que en este tiempo ha sido adquirida por una multinacional) admitió a EL MUNDO su “culpa” en lo sucedido, y atribuyó el error “aislado” a un empleado que días antes había dejado su trabajo. Como era de imaginar, en aquel momento BBVA y Clisa rescindieron el contrato de adjudicación de limpieza.
En esta autoinculpación de la adjudicataria se apoyan los argumentos de los servicios jurídicos del banco, que resaltaron su “desacuerdo” con la resolución sancionadora y han recurrido al considerar el fallo “un error, toda vez que la empresa destructora de papel había reconocido ser la única responsable de tales hechos, exculpando por tanto de todo ello a BBVA“.
En las alegaciones presentadas durante el procedimiento, el banco solicitó el archivo de la causa “dada su falta de intencionalidad” y poniendo el acento en su rápida reacción al tener constancia de los hechos.
BBVA achacó lo ocurrido a “una incidencia fortuita” por “la equivocación por parte del operario de la limpieza, confundiendo lo que era simple basura con documentación destinada a su destrucción”.
La resolución, sin embargo, rechaza las alegaciones de BBVA al destacar que el contrato de prestación de servicios con Clisa “consistente en la limpieza de los edificios, no contiene cláusula alguna relativa al tratamiento de datos de carácter personal por parte” de la adjudicataria.
Protección de Datos imputa una “falta de diligencia exigible a BBVA”, que, según la resolución, vulneró así la confidencialidad de dicha información. Concluye que el banco es responsable de los datos y a la entidad bancaria corresponde adoptar todas las medidas de seguridad para que no se produjera un acceso indebido a éstos.
Señala también que BBVA incumplió su propia normativa interna, en la que obliga a la destrucción dentro de sus edificios de toda documentación con datos personales de los clientes, y que también prohibe expresamente tirar documentación con datos a la basura, “con lo que dichos documentos nunca debieron ser accesibles por el personal de Clisa”.
La Agencia abrió una investigación de oficio al tener constancia de los hechos en febrero de 2006 y se puso en contacto con EL MUNDO para solicitar pruebas. El procedimiento comenzó con la comprobación de los hechos. Los inspectores comprobaron en las oficinas de BBVA que la información contenida en los documentos constaban en el sistema de información de clientes de la entidad bancaria. A la vista de las actuaciones previas de investigación se acordó iniciar el procedimiento sancionador que acaba de concluir.
Fuente: portalmundos.com
El tratamiento de los datos personales se reforzará a partir de mañana con la entrada en vigor del nuevo reglamento que desarrolla la Ley de Protección de Datos, una legislación que obligará a las empresas a proteger todos los archivos aunque no estén automatizados, como los ficheros de papel.
El director de la Agencia Española de Protección de Datos (AEPD), Artemi Rallo, aseguró que el nuevo Reglamento proporciona «más seguridad jurídica» a los ciudadanos, pero también a los que tienen que aplicarlo (instituciones, empresas o particulares).
Entre las novedades del nuevo reglamento, Rallo citó la prohibición de obtener datos de menores de 14 años, salvo que cuenten con la autorización de un representante legal (padres o tutores), y en ningún caso se podrán además recabar datos de su entorno familiar como los relacionados con la situación económica.
El director de la AEPD subrayó la importancia de esta prohibición, y observó, por ejemplo, que los menores de 14 años son usuarios habituales de internet y que han proliferado páginas web infantiles.
El reglamento que entra mañana en vigor establece reglas adicionales en los ficheros de morosos, indicó Artemi Rallo, y precisó que éstas impedirán que se mantenga en esos ficheros a personas que no deben estar porque ya han saldado su deuda.
En materia de mercadotecnia establece un nuevo régimen para los «ficheros de autoexclusión», conocidos como ficheros «Robinson», en los que se apuntan aquellas personas que expresamente manifiestan que no quieren recibir ningún tipo de publicidad, y que deberán ser a partir de ahora consultados por quienes pretendan recabar sus datos para no incorporarlos a sus listados de publicidad.
El director de este organismo informó además de que se refuerza la seguridad de los ficheros sobre violencia de género (estos ficheros pasan de un nivel básico de seguridad a un nivel alto), la de los ficheros con datos de tráfico y localización de comunicaciones electrónicas, los que obran en poder de la seguridad social, y aquellos que permiten definir perfiles, como los que obran en poder de los departamentos de recursos humanos.
Artemi Rallo se refirió además a la transferencia de datos a otros países, y precisó que el reglamento prohíbe trasferirlos a un país que no tenga un nivel adecuado de protección.
Sobre la asistencia sanitaria explicó que la regla permite el intercambio de datos para facilitar la gestión entre administraciones y comunidades autónomas y posibilitar que un usuario pueda ser atendido en cualquier parte de España.
Aunque la norma no se puede aplicar a personas fallecidas, sí prevé que sus familiares puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.
Para garantizar el derecho de las personas a controlar la exactitud y utilización de sus datos personales, los interesados podrán acceder, rectificar o cancelar sus datos a través de un medio sencillo y gratuito.
El nuevo reglamento presta especial atención a los ficheros no informatizados, como los de papel, para que se garantice la confidencialidad y la integridad de los datos que contienen.
Los armarios y los archivadores donde estén almacenados esos datos tendrán que disponer de mecanismos adecuados de cierre que impidan el acceso a la documentación por personas no autorizadas, y mientras la documentación no esté archivada la persona que esté a su cargo deberá custodiarla e impedir que accedan a ella personas no autorizadas.
Fuente: Soitu.es
Bajo licencia Creative Commons
ValueClick, una firma de publicidad en internet, pagará una multa récord de 2,9 millones de dólares (1,8 millones de euros) por haber violado las leyes estadounidenses sobre «correos basura», informó hoy la Comisión Federal de Comercio (FTC).
Se trata de la multa más alta impuesta a una empresa por una violación del acta federal que sanciona las prácticas abusivas en la publicidad en línea.
Según la FTC, ValueClick violó la ley al enviar mensajes de correo electrónico a consumidores ofreciendo «regalos gratis» con el fin de atraerlos a sitios de internet de la compañía.
Una vez allí, los usuarios descubrían que, para acceder a esos regalos tenían que adquirir primero productos o servicios costosos, como suscripciones a televisión por satélite o créditos para la compra de vehículos.
Además, la FTC afirma que ValueClick no protegió adecuadamente los datos financieros de sus clientes, aunque aseguraba codificar esta información.
ValueClick no ha reconocido haber violado ninguna ley, pero el pasado mes decidió llegar a un acuerdo con la FTC para cerrar el caso. La cuantía de la multa no se conoció hasta hoy.
Por otra parte, Robert Soloway, considerado el octavo emisor de correo basura en todo el mundo y conocido como «El Rey del Spam», se enfrenta a una sentencia de 26 años de cárcel tras declararse el pasado viernes culpable de cargos de fraude y evasión de impuestos.
Soloway fue detenido el pasado año acusado de robo de identidad, lavado de dinero y fraude postal y electrónico. Además, este estadounidense de 26 años no había pagado sus impuestos en 2005, cuando ganó 300.000 dólares con sus actividades.
Anteriormente, Soloway ya había sido condenado a pagar 7,8 millones de dólares (4,8 millones de euros) al gigante del software Microsoft, multa que nunca abonó.
Fuente: <a href=»http://www.eluniversal.com»> Eluniversal.com </a>
Vaya por delante que no soy militante de ningún partido político.
Esta entrada tiene como detonante esta noticia. En resumen, nos comentan que la iniciativa del PP de la web http://www.tupropuestaen30segundos.com/
donde cualquiera podía introducir su número de teléfono y su nombre para que recibiera una llamada con una locución de Mariano Rajoy ha desbordado todas las previsiones; ahora han sustituido la llamada telefónica por un email.
Me ha resultado curiosa la propuesta y he visitado esa web con la intención de ver como trataban a la Ley Orgánica de Protección de Datos.
Mis conclusiones son inatacables; en total he contabilizado 4 infracciones, lo que podría sumar 450.000 euros en multas como máximo. Para conocer los detalles del examen haz clic en
En primer lugar, y para entender bien los supuestos, os recomiendo que visitéis la web http://www.tupropuestaen30segundos.com/ y hagáis clic en lo de “te necesitamos pincha aquí”; así sabréis de qué estamos hablando.
Hecho esto, os habréis dado cuenta que tan sólo nos piden 2 datos: el nombre y el correo electrónico (antes pedían el número de teléfono en lugar del email).
El nombre por sí sólo no es posible considerarlo un dato personal, ya que Juan o Pedro no identifican a nadie, pero el correo electrónico sí.
Por tanto, podemos afirmar, que este formulario está “recabando datos personales”. Y la pregunta es ¿qué medidas debemos adoptar cuando recabamos datos personales?. Veamos qué dice el artículo 5 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal:
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Los apartados b), c) y d) podrían obviarse en este supuesto según el apartado tercero de este mismo artículo (aunque siendo puristas debería también respetarse).
En cualquier caso, la información correspondiente a los apartados a) y e) es necesaria y en este caso, como cualquier puede ver, brilla por su ausencia. PRIMERA INFRACCIÓN.
Pasamos al siguiente artículo, el 6 de esta misma Ley Orgánica de Protección de Datos:
Artículo 6. Consentimiento del afectado
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; […]
El tratamiento de los datos (enviar un correo electrónico es un “tratamiento de datos”) como vemos, requiere el consentimiento del interesado. En este caso podría entenderse que estamos dando nuestro consentimiento para el tratamiento, ya que estamos introduciendo los datos en un formulario; el problema es que realmente uno no sabe que va a pasar cuando pulse el botón de aceptar ¿que harán con mi correo electrónico?. Al no informarse de nada y al no poder interpretarlo del contexto, no es posible afirmar que estamos consintiendo al tratamiento de nuestros datos por faltar uno de los requisitos esenciales del consentimiento. El consentimiento se define en el artículo 3 como:
Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada
Los requisitos de “libre”, “inequívoca”, y “específica” podríamos aceptarlos, pero el de “informada” desde luego que no, por lo ya expuesto: no es posible saber qué van a hacer con mi correo electrónico al no informarme de nada. SEGUNDA INFRACCIÓN.
Por otra parte, el correo electrónico debe almacenarse en algún sitio para su tratamiento y posterior envío del mensaje de Mariano; es decir, estamos constituyendo un fichero de datos aunque sea de forma temporal, dado que un listado de correos electrónicos, es sin duda, un fichero de datos personales.
A la hora de constituir un fichero de datos, es necesario estar a lo dispuesto en el artículo 26 de la Ley Orgánica de Protección de Datos:
Artículo 26. Notificación e inscripción registral
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
No me ha sido posible encontrar el fichero de datos que genera esa página web en el Registro General de la Agencia Española de Protección de Datos. TERCERA INFRACCIÓN.
Por último, examinando el contenido del correo electrónico que recibimos en nombre de Mariano Rajoy, uno puede concluir en afirmar que podríamos estar ante un supuesto de comunicación comercial no consentida, en relación al artículo 21 de la Ley de Servicios de la Sociedad de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE):
Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
En el correo electrónico se nos invita a participar con un spot electoral acudiendo a una dirección web del PP (la anteriormente citada)… ¿ah? ¿para eso tenía que poner mi correo electrónico? ¿para qué me enviaseis publicidad para participar en vuestras iniciativas?; pero peor aun es si le damos a la opción de “reenviar a un amigo” que también está disponible en la web; allí podremos introducir el nombre y el correo electrónico de un amigo para que le llegue un mensaje que simplemente pone
“Visita esta web!!
http://www.tupropuestaen30segundos.com
te sorprenderá”
Como remitente aparece mariano.rajoy@pp.es
Sin duda alguna nos encontramos ante el supuesto descrito en el artículo 21 de la LSSI-CE. CUARTA INFRACCIÓN y más aun si ponemos la dirección de otra persona (de esto ya hablaremos en el futuro para ver la responsabilidad de lo de “enviar a un amigo”).
Según el régimen sancionador de estas normativas, tendríamos:
Esto viene a demostrar como la normativa de protección de datos sigue siendo la gran desconocida no sólo en el mundo empresarial sino también en el político.
Si tenemos tiempo, hablaremos en unos días de algunas iniciativas del PSOE que tampoco se queda corto.
De nuevo una sanción al Corte Inglés (¿quién le cobra la consultoría a estos muchachos?), pero que resulta interesante porque corresponde a la adopción de un avance tecnológico que como todos comienza por la gran empresa y con el tiempo alcanza a todo el entramado empresarial: en este caso la firma sobre tabletas electrónicas.
En el procedimiento sancionador PS/00063/2007, instruido por la Agencia Española de Protección de Datos a la entidad EL CORTE INGLES S.A.,
(…)
denuncia que con fecha 27/03/2005 realizó una compra en un establecimiento comercial de la marca Opencor y que al abonar la compra mediante tarjeta bancaria de pago tuvo que firmar sobre una tableta electrónica que permite capturar y almacenar la firma. Señala que no prestó su consentimiento para el tratamiento informático de su firma y que solicitó una hoja de reclamaciones para presentar también una reclamación en el Departamento de Consumo.
En su defensa los abogados del Corte Inglés intentan crear un embrollo jurídico entre responsables y encargados del tratamiento, argumentan que ha prescrito y hasta que la abuela fuma eso que ya sabes, pero la Agencia con ese característico estilo suyo tan lacónico lo cuenta así:
HECHOS PROBADOS
PRIMERO: Con fecha 27/03/2005, D. J.P.G. realizó una compra en un establecimiento comercial de la marca Opencor, abonándola mediante tarjeta bancaria de pago (folio 3). Para ello firmó sobre una tableta electrónica que capturó y almacenó su firma (folio 21).
SEGUNDO: En el ticket de compra que firmó D. J.P.G. contenía sus apellidos, firma, número de su tarjeta y detalle de los productos adquiridos (folio 3 y 21).
TERCERO: Tales datos se almacenaron en el fichero denominado “Clientes Otras Tarjetas Externas” sin que hayan sido cancelados (folios 20 y 21),
CUARTO: El fichero “Clientes Otras Tarjetas Externas” se encuentra inscrito en el Registro General de Protección de Datos y su responsable es el Corte Inglés, S.A. (folios 54 y 55).
QUINTO: La marca comercial Opencor pertenece a la entidad Tiendas de Conveniencia, S.A., esta entidad no tiene inscrito ningún fichero de clientes en el registro General de Protección de Datos (folios 56).
SEXTO: En el ticket de compra que firmó D. J.P.G. no contenía ninguna información relativa al tratamiento informatizado de su firma (folios 3 y 21).
SÉPTIMO: Tiendas de Conveniencia, S.A. y el Corte Inglés, S.A. firmaron, con fecha 31/12/2004, un contrato de prestación de servicios informáticos en virtud del cual Tiendas de Conveniencia, S.A. encomienda a el Corte Inglés, S.A. la prestación de los servicios informáticos que se constituye en encargado del tratamiento (folios 17 a 19).
y deja muy claro dónde está la infracción:
En este caso, el denunciante abonó una compra realizada en las tiendas Opencor mediante una tarjeta bancaria de pago, siendo almacenados los datos contenidos en el ticket de compra junto con su firma en el fichero “Clientes otras tarjetas externas”, sin haber sido informado ni prestado su consentimiento.
El denunciante debió ser informado de que se iban a recabar más datos de los estrictamente necesarios para que se realice la transacción comercial.
El titular de una tarjeta bancaria sabe, porque así fue informado por la entidad emisora de la tarjeta de débito o crédito, en el momento de la firma del contrato, que el establecimiento en el que realiza una compra con tarjeta almacenará determinados datos que serán trasmitidos a la entidad bancaria y que son necesarios para la realización de la transacción comercial. El titular de la tarjeta únicamente presta su consentimiento para que el establecimiento comercial capture los datos necesarios para la transacción comercial.
Sin embargo, en el supuesto examinado, se almacenaron en el aludido fichero datos adicionales que no son necesarios para la transacción comercial y respecto de los cuales el denunciante no había prestado su consentimiento, por lo que ha de entenderse infringido el artículo 6.1 de la LOPD.
Y por si quedaban dudas al final lo resume así:
En conclusión, el Corte Inglés recabó los datos del denunciante, relativos a una compra efectuada en las tiendas Opencor, para incluirlos en su fichero “Clientes otras tarjetas externas” sin contar con su consentimiento informado y sin que concurriera ninguna de las causas de exclusión del consentimiento recogidas en el apartado 2 del mencionado artículo 6, conducta que encuentra su tipificación en el citado artículo 44.3.d) de la LOPD.
Y lo castiga así:
IMPONER a la entidad EL CORTE INGLES, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
Como el Corte Inglés ha recurrido podemos terminar esta nota como en las series de televisión: Continuará…Fuente: Ley de protección de datos
El Arzobispado de Valencia planea recurrir la sentencia ante el Tribunal Supremo.
La Iglesia tiene la obligación de anotar en sus libros de bautismo que aquel niño al que sus padres rociaron con agua bendita ya no quiere seguir perteneciendo al club católico. Lo recoge una sentencia de la Audiencia Nacional, que se pronuncia sobre el caso de Manel Blat González, un hombre de 41 años, que pidió apostatar ante el Arzobispado de Valencia.
Manel llevó su caso, guiado por otras experiencias, antes la Agencia Española de Protección de Datos, que mandó que se anotara su petición en los márgenes de los archivos eclesiásticos, pero el arzobispado hizo caso omiso. La Agencia, dice Manel, se interesó por el caso. “Les dije que no habían hecho nada y volvieron a insistir. Fue entonces cuando el arzobispado recurrió ante la Justicia, que, finalmente, no le ha dado la razón”.
“Estoy alucinado, me acabo de enterar ahora mismo”, decía ayer. “Ha sido una gran batalla. Yo ya había desistido de toda esperanza. Pensaba que sería un sufrido cristiano más”.
Pero puede que esta historia, que empezó hace “cinco o seis años, cuando la Iglesia empezó a meterse en asuntos y valores” que “chocaban” con los de Manel, no haya concluido todavía, porque el Arzobispado de Valencia está estudiando la sentencia “con el objetivo de presentar un recurso de casación ante el Tribunal Supremo”. No comentaron más.
“Tengo mis propios valores, cristianos, pero chocan con los de ellos. Y no admito que nadie me insulte”. Con esa idea comenzó Manel a indagar en Internet hasta que encontró una página web con indicaciones para apostatar. “Ha sido un vía crucis. Fui a plantear mi caso y que me dieran de baja. No conseguí nada, más que insultos”.
La sentencia no habla de borrar nada, sino de anotar al margen de su inscripción bautismal que ya no quiere ser católico, como propuso la Agencia. Algunos apóstatas consideran que se deberían borrar estos datos, pero la Iglesia se defiende diciendo que son archivos históricos y que estar registrado no significa ser católico. Pero la sentencia dice que el hecho de estar inscrito en esos archivos constituye apariencia de pertenecer a la Iglesia; por tanto, deben corregirse estos datos. Para la diputada de IU Isaura Navarro esta sentencia era importante. Ella misma ha tratado de apostatar y su grupo ha pedido en el Congreso, sin apoyo de los grandes partidos, que se regule y se respete este derecho.
Fuente: ElPais.com
bajos electricos
estanterias madera
ordenador portatil ocasion
contra la Sociedad General de Autores y Editores (SGAE) por grabar sin permiso una boda y aportar el vídeo a un juicio por derechos de autor, lo que puede acarrearle una multa de hasta 300.500 euros.
La SGAE, en el contexto de su pleito contra un salón de celebraciones de Sevilla, contrató a un detective, que se coló en la boda y grabó a los asistentes bailando al ritmo de canciones presuntamente protegidas por derechos de autor.
A escondidas
El salón de bodas fue condenado a pagar 43.179 euros por derechos de autor en base a otras pruebas periféricas, ya que la sentencia del juzgado de lo Mercantil sevillano no admitió el vídeo como prueba porque constituía «una clara violación del derecho constitucional a la intimidad y a la propia imagen» más aún cuando se ejecutó «a escondidas, cuando la celebración estaba ya avanzada».
Al conocer la sentencia, la Asociación para la Protección de Datos de los Consumidores (Consudato) denunció los hechos a la Agencia de Protección de Datos, que ha abierto un expediente sancionador a la SGAE por una posible infracción grave, con una multa aparejada de entre 60.101 y 300.506 euros.
Dice la resolución que el vídeo recoge imágenes «de una celebración en un local cerrado donde se distingue a los asistentes a la misma, pudiéndose identificar a alguno de ellos», y existen indicios de que los datos de carácter personal se usaron posteriormente «con conculcación de los principios y garantías» de la citada ley.
Una herramienta habitual
El letrado del salón de bodas, Joaquín Moeckel, afirma que este expediente puede sentar precedente ya que la SGAE, en su lucha para conseguir el pago de derechos de autor, está aportando a juzgados de toda España pruebas similares grabadas por detectives.
La SGAE ha defendido en ocasiones anteriores que este tipo de pruebas son «absolutamente lícitas y conforme a Derecho», pero la sentencia estableció que se trata de una «intromisión ilegítima» en los derechos constitucionales «a la intimidad personal, familiar y a la propia imagen».
Fuente: EFE
Este es un ejemplo claro de como la normativa en materia de protección de datos así como su régimen sancionador puede ser aplicado no sólo a personas jurídicas (empresas por ejemplo) sino también a personas físicas en lo relativo al tratamiento de datos personales.
En el presente caso, se trataron y cedieron a terceros sin consentimiento datos relativos a socios del Real Madrid C.F. por parte de su expresidente. Si deseas conocer los detalles de la resolución condenatoria así como qué se hizo con esos datos de los socios y sobre todo y más importante, por qué se vulneró la Ley, haz clic en
Vaya por delante comentar que no me considero fan de ningún equipo de fútbol, en todo caso, y por afinidad vecinal, lo sería del Real Murcia. Digo esto para que no se entienda esta entrada del blog como un ataque personal al Real Madrid o a sus directivos.
Entrando en materia, la denuncia tiene lugar el 18/06/2004 presentada y firmada por dos afectados distintos. En la denuncia se pone de manifiesto que se han tratados sus datos personales sin el debido consentimiento al recibir una carta en el domicilio de ambos, firmada por el expresidente del Real Madrid (en adelante lo vamos a llamar X.X.X.), donde manifiesta hallarse meditando “…la decisión de volver a presentar mi candidatura a la presidencia de nuestro querido Club y solicita de los dos socios “conocer tu opinión y si así fuera saber si volvería a contar con tu apoyo. Junto a la citada carta, se acompaña un escrito con el título “Balance de tres años de gestión al frente del Real Madrid.
Llegados este punto es necesario ver primero de dónde obtuvo X.X.X. los datos necesarios para el envío de las cartas y si había recabado el necesario consentimiento para ello.
Afirma el propio X.X.X. que el fichero con los datos no los obtuvo del propio club, sino de un fichero que según él, se ha ido consolidando, desde hace más de diez años, a partir de los datos incluidos en Censos Electorales recibidos por X.X.X del citado Club de Fútbol en anteriores candidaturas así como a partir de las muestras de adhesión directamente recibidas de los socios por el candidato en anteriores comicios. Es decir, que los datos de los denunciantes no los obtuvo del censo oficial que la propia Junta del Club pone a disposición de los candidatos correspondientes.
Curiosamente, se cuestiona al Real Madrid si le ha dado o facilitado esta información durante todos esos años a X.X.X., y la respuesta es negativa, aunque no obstante, al ostentar el cargo de presidente durante un periodo de tiempo pudo tener acceso a los datos de los socios.
Por otra parte, según hacen constar los inspectores, los documentos mostrados por X.X.X. para acreditar las muestras de adhesión de los socios se reducían a fotocopias de documentos nacionales de identidad y de los carnés de socio, que según declaró el denunciado, habían sido facilitados en anteriores comicios por los socios para la declaración del voto por correo.
En resumen, que se han obtenido y tratado los datos de los socios y afectados en el caso de forma irregular y por supuesto sin contar con el consentimiento de los mismos.
Esto sería suficiente para sancionar a X.X.X. por un tratamiento de datos sin consentimiento, es decir, para elaborar las cartas se han tenido que utilizar datos personales (nombre, apellidos, dirección, etc) de los cuales no se tenía el necesario consentimiento.
Pero el tema no termina aquí, porque de la propia investigación de los inspectores se comprueba que para la elaboración de las cartas y su posterior envío a los destinatarios, el denunciado contrató, a través de la compañía INVERSIONES RENFISA, S.L., los servicios de B.D. MAIL, S.L. es decir, los servicios de una empresa que se encarga de hacer un envío masivo de cartas a los destinatarios facilitados por el cliente, en este caso X.X.X.
En concreto, X.X.X. facilitó la base de datos con los datos de los socios (unos 50.000) a esta empresa para que se encargase de confeccionar las cartas y enviarlas. Otro error más, pues este hecho, como se verá más adelante, supone una cesión de datos de carácter personal, cesión, que en este caso no disponía del consentimiento necesario otorgado por los socios.
Ya tenemos la imputación de las dos infracciones que se comentaban al principio:
Veamos ahora que alegó X.X.X. en su defensa (dejaremos de lado lo relativo a las empresas de mailing).
Las alegaciones de X.X.X. se centraron en que según la Ley Orgánica de Régimen Electoral General (LOREG), estaba legitimado para remitir las cartas objeto del caso a los socios, ya que (deduzco yo por el contexto, pues en la resolución parece que se han “comido algún párrafo al pasarlo a formato electrónico) el censo electoral es una fuente accesible al público y como no es necesario el consentimiento de los interesados cuando sus datos están en una fuente accesible al público, procede entender que no era necesario el consentimiento.
Por supuesto, tal y como está actualmente la definición de “fuente accesible al público en la LOPD, el censo NO es una fuente accesible al público:
De acuerdo a lo establecido en el artículo 3 j) de la LOPD, que considera fuentes accesibles al público las siguientes:
“j. Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.
Por su parte, el artículo 41 2. de la citada LOREG establece que:
“2. Queda prohibida cualquier información particularizada sobre los datos personales contenidos en el censo electoral, a excepción de los que se soliciten por conducto judicial“.
En este sentido, el Tribunal Superior de Justicia de Madrid, en Sentencias 30 de septiembre de 1998 y 19 de mayo de 1999, ha determinado que el censo electoral no es una fuente de acceso público, declarando que: “ Por último, la recurrente entiende que el censo electoral es una fuente accesible al público y, en consecuencia, no existe acción típica. Tal afirmación la fundamenta en el artículo 39.3 de la Ley de Ordenación del Comercio Minorista, con arreglo al cual el nombre, apellidos y domicilio de las personas que figuran en el censo electoral tiene siempre y en todo caso el carácter de datos accesibles al público – siempre que se de la oportunidad a los interesados de oponerse a los mensajes comerciales – y, por tanto, quedan fuera de la exigencia del consentimiento del afectado (art. 6 de la LORTAD).
Si juntamos esto a las propias declaraciones de X.X.X. que he comentado al principio, respecto que los datos no los obtuvo del censo sino de un fichero propio, termina de echarse tierra encima.
En definitiva, los datos personales de los denunciantes no fueron obtenidos de fuentes de acceso público, ni con el consentimiento de los denunciantes, por lo que existe prueba suficiente de que el denunciado trató dichos datos sin el consentimiento de los denunciantes.
En consecuencia, en el presente caso no existe habilitación legal que permita tratar los datos de los denunciantes sin su consentimiento, ni tampoco existe una relación contractual o negocial entre los titulares de los datos y los responsables del tratamiento que sea necesaria para el mantenimiento del contrato. Además, tampoco existe un interés vital del afectado digno de protección, lo que también legitimaría el tratamiento de datos sin consentimiento. En definitiva, no se da ninguna de las condiciones que conforme al artículo 6.2 de la LOPD permitirían a X.X.X. tratar los datos de los denunciantes sin su consentimiento.
Se alega a continuación que existe un consentimiento tácito de los denunciantes para recibir este tipo de cartas con información electoral, sin embargo, debemos observar la definición de “consentimiento que estipula “Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen en relación con las excepciones al consentimiento que se establecen en el artículo 6.2 LOPD:
“No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Ante esto el órgano resolutorio es tajante y especialmente contundente al entender que:
“[…], este consentimiento tácito solamente puede deducirse a partir de un entorno de condiciones sobre las que de la inactividad del afectado quepa deducir una voluntad favorable al tratamiento de sus datos. Nada de esto, sin embargo, concurre en las circunstancias valoradas en la conducta del imputado, que pretende que se tenga por consentimiento tácito de los denunciados el deducido de unos hechos como son que el denunciado utilizó un fichero […], elaborado a partir de las muestras de adhesión que había recibido directamente de los denunciantes en anteriores comicios y de procesos electorales anteriores.
Queda más que claro que no existía consentimiento para que X.X.X. enviara estas cartas.
Por último resta observar la infracción imputada respecto a la cesión de datos a la empresa para que enviara las cartas.
Aquí el tema se resuelve mucho más rápido, pues al no concurrir ninguna circunstancia contemplada en el artículo 11.2 LOPD como excepción al consentimiento para la cesión de los datos personales, esto es:
a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Y está más que probada la cesión de los datos, se concluye en declarar también infringido este artículo 11 que regula la cesión de los datos personales.
Conclusión final, X.X.X. no tenía el consentimiento para enviarles cartas a los socios en relación con su candidatura electoral y ni mucho menos para ceder los datos de los socios a una tercera empresa (en este caso se cedieron algo más de 50.000 registros !!).
Así que, una primera infracción, la de tratar los datos sin consentimiento para hacer las cartas, tipificada como grave, que terminar en multa de 60.000 euros (la mínima para las infracciones graves).
Y una segunda infracción, la de ceder los datos personales sin consentimiento a la empresa que se encargó de hacer efectivo los envíos de las cartas, tipificada como muy grave y que termina en multa de 300.000 euros (la mínima para las infracciones muy graves).
Por supuesto, también hubo sanción económica para la empresa que gestionó el envío de las cartas (INVERSIONES RENFISA, S.L., ): 60.000 euros por tratar los datos de los socios sin consentimiento: y es que claro, si el cedente, en este caso X.X.X. no ha obtenido el consentimiento necesario para el envío de las cartas, la empresa que se encarga de enviar las cartas tampoco tiene el consentimiento para tratarlos, por lo que cuando incurrimos en una infracción por temas de cesión sin consentimiento, generalmente el cesionario es sancionado también por no tener el consentimiento… consentimiento que en teoría debería haber recabado el cedente.
Y ojo que el propio club se libró de una multa por tener inscritos sus ficheros en el Registro General de Protección de Datos…
Como opinión personal creo que el caso no se llevó bien por parte de la defensa ni por parte del propio X.X.X. al hablar de su “propio fichero de datos de los socios. Quizá, si se hubiera enfocado desde otra perspectiva o incluso utilizando algunas excepciones legales que no se invocaron se podría haber evitado la multa de 60.000 euros por el tratamiento sin consentimiento.
La Resolución completa se puede descargar desde aquí
Fuente: Samuel Parra
Bajo licencia Creative Commons
Enlaces relacionados:
– Multa de 6000 euros por compartir en el Emule una base de datos
– Sanción de 1000 euros por el enío de un único e-mail con información comercial
– Multa de 600 euros por dejar a la vista 42 direcciones de e-mail
– Las empresas de telecomunicaciones y los bancos, los que más vulneran los datos de los ciudadanos