Actualidad informática
Noticias y novedades sobre informática
admin
La Comisión Europea impone a Intel la multa récord de 1060 millones de euros por competencia desleal
1060 millones de euros por abuso de posición dominante. La Comisión Europea ha impuesto a Intel la multa más alta jamás dictaminda por Bruselas.
Según la Comisión, el mayor fabricante de microprocesadores del mundo ofreció grandes descuentos e incluso pagos directos a fabricantes y distribuidores como Dell, HP o Media Markt, para que diesen prioridad a su microchip x86 y dejasen de lado a su principal rival, AMD.
Lo explicaba Neelie Kroes, Comisaria Europea de Competencia: “Intel realizó pagos directos a fabricantes de ordenadores para detener o retrasar el lanzamiento de productos que utilizasen chips de sus rivales, o para limitar su distribución”.
La multa corresponde a la realización de estás prácticas entre 2002 y 2007, aunque según la Comisión, Intel sigue efectuándolas.
Fuente: Euronews
Multa de 60000 euros a BBVA por el abandono de datos confidenciales en un descampado
BBVA deberá hacer frente a una multa de 60.101,21 euros por el abandono de cientos de documentos confidenciales en un descampado anexo al polígono industrial de San Cristóbal, hecho que fue revelado por EL MUNDO en su edición del 6 de febrero de 2006.Más de dos años después, la Agencia de Protección de Datos sanciona al banco por una “clara conducta negligente” en su obligación de custodiar información privada de los clientes, pero le impone la menor cuantía establecida para este tipo de infracciones (consideradas graves y que pueden acarrear multas de hasta 300.000 euros) al no percibir intencionalidad por parte de la entidad.
La resolución, firmada la pasada semana y sobre la que BBVA ya ha presentado recurso, imputa al banco un incumplimiento de las medidas de seguridad exigidas en la legislación vigente (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos) y que, como consecuencia, dejaron al alcance de terceros el acceso a datos personales y financieros de sus clientes.
Entre la información abandonada, contenida en bolsas de basura esparcidas en un montículo lleno de escombros, se encontraban numerosos documentos, desde extractos de cuentas bancarias hasta contratos de apertura de cartillas, solicitudes de créditos y productos financieros, declaraciones de la renta, fotocopias de DNI y correos electrónicos remitidos entre empleados.
La mayoría de ellos aparecieron íntegros, sin ni siquiera destruir, y todos procedían de dos oficinas: la sede central de la calle Duque de la Victoria y la sucursal ubicada en la calle Turquesa. Los papeles hacían referencia a movimientos de cientos de particulares y empresas, tanto de Valladolid como del resto de Castilla y León, así como de instituciones públicas como ayuntamientos de la Comunidad o la propia Administración regional.
La Agencia de Protección imputa la infracción al banco pese a que la empresa de limpieza que tenía contratada reconoció su actuación negligente al hacerse cargo de documentos destinados a su destrucción (de esa tarea se encargaba otra empresa) y depositarlo en dicho descampado, cuando, en todo caso, su destino hubiera sido el vertedero municipal de la carretera de León.
De hecho, Pedro Luis Navarro, entonces responsable de la contrata, (Clisa, que en este tiempo ha sido adquirida por una multinacional) admitió a EL MUNDO su “culpa” en lo sucedido, y atribuyó el error “aislado” a un empleado que días antes había dejado su trabajo. Como era de imaginar, en aquel momento BBVA y Clisa rescindieron el contrato de adjudicación de limpieza.
En esta autoinculpación de la adjudicataria se apoyan los argumentos de los servicios jurídicos del banco, que resaltaron su “desacuerdo” con la resolución sancionadora y han recurrido al considerar el fallo “un error, toda vez que la empresa destructora de papel había reconocido ser la única responsable de tales hechos, exculpando por tanto de todo ello a BBVA“.
En las alegaciones presentadas durante el procedimiento, el banco solicitó el archivo de la causa “dada su falta de intencionalidad” y poniendo el acento en su rápida reacción al tener constancia de los hechos.
BBVA achacó lo ocurrido a “una incidencia fortuita” por “la equivocación por parte del operario de la limpieza, confundiendo lo que era simple basura con documentación destinada a su destrucción”.
La resolución, sin embargo, rechaza las alegaciones de BBVA al destacar que el contrato de prestación de servicios con Clisa “consistente en la limpieza de los edificios, no contiene cláusula alguna relativa al tratamiento de datos de carácter personal por parte” de la adjudicataria.
Protección de Datos imputa una “falta de diligencia exigible a BBVA”, que, según la resolución, vulneró así la confidencialidad de dicha información. Concluye que el banco es responsable de los datos y a la entidad bancaria corresponde adoptar todas las medidas de seguridad para que no se produjera un acceso indebido a éstos.
Señala también que BBVA incumplió su propia normativa interna, en la que obliga a la destrucción dentro de sus edificios de toda documentación con datos personales de los clientes, y que también prohibe expresamente tirar documentación con datos a la basura, “con lo que dichos documentos nunca debieron ser accesibles por el personal de Clisa”.
La Agencia abrió una investigación de oficio al tener constancia de los hechos en febrero de 2006 y se puso en contacto con EL MUNDO para solicitar pruebas. El procedimiento comenzó con la comprobación de los hechos. Los inspectores comprobaron en las oficinas de BBVA que la información contenida en los documentos constaban en el sistema de información de clientes de la entidad bancaria. A la vista de las actuaciones previas de investigación se acordó iniciar el procedimiento sancionador que acaba de concluir.
Fuente: portalmundos.com
Valueclick multada por enviar correo basura
ValueClick, una firma de publicidad en internet, pagará una multa récord de 2,9 millones de dólares (1,8 millones de euros) por haber violado las leyes estadounidenses sobre «correos basura», informó hoy la Comisión Federal de Comercio (FTC).
Se trata de la multa más alta impuesta a una empresa por una violación del acta federal que sanciona las prácticas abusivas en la publicidad en línea.
Según la FTC, ValueClick violó la ley al enviar mensajes de correo electrónico a consumidores ofreciendo «regalos gratis» con el fin de atraerlos a sitios de internet de la compañía.
Una vez allí, los usuarios descubrían que, para acceder a esos regalos tenían que adquirir primero productos o servicios costosos, como suscripciones a televisión por satélite o créditos para la compra de vehículos.
Además, la FTC afirma que ValueClick no protegió adecuadamente los datos financieros de sus clientes, aunque aseguraba codificar esta información.
ValueClick no ha reconocido haber violado ninguna ley, pero el pasado mes decidió llegar a un acuerdo con la FTC para cerrar el caso. La cuantía de la multa no se conoció hasta hoy.
Por otra parte, Robert Soloway, considerado el octavo emisor de correo basura en todo el mundo y conocido como «El Rey del Spam», se enfrenta a una sentencia de 26 años de cárcel tras declararse el pasado viernes culpable de cargos de fraude y evasión de impuestos.
Soloway fue detenido el pasado año acusado de robo de identidad, lavado de dinero y fraude postal y electrónico. Además, este estadounidense de 26 años no había pagado sus impuestos en 2005, cuando ganó 300.000 dólares con sus actividades.
Anteriormente, Soloway ya había sido condenado a pagar 7,8 millones de dólares (4,8 millones de euros) al gigante del software Microsoft, multa que nunca abonó.
Fuente: <a href=»http://www.eluniversal.com»> Eluniversal.com </a>
Protección de datos. Sanción de 60000 euros a «El Corte Inglés»
De nuevo una sanción al Corte Inglés (¿quién le cobra la consultoría a estos muchachos?), pero que resulta interesante porque corresponde a la adopción de un avance tecnológico que como todos comienza por la gran empresa y con el tiempo alcanza a todo el entramado empresarial: en este caso la firma sobre tabletas electrónicas.
En el procedimiento sancionador PS/00063/2007, instruido por la Agencia Española de Protección de Datos a la entidad EL CORTE INGLES S.A.,
(…)
denuncia que con fecha 27/03/2005 realizó una compra en un establecimiento comercial de la marca Opencor y que al abonar la compra mediante tarjeta bancaria de pago tuvo que firmar sobre una tableta electrónica que permite capturar y almacenar la firma. Señala que no prestó su consentimiento para el tratamiento informático de su firma y que solicitó una hoja de reclamaciones para presentar también una reclamación en el Departamento de Consumo.
En su defensa los abogados del Corte Inglés intentan crear un embrollo jurídico entre responsables y encargados del tratamiento, argumentan que ha prescrito y hasta que la abuela fuma eso que ya sabes, pero la Agencia con ese característico estilo suyo tan lacónico lo cuenta así:
HECHOS PROBADOS
PRIMERO: Con fecha 27/03/2005, D. J.P.G. realizó una compra en un establecimiento comercial de la marca Opencor, abonándola mediante tarjeta bancaria de pago (folio 3). Para ello firmó sobre una tableta electrónica que capturó y almacenó su firma (folio 21).
SEGUNDO: En el ticket de compra que firmó D. J.P.G. contenía sus apellidos, firma, número de su tarjeta y detalle de los productos adquiridos (folio 3 y 21).
TERCERO: Tales datos se almacenaron en el fichero denominado “Clientes Otras Tarjetas Externas” sin que hayan sido cancelados (folios 20 y 21),
CUARTO: El fichero “Clientes Otras Tarjetas Externas” se encuentra inscrito en el Registro General de Protección de Datos y su responsable es el Corte Inglés, S.A. (folios 54 y 55).
QUINTO: La marca comercial Opencor pertenece a la entidad Tiendas de Conveniencia, S.A., esta entidad no tiene inscrito ningún fichero de clientes en el registro General de Protección de Datos (folios 56).
SEXTO: En el ticket de compra que firmó D. J.P.G. no contenía ninguna información relativa al tratamiento informatizado de su firma (folios 3 y 21).
SÉPTIMO: Tiendas de Conveniencia, S.A. y el Corte Inglés, S.A. firmaron, con fecha 31/12/2004, un contrato de prestación de servicios informáticos en virtud del cual Tiendas de Conveniencia, S.A. encomienda a el Corte Inglés, S.A. la prestación de los servicios informáticos que se constituye en encargado del tratamiento (folios 17 a 19).
y deja muy claro dónde está la infracción:
En este caso, el denunciante abonó una compra realizada en las tiendas Opencor mediante una tarjeta bancaria de pago, siendo almacenados los datos contenidos en el ticket de compra junto con su firma en el fichero “Clientes otras tarjetas externas”, sin haber sido informado ni prestado su consentimiento.
El denunciante debió ser informado de que se iban a recabar más datos de los estrictamente necesarios para que se realice la transacción comercial.
El titular de una tarjeta bancaria sabe, porque así fue informado por la entidad emisora de la tarjeta de débito o crédito, en el momento de la firma del contrato, que el establecimiento en el que realiza una compra con tarjeta almacenará determinados datos que serán trasmitidos a la entidad bancaria y que son necesarios para la realización de la transacción comercial. El titular de la tarjeta únicamente presta su consentimiento para que el establecimiento comercial capture los datos necesarios para la transacción comercial.
Sin embargo, en el supuesto examinado, se almacenaron en el aludido fichero datos adicionales que no son necesarios para la transacción comercial y respecto de los cuales el denunciante no había prestado su consentimiento, por lo que ha de entenderse infringido el artículo 6.1 de la LOPD.
Y por si quedaban dudas al final lo resume así:
En conclusión, el Corte Inglés recabó los datos del denunciante, relativos a una compra efectuada en las tiendas Opencor, para incluirlos en su fichero “Clientes otras tarjetas externas” sin contar con su consentimiento informado y sin que concurriera ninguna de las causas de exclusión del consentimiento recogidas en el apartado 2 del mencionado artículo 6, conducta que encuentra su tipificación en el citado artículo 44.3.d) de la LOPD.
Y lo castiga así:
IMPONER a la entidad EL CORTE INGLES, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
Como el Corte Inglés ha recurrido podemos terminar esta nota como en las series de televisión: Continuará…Fuente: Ley de protección de datos
El expresidente del Real Madrid C.F. sancionado con multa de 360000 euros por vulnerar la Ley Orgánica de Protección de Datos
Este es un ejemplo claro de como la normativa en materia de protección de datos así como su régimen sancionador puede ser aplicado no sólo a personas jurídicas (empresas por ejemplo) sino también a personas físicas en lo relativo al tratamiento de datos personales.
En el presente caso, se trataron y cedieron a terceros sin consentimiento datos relativos a socios del Real Madrid C.F. por parte de su expresidente. Si deseas conocer los detalles de la resolución condenatoria así como qué se hizo con esos datos de los socios y sobre todo y más importante, por qué se vulneró la Ley, haz clic en
Vaya por delante comentar que no me considero fan de ningún equipo de fútbol, en todo caso, y por afinidad vecinal, lo sería del Real Murcia. Digo esto para que no se entienda esta entrada del blog como un ataque personal al Real Madrid o a sus directivos.
Entrando en materia, la denuncia tiene lugar el 18/06/2004 presentada y firmada por dos afectados distintos. En la denuncia se pone de manifiesto que se han tratados sus datos personales sin el debido consentimiento al recibir una carta en el domicilio de ambos, firmada por el expresidente del Real Madrid (en adelante lo vamos a llamar X.X.X.), donde manifiesta hallarse meditando “…la decisión de volver a presentar mi candidatura a la presidencia de nuestro querido Club y solicita de los dos socios “conocer tu opinión y si así fuera saber si volvería a contar con tu apoyo. Junto a la citada carta, se acompaña un escrito con el título “Balance de tres años de gestión al frente del Real Madrid.
Llegados este punto es necesario ver primero de dónde obtuvo X.X.X. los datos necesarios para el envío de las cartas y si había recabado el necesario consentimiento para ello.
Afirma el propio X.X.X. que el fichero con los datos no los obtuvo del propio club, sino de un fichero que según él, se ha ido consolidando, desde hace más de diez años, a partir de los datos incluidos en Censos Electorales recibidos por X.X.X del citado Club de Fútbol en anteriores candidaturas así como a partir de las muestras de adhesión directamente recibidas de los socios por el candidato en anteriores comicios. Es decir, que los datos de los denunciantes no los obtuvo del censo oficial que la propia Junta del Club pone a disposición de los candidatos correspondientes.
Curiosamente, se cuestiona al Real Madrid si le ha dado o facilitado esta información durante todos esos años a X.X.X., y la respuesta es negativa, aunque no obstante, al ostentar el cargo de presidente durante un periodo de tiempo pudo tener acceso a los datos de los socios.
Por otra parte, según hacen constar los inspectores, los documentos mostrados por X.X.X. para acreditar las muestras de adhesión de los socios se reducían a fotocopias de documentos nacionales de identidad y de los carnés de socio, que según declaró el denunciado, habían sido facilitados en anteriores comicios por los socios para la declaración del voto por correo.
En resumen, que se han obtenido y tratado los datos de los socios y afectados en el caso de forma irregular y por supuesto sin contar con el consentimiento de los mismos.
Esto sería suficiente para sancionar a X.X.X. por un tratamiento de datos sin consentimiento, es decir, para elaborar las cartas se han tenido que utilizar datos personales (nombre, apellidos, dirección, etc) de los cuales no se tenía el necesario consentimiento.
Pero el tema no termina aquí, porque de la propia investigación de los inspectores se comprueba que para la elaboración de las cartas y su posterior envío a los destinatarios, el denunciado contrató, a través de la compañía INVERSIONES RENFISA, S.L., los servicios de B.D. MAIL, S.L. es decir, los servicios de una empresa que se encarga de hacer un envío masivo de cartas a los destinatarios facilitados por el cliente, en este caso X.X.X.
En concreto, X.X.X. facilitó la base de datos con los datos de los socios (unos 50.000) a esta empresa para que se encargase de confeccionar las cartas y enviarlas. Otro error más, pues este hecho, como se verá más adelante, supone una cesión de datos de carácter personal, cesión, que en este caso no disponía del consentimiento necesario otorgado por los socios.
Ya tenemos la imputación de las dos infracciones que se comentaban al principio:
- Tratamiento de los datos de los socios para enviar las cartas.
- Cesión de los datos de los socios a una empresa para que se encargue efectivamente de realizar el envío de las cartas.
Veamos ahora que alegó X.X.X. en su defensa (dejaremos de lado lo relativo a las empresas de mailing).
Las alegaciones de X.X.X. se centraron en que según la Ley Orgánica de Régimen Electoral General (LOREG), estaba legitimado para remitir las cartas objeto del caso a los socios, ya que (deduzco yo por el contexto, pues en la resolución parece que se han “comido algún párrafo al pasarlo a formato electrónico) el censo electoral es una fuente accesible al público y como no es necesario el consentimiento de los interesados cuando sus datos están en una fuente accesible al público, procede entender que no era necesario el consentimiento.
Por supuesto, tal y como está actualmente la definición de “fuente accesible al público en la LOPD, el censo NO es una fuente accesible al público:
De acuerdo a lo establecido en el artículo 3 j) de la LOPD, que considera fuentes accesibles al público las siguientes:
“j. Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.
Por su parte, el artículo 41 2. de la citada LOREG establece que:
“2. Queda prohibida cualquier información particularizada sobre los datos personales contenidos en el censo electoral, a excepción de los que se soliciten por conducto judicial“.
En este sentido, el Tribunal Superior de Justicia de Madrid, en Sentencias 30 de septiembre de 1998 y 19 de mayo de 1999, ha determinado que el censo electoral no es una fuente de acceso público, declarando que: “ Por último, la recurrente entiende que el censo electoral es una fuente accesible al público y, en consecuencia, no existe acción típica. Tal afirmación la fundamenta en el artículo 39.3 de la Ley de Ordenación del Comercio Minorista, con arreglo al cual el nombre, apellidos y domicilio de las personas que figuran en el censo electoral tiene siempre y en todo caso el carácter de datos accesibles al público – siempre que se de la oportunidad a los interesados de oponerse a los mensajes comerciales – y, por tanto, quedan fuera de la exigencia del consentimiento del afectado (art. 6 de la LORTAD).
Si juntamos esto a las propias declaraciones de X.X.X. que he comentado al principio, respecto que los datos no los obtuvo del censo sino de un fichero propio, termina de echarse tierra encima.
En definitiva, los datos personales de los denunciantes no fueron obtenidos de fuentes de acceso público, ni con el consentimiento de los denunciantes, por lo que existe prueba suficiente de que el denunciado trató dichos datos sin el consentimiento de los denunciantes.
En consecuencia, en el presente caso no existe habilitación legal que permita tratar los datos de los denunciantes sin su consentimiento, ni tampoco existe una relación contractual o negocial entre los titulares de los datos y los responsables del tratamiento que sea necesaria para el mantenimiento del contrato. Además, tampoco existe un interés vital del afectado digno de protección, lo que también legitimaría el tratamiento de datos sin consentimiento. En definitiva, no se da ninguna de las condiciones que conforme al artículo 6.2 de la LOPD permitirían a X.X.X. tratar los datos de los denunciantes sin su consentimiento.
Se alega a continuación que existe un consentimiento tácito de los denunciantes para recibir este tipo de cartas con información electoral, sin embargo, debemos observar la definición de “consentimiento que estipula “Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen en relación con las excepciones al consentimiento que se establecen en el artículo 6.2 LOPD:
“No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Ante esto el órgano resolutorio es tajante y especialmente contundente al entender que:
“[…], este consentimiento tácito solamente puede deducirse a partir de un entorno de condiciones sobre las que de la inactividad del afectado quepa deducir una voluntad favorable al tratamiento de sus datos. Nada de esto, sin embargo, concurre en las circunstancias valoradas en la conducta del imputado, que pretende que se tenga por consentimiento tácito de los denunciados el deducido de unos hechos como son que el denunciado utilizó un fichero […], elaborado a partir de las muestras de adhesión que había recibido directamente de los denunciantes en anteriores comicios y de procesos electorales anteriores.
Queda más que claro que no existía consentimiento para que X.X.X. enviara estas cartas.
Por último resta observar la infracción imputada respecto a la cesión de datos a la empresa para que enviara las cartas.
Aquí el tema se resuelve mucho más rápido, pues al no concurrir ninguna circunstancia contemplada en el artículo 11.2 LOPD como excepción al consentimiento para la cesión de los datos personales, esto es:
a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Y está más que probada la cesión de los datos, se concluye en declarar también infringido este artículo 11 que regula la cesión de los datos personales.
Conclusión final, X.X.X. no tenía el consentimiento para enviarles cartas a los socios en relación con su candidatura electoral y ni mucho menos para ceder los datos de los socios a una tercera empresa (en este caso se cedieron algo más de 50.000 registros !!).
Así que, una primera infracción, la de tratar los datos sin consentimiento para hacer las cartas, tipificada como grave, que terminar en multa de 60.000 euros (la mínima para las infracciones graves).
Y una segunda infracción, la de ceder los datos personales sin consentimiento a la empresa que se encargó de hacer efectivo los envíos de las cartas, tipificada como muy grave y que termina en multa de 300.000 euros (la mínima para las infracciones muy graves).
Por supuesto, también hubo sanción económica para la empresa que gestionó el envío de las cartas (INVERSIONES RENFISA, S.L., ): 60.000 euros por tratar los datos de los socios sin consentimiento: y es que claro, si el cedente, en este caso X.X.X. no ha obtenido el consentimiento necesario para el envío de las cartas, la empresa que se encarga de enviar las cartas tampoco tiene el consentimiento para tratarlos, por lo que cuando incurrimos en una infracción por temas de cesión sin consentimiento, generalmente el cesionario es sancionado también por no tener el consentimiento… consentimiento que en teoría debería haber recabado el cedente.
Y ojo que el propio club se libró de una multa por tener inscritos sus ficheros en el Registro General de Protección de Datos…
Como opinión personal creo que el caso no se llevó bien por parte de la defensa ni por parte del propio X.X.X. al hablar de su “propio fichero de datos de los socios. Quizá, si se hubiera enfocado desde otra perspectiva o incluso utilizando algunas excepciones legales que no se invocaron se podría haber evitado la multa de 60.000 euros por el tratamiento sin consentimiento.
La Resolución completa se puede descargar desde aquí
Fuente: Samuel Parra
Bajo licencia Creative Commons
Enlaces relacionados:
– Multa de 6000 euros por compartir en el Emule una base de datos
– Sanción de 1000 euros por el enío de un único e-mail con información comercial
– Multa de 600 euros por dejar a la vista 42 direcciones de e-mail
– Las empresas de telecomunicaciones y los bancos, los que más vulneran los datos de los ciudadanos
Multa de 6000 euros por compartir en el Emule una base de datos
Aunque parezca extraño, lo que se va a narrar a continuación es mucho más frecuente de lo que podemos imaginar; el escenario: una oficina, los protagonistas: un ordenador con conexión ADSL y el Emule funcionando, el problema: que se comparte una base de datos de Microsoft Access (MDB) con miles de entradas con información personal. Ya tenemos todos los ingredientes para que la Agencia Española de Protección de Datos (AEPD) entre en escena…(sigue)
Los hechos son denunciados en primer lugar por la Guardia Civil (luego se añadirán una comisaría de policía y la propia Fiscalía General del Estado), que tras hacer algunas búsquedas en el Emule, detectan dos ficheros .mdb (Microsoft Data Base) de Microsoft Access. Estas bases de datos contienen datos de carácter personal relativos a funcionarios de diversas Administraciones Públicas que habían solicitado o participado en cursos de formación organizados por la Confederación Sindical de Comisiones Obreras; datos relativos al nombre, apellidos, DNI, fecha de nacimiento, domicilio completo, teléfono, formación, etc.
La noticia completa está en http://www.samuelparra.com/2007/03/29/multa-de-6000-euros-por-compartir-en-el-emule-una-base-de-datos/
Enlaces relacionados:
– El expresidente del Real Madrid C.F. sancionado con multa de 360000 euros por vulnerar la Ley Orgánica de Protección de Datos
– El Opus Dei sancionado a pagar 60101 euros.
– Sanción de 1000 euros por el envío de un único e-mail con información comercial
– Multa de 600 euros por dejar a la vista 42 direcciones de e-mail
– Las empresas de telecomunicaciones y los bancos, los que más vulneran los datos de los ciudadanos
Sanción de 1000 euros por el envío de un único e-mail con información comercial
Es curioso observar, dependiendo la época del año en la que nos encontremos, el tipo de e-mails con publicidad que llenan nuestros buzones. En esta última época (aunque quizá fuera de su periodo de esplendor allí por los principios del otoño) he recibido correos electrónicos sobre posibles cursos que consideran que me pueden interesar y a los que me invitan a participar (por supuesto previo pago de la matricula o petición de subvención correspondiente). Me viene muy bien una resolución de la Agencia Española de Protección de Datos como ejemplo de infracció y sanción con 1000 euros por el envío de un sólo e-mail de este tipo, a una empresa que por el nombre seguramente se dedique a impartir cursos.
La Agencia en cumplimiento del artículo 21 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico entiende que el envÃo de una única comunicación comercial sin disponer de autorizació³n previa del destinatario o sin que conste la existencia de una relació³n contractual previa es una actitud que infringe la normativa, y como tal es merecedora de una sanción pecuniaria.
La Agencia, por supuesto, no toma en consideración que la comunicaciÃn incluye un modelo de advertencia legal (como casi todos los e-mails que recibimos), lo que es realmente importante es que el destinatario haya dado el consentimiento para recibir esas comunicaciones, y si no lo ha hecho esa actividad es merecedora de una sanción.
Ahora ya tenéis una respuesta que darles a aquellas empresas que llenan vuestros buzones!
Fuente: Iurismatica
Enlaces relacionados:
– El expresidente del Real Madrid C.F. sancionado con multa de 360000 euros por vulnerar la Ley Orgánica de Protección de Datos
– El Opus Dei sancionado a pagar 60101 euros.
– Multa de 6000 euros por compartir en el Emule una base de datos
– Multa de 600 euros por dejar a la vista 42 direcciones de e-mail
– Las empresas de telecomunicaciones y los bancos, los que más vulneran los datos de los ciudadanos
Sanción ejemplar a un spammer que envió 9000 millones de mensajes
75.000 euros es la multa impuesta a un spammer holandés por inundar de basura millones de buzones de correo.
La Comisión del OPTA, el organismo que regula la competencia de los mercados postales y de telecomunicaciones en Holanda, ha impuesto una multa de 75.000 euros a un spammer holandés que había enviado 9.000 millones de correos electrónicos no solicitados, promocionando píldoras para la erección, sitios pornográficos y productos de carácter sexual. Este negocio le había reportado unos beneficios de más de 40.000 euros. La multa es la más alta que ha impuesto OPTA por vulnerar la leyes que prohíben el envío de correos denominados spam.
Durante la investigación, OPTA usó la información ofrecida por Microsoft después de que la compañía recibiera en abril de 2005 uno de estos correos en un buzón de Hotmail y lo identificara como parte de una campaña de envío masivo de correos no solicitados. Microsoft ha apoyado más de 200 acciones legales contra spammers en todo el mundo, la mayoría trabajando con los organismos oficiales de EE.UU., Europa, Asia y Sudamérica. “Es muy buena señal que empresas como Microsoft asuman responsabilidades en relación a la seguridad de Internet. Y es fundamental que los sectores públicos y privados trabajen juntos si queremos que el spam sea eliminado eficazmente”, ha declarado Chris Fonteijn, presidente del OPTA.
Para determinar la cuantía de la multa, OPTA ha tenido en consideración diferentes factores. El primero de todos, el número de mensajes enviados. La persona multada había enviado un mínimo de 9.000 millones de mensajes.
Otro factor agravante fue el hecho de que esta persona usaba cientos de los denominados proxies. Además, el spammer consiguió ocultar su verdadera identidad usando los ordenadores de usuarios confiados como bases para enviar el correo electrónico no deseado.
Enviar correos no solicitados (comerciales o de otro tipo) a personas privadas está prohibido en Holanda desde el 19 de mayo de 2004. El spammer utilizó listas de correos cuyo origen es desconocido así como el denominado “dictionary attack”, una técnica que utiliza un software para localizar contraseñas y que en este caso usaba para generar direcciones de correos electrónico usando combinaciones aleatorias de números y letras.
La sección 11.7 del Acta de Telecomunicaciones establece que el receptor de cualquier correo electrónico con contenido comercial debe haber autorizado a su emisor el envío del mismo. El mensaje electrónico también debe revelar la identidad del emisor y especificar al receptor una forma de eliminar su dirección de esa lista de distribución para evitar recibir futuros correos electrónicos.
Fuente: www.baquia.com
Multa de 600 euros por dejar a la vista 42 direcciones de e-mail
Da igual que sea un despiste, pero todo aquel que en una actividad que no sea doméstica o personal deje a la vista las direcciones de correo electrónico de sus destinatarios está cometiendo una infracción multada hasta con 60.101, 21 euros por la Ley Orgánica de Protección de Datos (LOPD).
Enlaces relacionados:
Doña A.G. S. sabe bien que no se trata de una amenaza, pues ha tenido que pagar 601,01 euros por haber dejado a la vista 42 direcciones de email al enviar un mensaje promocional de telefonía móvil por encargo de una pequeña empresa conocida como La Cremallera, que estaba llevando a cabo una campaña para Vodafone.
Uno de los destinatarios de este mensaje sintió que se violaba su intimidad al exponer su dirección y no utilizar la opción de copia oculta (CCO), y presentó una denuncia ante la Agencia Española de Protección de Datos (AEPD), quien inició el proceso.
El correo electrónico se considera un dato personal desde 1999, según explica en su blog dedicado al derecho y las nuevas tecnologías Samuel Parra, y sólo se puede utilizar para los fines que su propietario ha autorizado. Este punto echó por tierra la defensa de la denunciada, quien alegaba que la dirección de correo de su denunciante se podía encontrar en Internet en diferentes páginas web.
“Esto (se refiere a LOPD) nos deja cristalino que aunque la dirección aparezca en Internet, si no tenemos consentimiento del interesado no podremos utilizarla para ningún tipo de comunicación”, explica Parra. La sentencia de la AEPD asegura que se ha violado el artículo 10 de la LOPD en el que se refiere al deber de secreto profesional. La agencia ha aplicado la menor multa contemplada para este tipo de infracción considerada leve.
En cualquier caso, la lección que se saca de esta multa es que en ningún momento se debe de copiar en el apartado CC (Copia Carbón) las direcciones de nuestros destinatarios si estamos realizando cualquier tipo de comunicación, que se salga del ámbito doméstico o personal.
Fuente: ElPais.com
– El expresidente del Real Madrid C.F. sancionado con multa de 360000 euros por vulnerar la Ley Orgá¡nica de Protección de Datos
– El Opus Dei sancionado a pagar 60101 euros.
– Multa de 6000 euros por compartir en el Emule una base de datos
– Sanción de 1000 euros por el envío de un único e-mail con información comercial
– Las empresas de telecomunicaciones y los bancos, los que más vulneran los datos de los ciudadanos
El Opus Dei sancionado a pagar 60101 euros
La Prelatura del Opus Dei Regi?n de España ha sido sancionada por la Agencia Española de Protección de Datos por una infracción grave, a la suma de 60.101,21 euros.
Los ciudadanos estamos acostumbrados a recibir publicidad en nuestro domicilio de entidades financieras o similares sin haber contratado ningún servicio con ellas. Sin embargo, al parecer, la necesidad de captar “clientes” llega hasta los organismos más insospechados, y en este caso, le ha tocado al Opus Dei.
La infracción grave deriva de un tratamiento de datos personales sin consentimiento (es decir, infracción del artículo 6 de la Ley Orgánica de Protección de Datos).
Si quieres leer más, como las alegaciones del demandado, o tener acceso a la Resolución completa, haz click en “Leer más”
La resolución nace de una denuncia por parte de un particular por recibir en su domicilio varias publicaciones del Opus Dei España. La denunciante, asegura que no ha facilitado sus datos personales ni por supuesto ha consentido para que se le remita publicidad.
Los inspectores de la AEPD constatan que efectivamente, los datos de la denunciante, aparecen en un fichero de datos personales titularidad del Opus Dei. La Prelatura manifestó que se recaban los datos de los suscriptores a través de un formulario de inscripción, que se encuentra a disposición de los interesados en parroquias y centros del Opus Dei, así como por medio de escritos de suscripción que se remiten por los propios interesados.
Curiosamente, la denunciante una vez iniciado el procedimiento sancionador, volvió a recibir otra publicación, hecho este fatal para el Opus Dei.
Junto a las comunicaciones que le remitían a la denunciante, aparecía la cláusula: “si le parece bien, se la seguiríamos enviando a no ser que usted no desee recibirla. En este caso, agradeceremos que nos lo indique para que se proceda a darle de baja en el fichero de Suscriptores“.
El problema viene, como casi siempre, en que el Opus Dei no tiene ese formulario que supuestamente debió utilizar la denunciante; esta falta de prueba del consentimiento será determinante, como veremos, para la resolución del caso.
Entre las alegaciones del Opus Dei, encontramos las siguientes:
1-La denunciante facilitó su consentimiento expreso para el tratamiento de sus datos personales cuando cumplimentó el citado formulario de inscripción, y su consentimiento tácito para el mantenimiento de dicho tratamiento al no haber sido devuelta ninguna de la publicaciones que se le han remitido.
2-La denunciante no ha ejercido el derecho de cancelación, no se ha opuesto al tratamiento y no ha devuelto ninguna de las publicaciones. La devolución de las publicaciones puede realizarse marcando la opción “rehusado? en el casillero que figura en el dorso de los sobres en los que se remiten éstas.
En resumen, manifiesta Opus Dei en su defensa, en primer lugar, que cuenta con el consentimiento expreso de la denunciante para el tratamiento de sus datos de carácter personal, al haber facilitado sus datos a través del formulario de inscripción (que no aparece), y, en segundo lugar, que existe consentimiento tácito al no haber sido devuelta ninguna de las publicaciones que se le han enviado ni haberse opuesto la denunciante al tratamiento.
En lo referente a la primera de las cuestiones planteadas, relativa a la obtención del consentimiento expreso de la denunciante por parte de Opus Dei, cabe señalar que es criterio mantenido por la Audiencia Nacional que el que trata los datos debe acreditar que el tratamiento se realiza de acuerdo con los dictados de la LOPD. Entre otras cabe destacar la Sentencia de la Audiencia Nacional, de fecha 11/05/2001, en la que sostiene que “el argumento de la prestación del consentimiento debe, por lo tanto rechazarse, al no constar acreditado el mismo. Repárese, por lo demás, que quien gestiona la base de datos, debe estar en condiciones de acreditar el consentimiento del afectado, siendo carga de la prueba del mismo su justificación, y la entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la acreditación del consentimiento de las personas en las que se basa la sanción?.
En lo referente a la segunda cuestión, relativa a la existencia de consentimiento tácito, debe señalarse que el artículo 3.h) de la LOPD define el consentimiento del interesado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.?
La Agencia afirma que cabría entender que existe un consentimiento tácito prestado por la denunciante de forma inequívoca, pues desde el año 1989 ha estado recibiendo las publicaciones de Opus Dei en el domicilio sin que se haya opuesto al tratamiento de sus datos personales. Sin embargo, aún admitiendo, en este caso, a la vista de las circunstancias concurrentes, la existencia de consentimiento, Opus Dei continuó tratando sus datos personales después da haber tenido conocimiento, en la visita de inspección realizada, con fecha 12/07/2005, de su oposición al tratamiento, remitiéndole la publicación correspondiente al mes de marzo de 2006, por lo que se ha producido una infracción del artículo 6 de la LOPD.
Por tanto, finalmente, se le imputa una infracción de ese artículo 6 con la consecuente multa.
La resolución se puede obtener desde AQUí: R/00869/2006 – PS:00213/2005
Fuente: SPS http://www.samuelparra.com/
– El expresidente del Real Madrid C.F. sancionado con multa de 360000 euros por vulnerar la Ley Orgánica de Protección de Datos
Enlaces relacionados:
– Multa de 6000 euros por compartir en el Emule una base de datos
– Sanción de 1000 euros por el envÃo de un único e-mail con información comercial
– Multa de 600 euros por dejar a la vista 42 direcciones de e-mail
– Las empresas de telecomunicaciones y los bancos, los que más vulneran los datos de los ciudadanos
autobus las palmas aeropuerto cetona de frambuesa