Sanciones

Un vecino de Las Palmas de GC denuncia a Jazztel (Orange) por un alta fraudulenta y le imponen dos multas de 35.000€ a la operadora

Un vecino de Las Palmas de Gran Canaria interpuso una denuncia ante la AEPD contra la compañía Jazztel. El motivo de dicha denuncia vino motivada por estar incluido en un fichero de moroso del cuál tuvo conocimiento cuando estaba en trámites de solicitar un préstamo para la adquisición de una vivienda.

Según Jazztel (ahora Orange), el vecino tenía una deuda con la compañía que ascendía a 341,04€ y procedió a registrarla en ASNEF. Según la propia investigación de la AEPD, la operadora realizó un tratamiento de los datos personales de la persona denunciante sin tener en cuenta los principios de consentimiento al tratamiento y de calidad de los datos. Sin el consentimiento inequívoco del denunciante incorpora sus datos personales a su fichero de clientes como titular de una línea de telefonía móvil; posteriormente, y siguiendo con la gestión de esos servicios, emite facturas a su nombre y –sin notificación de requerimiento de pago previo- incluye sus datos personales en Asnef y Badexcug asociados a una deuda que no le corresponde. Dicha acción ha resultado en la imposición de una sanción por vulneración del artículo 6.1 de la LOPD por la que se ha impuesto 35.000€ de multa y una segunda sanción por vulneración del artículo 4.3 de la LOPD por la que se ha impuesto otros 35.000€ de multa, para un total de 70.000€.

«Según la investigación, la persona denunciante no ha contratado con Jazztel servicios de telefonía y por razones no acreditadas fue dada de alta en su base de datos de clientes como titular de al menos una línea de teléfono. Orange no ha aportado contrato alguno suscrito por la persona denunciante. »

«Hay grabaciones sonoras donde la única persona que se identifica es la que dice ser el solicitante de contratación, no se identifica la voz femenina y no hace constar el nombre de la empresa de servicios contratada por Jazztel para dicha verificación, que trata de grabar la contratación y luego la verificación de esa contratación. Tampoco Orange ha aportado documento que acredite la contratación de una empresa de servicio para ese fin.»

«Orange no ha acreditado que remitiera el contrato para su firma o desistimiento, o la nueva tarjeta SIM que debió recibir la persona solicitante para poder usar el teléfono ni la dirección postal donde fue remitida.»

«Como consecuencia de dichos servicios emitió facturas que no fueron pagadas y que más tarde fueron el motivo de la inclusión de los datos personales de la persona denunciante en los ficheros de morosos. No consta que le fueran notificados los requerimientos de pago previos a la inclusión.»

«En este caso, consta documentado que en los ficheros de Jazztel se encuentran registrados los datos de la persona denunciante, asociados a unos servicios de telefonía no solicitados por ella. Tales datos personales fueron registrados en los ficheros de la empresa y tratado para la emisión de comunicaciones, facturas, gestiones de cobro e inclusión en ficheros de solvencia patrimonial y crédito.»

«El tratamiento realizado por parte de Jazztel no se ajusta a lo establecido en la LOPD. Para que dicho tratamiento resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Por tanto, corresponde a Orange acreditar que cuenta con el consentimiento de la denunciante para el tratamiento de sus datos personales y no consta que el operador lo tuviera con posterioridad. Resulta, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados por parte de dicha operadora, que trató los datos de la denunciante sin su consentimiento.

La falta de pruebas (el contrato firmado -que en la grabación dicen enviar para devolver firmado o desistir en siete días- acompañado de copia de DNI o cualquier documento acreditativo de la identidad, o el recibí del envió del contrato y la tarjeta SIM con identificación del receptor y documentación de dicha identificación) que acrediten que la persona denunciante otorgó su consentimiento efectivo a la entidad denunciada en el tratamiento pone de manifiesto que esta operadora no ajustó su comportamiento, en el presente caso, a la diligencia de la actividad profesional que desarrolla exige a fin de garantizar el respeto al derecho fundamental a la protección de los datos personales.

Es requisito indispensable para que los datos del deudor puedan ser incluidos en un fichero de los creados al amparo del artículo 29.2, que quede acreditada la existencia de una deuda cierta vencida y exigible, y que ésta haya sido requerida previamente de pago antes de comunicar los datos del deudor al responsable del fichero común. Además, la obligación establecida en el artículo 4.3 de la Ley Orgánica 15/1999, implica que los datos que se incorporen a cualquier fichero deberán ser exactos y responder en todo momento a la situación actual de los afectados. La exigencia de que la deuda sea “cierta”, (artículo 38.1.a) del R.D. 1720/2007) responde al principio de calidad de los datos plasmado en el artículo 4.3 de la LOPD.

En este caso, Jazztel ha emitido facturas asociadas a los datos personales de la persona denunciante por servicios que no había contratado, asociándolos a una deuda que no le correspondía y, sin haberle requerido previamente, aquella entidad instó el alta de sus datos personales en ficheros de morosos, según el detalle que consta en los Hechos Probados.

En consecuencia, la persona denunciante fue tratada como deudora de una cantidad que no le corresponde, resultando que Jazztel hizo uso de unos datos inexactos.

Esta incidencia se produjo porque no efectuó las oportunas comprobaciones en los datos personales recogidos, y las consiguientes subsanaciones, que hubiesen evitado que se produjeran los hechos que sirven de causa al presente procedimiento sancionador.»

Fuente. AEPD.

Procedimiento por infracción del art. 12.2 contra el Ayuntamiento de Telde por cesión de datos a VALORA GESTIÓN TRIBUTARIA

Un ciudadano de la ciudad de Telde presentó en agosto y octubre de 2014 denuncia ante la AEPD contra el Ayuntamiento de Telde por haber cedido sus datos personales sin su consentimiento al organismo VALORA GESTIÓN TRIBUTARIA para la gestión de cobro de la tasa de basura.

El Ayuntamiento de Telde presentó como alegación que con fecha 26/11/2013 y posteriormente con fecha 3/06/2013 se acordó en el pleno municipal delegar la gestión de recaudación en Valora.

Dicha delegación de los servicios de recaudación no nació de un contrato o cualquier otra negocio jurídico sino en virtud de una delegación de funciones.

El Ayuntamiento facilitó los datos a Valora (facilitó las cuentas bancarias) el resto de los datos ya los tenía Valora al gestionar los datos del IBI y afirmó haber notificado a los contribuyentes sobre este cambio en la gestión recaudatoria.

El artículo 12 de la LOPD estipula lo siguiente: “Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

De la lectura del citado artículo 12 se deduce que, para que concurra la figura del “acceso a los datos por cuenta de tercero”, la relación deberá estar regulada en un contrato que deberá constar por escrito o en alguna forma que permita acreditar su celebración y contenido. El citado contrato permite que el responsable del fichero habilite el acceso material a datos de carácter personal por parte de la entidad que va a prestarle un servicio –encargado del tratamiento- sin que, por mandato expreso de la ley, pueda considerarse dicho acceso como una cesión de datos. Sin embargo, ese acceso o tratamiento por parte del que presta el servicio aparece rodeado de un abanico de garantías para los afectados que el propio artículo 12 impone. La primera de ellas estriba en que haya una constancia expresa de que el responsable del fichero ha encargado el tratamiento de los datos, para lo cual se exige que conste en un contrato. A este respecto, el artículo 12 impone un requisito formal por cuanto el contrato debe constar escrito o, en todo caso, debe acreditarse formalmente su celebración. Es decir, la norma impone que siempre exista una relación jurídica de naturaleza contractual entre el responsable y el tercero al que encarga el tratamiento y, además, exige una constancia formal de dicha relación, que conste por escrito o en cualquier otra forma que permita acreditar su celebración y contenido, que deberá especificar las circunstancias previstas por los apartados 2 y 3 del citado precepto.

En este caso, la delegación de facultades de gestión y recaudación tributaria por parte de la entidad Ayuntamiento de Telde al Cabildo de Gran Canaria, que las ejerce a través del organismo autónomo Valora Gestión Tributaria, se encuadra en la situación prevista en el referido artículo 12 de la LOPD y, por tanto, esta actuación encaja en la figura del encargado del tratamiento. Conforme a la citada normativa, el organismo Valora Gestión Tributaria interviene en los hechos en su condición de encargado de tratamiento, por virtud de la citada delegación del Ayuntamiento de Telde, siendo ésta última entidad la responsable del fichero o tratamientos, por cuanto tiene el poder de decisión sobre la finalidad, contenido y uso del tratamiento.

Conforme a lo dispuesto en el artículo 12 de la LOPD y en el artículo 20 del Reglamento de desarrollo de dicha Ley Orgánica, el acceso a los datos por parte de un encargado del tratamiento que resulte necesario para el desarrollo de las tareas encomendadas por el responsable no se considerará comunicación de datos, siempre y cuando se cumpla lo establecido en la citadas normas salvo que el acceso “tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.

En este caso, la entidad Valora Gestión Tributaria se encarga de la gestión y recaudación de la Tasa de Recogida de Residuos Sólidos Urbanos establecida por el Ayuntamiento de Telde y lo hace en representación de esta entidad, sin que de ello resulte una relación que vincule a Valora Gestión Tributaria con los contribuyentes. El citado Ayuntamiento es quien ostenta la condición de responsable del fichero, no pudiendo ser la entidad colaboradora Valora Gestión Tributaria más que una encargada del tratamiento que accede a los datos de las personas obligadas al pago de la tasa con la única finalidad de ejercer la potestad que le ha sido delegada por el Ayuntamiento, que no puede utilizarlos para ninguna otra actividad y debe tratarlos conforme a las instrucciones del responsable del tratamiento. Asimismo, deberá devolver los datos a los que accede una vez concluida la prestación del servicio.

eEn consecuencia, la relación jurídica que vincula al Ayuntamiento de Telde y al organismo Valora Gestión Tributaria para la gestión de aquella tasa deberá constar por escrito y cumplir las exigencias formales previstas en el artículo 12 de la LOPD antes reseñadas, aunque en este caso no se trate de un contrato en el sentido de acuerdo de voluntades. El contenido de ese encargo del tratamiento regulado en el apartado 2 del citado artículo puede incorporarse en los actos de la delegación de facultades o constar por separado en un documento elaborado con esta concreta finalidad.

En el presente caso, existe constancia formal sobre la relación jurídica que vincula al Ayuntamiento de Telde y a Valora Gestión Tributaria, que ampara el acceso por parte de ésta a los datos personales de los sujetos obligados al pago de la Tasa de Recogida de Residuos Sólidos Urbanos, por virtud de la delegación de competencias formalizada al amparo de la normativa aplicable, pero la documentación formalizada no contiene ninguna referencia al artículo 12 de la LOPD, incumpliendo las obligaciones establecidas en relación al contenido del contrato de encargado del tratamiento. A este respecto, la Sentencia del Tribunal Supremo de 17/04/2007 declaró lo siguiente:

“… lo que necesariamente exige una forma que refleje y deje constancia no sólo de su celebración sino de su contenido, que incluso se especifica en sus cláusulas imprescindibles en el propio precepto. Tal exigencia responde a la finalidad de la norma de garantizar que el acceso de terceros a los datos de carácter personal, objeto de tratamiento automatizado, se produzca únicamente en los casos y con las limitaciones legalmente establecidas, plasmándose las condiciones, finalidad y alcance de la cesión de forma que resulte controlable en su desarrollo y cumplimiento”.

Este planteamiento, que resulta de la aplicación de la normativa reguladora de la protección de datos de carácter personal, no se modifica por el hecho de que los encargos que se realicen a la entidad Valora Gestión Tributaria se lleven a cabo mediante acuerdos de delegación de facultados adoptados de conformidad con la normativa que el Ayuntamiento de Telde cita en sus alegaciones. Y tampoco el hecho de que Valora Gestión Tributaria esté configurado como un ente instrumental creado por el Cabildo de Gran Canaria para la gestión y recaudación de ingresos de derecho público y para prestar asistencia y apoyo técnico a los Municipios de la Isla supone que aquellas delegaciones de facultades queden fuera del ámbito de aplicación de la LOPD y sus normas de desarrollo, con el alcance que en cada caso corresponda.

El artículo 44.2.d) de la LOPD en su vigente redacción aprobada por Ley 2/2011, considera infracción leve: “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.”

En el presente procedimiento se imputa a la entidad Ayuntamiento de Telde una infracción del artículo 12.2 de la LOPD, que aparece tipificado como infracción leve en el mencionado artículo 44.2.d), que resulta de la falta de instrucciones a Valora Gestión Tributaria sobre las circunstancias previstas en aquel artículo, en relación con la delegación de las facultades de gestión, liquidación, inspección y recaudación de tributos e ingresos, en la tasa de recogida de residuos sólidos urbanos en cuanto a los apartados a) de gestión tributaria y b) de recaudación voluntaria, acordada por dicho Ayuntamiento en el Pleno celebrado en fecha 03/06/2013.

En el presente caso, la entidad Ayuntamiento de Telde, aunque se ha mostrado dispuesta, no ha justificado ante esta Agencia haber adoptado ningún acuerdo dirigido a subsanar las deficiencias formales que han motivado el procedimiento. Por tanto, procede requerir la adopción de medidas para impedir que en el futuro pueda producirse de nuevo una infracción de lo dispuesto en el artículo 12.2 de la LOPD.

Fuente. AEPD. PS-AAPP-0050-2015

Procedimiento sancionador a VALORA GESTIÓN TRIBUTARIA por infracción grave al vulnerar el artículo 9 de la LOPD

La entidad VALORA GESTIÓN TRIBUTARIA, organismo autónomo local de carácter administrativo creado por el Cabildo de Gran Canaria, ha sido sancionada por incumplimiento del artículo 9 de la LOPD, en relación con el artículo 92 del RD 1720/2007, de 21 de diciembre.

Los hechos se remontan al 26/02/2016 cuando un ciudadano presentó la denuncia ante la AEPD al recibir en su domicilio, una notificación de VALORA mediante carta certificada en la que el frontal de la misma constaba, junto a sus datos personales, el motivo de la comunicación: «Notificación de embargo de cuentas corrientes» y «Providencia de embargo trabajador«, siendo esa información accesible a terceras personas.

 En la primera carta: NOTIFICACIÓN DE EMBARGO DE CUENTA CORRIENTE NOTIFICACIÓN Nº: *********1 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

 Y en la segunda: EMBSAL: PROVIDENCIA EMBARGO TRABAJADOR NOTIFICACIÓN Nº: *********2 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

Se imputa a la entidad VALORA GESTIÓN TRIBUTARIA. el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

El Artículo 92.3 del reglamento, bajo el epígrafe, Gestión de soportes y documentos dice: En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

«Así, VALORA GESTIÓN TRIBUTARIA. está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de los embargos correspondientes a los ciudadanos, que no impide de manera fidedigna que los datos personales de éstos: nombre, apellidos y domicilio completo, puedan ser accesibles por terceros, asociados a su situación de «embargado».»

«VALORA GESTIÓN TRIBUTARIA manifestó en su escrito de 31 de agosto de 2016, que en los sobres en cuestión sólo constan los datos del titular a efectos de notificación, nombre del procedimiento administrativo seguido en cada caso e identificación numérica del mismo, no considerando que con ello se esté facilitando ningún dato que deba estar protegido a efectos de la LOPD, y todo ello en base a identificar cada notificación remitida, así como informar al ciudadano del procedimiento seguido en que es parte interesada.

Sin embargo, tal alegato no puede ser aceptado.

En primer lugar, lo que es objeto de valoración en el presente caso es la vinculación de las expresiones que figuran en las cartas (notificación en embargo de cuenta corriente y providencia de embargo trabajador) con los datos del denunciante. La indicación en los frontales de las cartas del nombre del procedimiento del que se trata, o sobre el asunto que versa el mismo, lo que unido a los datos del denunciante, nombre, apellidos y domicilio, permite la asociación de ambas informaciones y la posibilidad de que terceras personas puedan acceder a ellos. Esta forma de comunicación impide salvaguardar la confidencialidad de la correspondencia, pues asocia las expresiones cuestionadas con los datos personales del destinatario, y en el caso que nos ocupa, permite conocer que el denunciante está en inmerso en un proceso de embargo.»

«El artículo 44.3.h) de la LOPD, considera infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. En el caso examinado, de las actuaciones practicadas ha quedado acreditado que VALORA GESTIÓN TRIBUTARIA vulneró el artículo 9 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar dos cartas certificadas con la expresión “notificación en embargo de cuenta corriente”, en una y “providencia de embargo trabajador” de manera visible, permitiendo la vinculación de esta información con los datos personales del denunciante.»

Visto este procedimiento sancionador AAPP-00065/2016 se puede percibir claramente la actitud nada diligente de este organismo a la hora de comunicar a la ciudadanía las notificaciones, poniendo a disposición pública de terceros información que es de carácter confidencial.

Nueva sanción a Vodafone por incluir ilegalmente a un socio de FACUA en un fichero de morosos

Es la segunda multa de 50.000 euros que recibe la operadora en menos de tres meses tras las reclamaciones de la asociación en Málaga.

FACUA-Consumidores en Acción ha logrado que Vodafone reciba una nueva sanción de 50.000 euros de la Agencia Española de Protección de Datos (AEPD) por incluir ilegalmente a la usuaria Pilar Bermúdez en el fichero de morosos de Asnef.

Esta socia de FACUA Málaga solicitó la baja de la operadora y sin embargo siguió recibiendo cobros en su entidad sin que le llegasen las facturas ni en papel ni online. Pilar reclamó a Vodafone que le remitiera copia de las mismas, indicándoles que en el momento que dispusiera de ellas procedería a realizar el abono.“Queríamos revisar que las facturas estaban bien, nosotros no nos negábamos a pagar”, añade la afectada.

Tras la reclamación la compañía remitió a la usuaria las facturas, sin embargo ese mismo día también recibió una notificación del fichero de solvencia patrimonial Asnef-Equifax, donde se le informaba de la inclusión de sus datos en el mismo por la existencia de una deuda con Vodafone.

Ante esta situación la usuaria acudió a FACUA para denunciar su caso. Desde la asociación estudiaron los hechos y notificaron a la Agencia Española de Protección de Datos la irregularidad. Este organismo indicó que no se formuló requerimiento previo de pago a la inclusión de la usuaria en el mencionado fichero, lo que supone una vulneración de la normativa vigente en materia de protección de datos.

Debido a estos hechos la AEPD ha sancionado a Vodafone con 50.000 euros por la infracción grave cometida tras vulnerar los derechos que asisten en estos casos a los consumidores.

Es la segunda multa de 50.000 euros que recibe la operadora en menos de tres meses tras las reclamaciones de FACUA Málaga por incumplimientos de la normativa de protección de datos personales.

FACUA recuerda que los usuarios tienen derecho a recibir las facturas en papel o vía telemática si han elegido esta segunda opción. Así lo determina el Real Decreto 1619/2012, de 30 de noviembre que detalla claramente que “para la expedición de la factura electrónica es necesario siempre que previamente el destinatario haya manifestado expresamente su consentimiento a recibirlas a través de este medio”.

La asociación advierte que se pueden reclamar los recibos en papel si han dejado de llegar por este medio sin previo aviso; y que en ningún caso se puede cobrar al usuario por la emisión de este formato de facturación.

Por otra parte FACUA lleva a cabo la campaña #yonosoymoroso en la que anima a los usuarios a denunciar a las empresas que reclamen el pago de deudas fraudulentas. Los consumidores tienen a su disposición un formulario de reclamación para exigir a las autoridades sanciones ante este tipo de prácticas.

La Agencia Española de Protección de Datos indica que tal y como la ley señala los datos de un cliente sólo podrán ser incluidos en ficheros de morosos si hay «existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada».

Fuente: Facua

https://www.facua.org/es/noticia.php?Id=8403

Sanción por envío de email a múltiples destinatarios sin copia oculta

La AEPD ha sancionado a la entidad Fundación Santa María la Real por el envío de un correo electrónico realizado el pasado 31 de mayo de 2012 sin copia oculta, figurando en el mismo la dirección electrónica de unos 1.000 destinatarios distintos.

La entidad sancionada reconoció los hechos que se le imputan a fin de atenuar la graduación de la sanción que fue tipificada como GRAVE. En las diligencias abiertas quedó acreditado como hecho probado la realización del envío del correo electrónico objeto de la denuncia con los datos de múltiples destinatarios a la vista.

El artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

En el presente caso, ha quedado acreditado en el expediente que el denunciante recibió un correo electrónico remitido por el denunciado, donde se visualizaban datos personales de múltiples personas, (direcciones de correo electrónico) (incluido el suyo propio) por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.

Teniendo en cuenta los criterios de graduación de las sanciones recogidos en el citado artículo 45.4 y el contenido del art. 45.5.d) de la LOPD, al haber reconocido el denunciado su culpabilidad y en especial la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento procede aplicar lo dispuesto en el art. 45.5 de la LOPD e imponer la sanción dentro del intervalo de las calificadas como
leve.

Tomando en consideración la obtención licita de los datos de correo electrónico del denunciado, el número de destinatarios (más de mil), así como el tipo de información a la que hacía referencia el correo (información sobre la presencia de la misma en la Feria del Libro), por todo ello procede la imposición de la sanción en el importe de 2000 €.

Sanción de 6.000€ por indicar en la ventanilla del sobre «COBRO DE MOROSOS» en la reclamación de una deuda cierta.

La AEPD ha sancionado a una entidad de recobro de deudas por una infracción del artículo 9.1 de la LOPD con una multa de 6.000€.

Según se desprenden del procedimiento sancionador la empresa Seguridad en la Gestión SL recibió el encargo de la gestión de recobro de una deuda cierta que ascendía a 436,85€.

En la gestión de recobro, la entidad Seguridad en la Gestión, envío varios escritos, cinco en una primera fase, en la que la empresa de recobro intenta gestionar el recobro, en todas ellas y, siempre según el denunciante, en la tercera carta aparece en el anverso del sobre en color azul la expresión VÍA JUDICIAL, dejando patente cuál es el contenido del mismo. En la cuarta y quinta carta, el sobre ventanilla en cuyo interior se encuentra la carta, tiene estampado en el reverso en gran tamaño y color rojo “COBRO DE MOROSOS”, dejando claro ante cualquiera que pueda ver el sobre cuál es el contenido de la carta.

En el inicio de las actuaciones previas de la AEPD, la misma recibió de la empresa denunciada, escrito en el que entre otras cuestiones se venía a afirmar que:

Que una vez comprobados los registros de sus gestiones y a la vista de los sobres adjuntados al requerimiento de la Inspección de Datos comunican que “no podemos reconocerlos de ninguna manera como enviados por Seguridad en la Gestión”, ya que no existe indicación en los sobres adjuntados de que los mismos vayan dirigidos a la persona física o jurídica relacionada con la empresa o que tengan relación con el denunciante.

No es práctica habitual de Seguridad en la Gestión el envío de sobres con las indicaciones “VÍA JUDICIAL” y “COBRO DE MOROSOS”.

Nuevamente, el denunciante informa a la AEPD de los siguientes hechos:

El 28 de junio de 2011, recibe el afectado una nueva carta de Seguridad en la Gestión advirtiendo de la interposición de una demanda judicial por la cantidad adeudada, que evidentemente es su derecho. El sobre de la remisión está dentro de la más absoluta normalidad, se remite original del sobre ventanilla y de la carta. En la parte superior Izquierda del sobre consta el remitente “GRUPO SEGESTIÓN” y las direcciones de la sede central y de las siete delegaciones.

El 11 de julio de 2011, recibe el afectado una nueva en los mismos términos que las anteriores. En el sobre ventanilla de la remisión se encuentra en la parte inferior Izquierda el texto “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”, se adjunta original del sobre ventanilla y de la carta.

También se adjuntan otras cartas, de fecha agosto y septiembre de 2011, y dos sobres de ventanilla originales en los que en el anverso consta “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”.

Ante estos hechos, la AEPD se imputa a Seguridad en la Gestión SL el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Así, Seguridad en la Gestión SL está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de sus reclamaciones y requerimientos de deuda a sus clientes que no impidió de manera fidedigna que por parte de terceros se pudiera acceder a datos personales de los mismos, como es la situación de deudor moroso asociado a su nombre apellidos y domicilio completo.

El artículo 44.3.h) de la LOPD, considera infracción grave:
“Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Dado que ha existido vulneración del “principio de seguridad de los datos”, recogido en el artículo 9 de la LOPD, se considera que Seguridad en la Gestión SL ha incurrido en la infracción grave descrita.

En el caso examinado, ha quedado acreditado que Seguridad en la Gestión SL vulneró el artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar sobres con la indicación “COBRO DE MOROSOS” y “VIA JUDICIAL” en grandes caracteres que permitía su asociación con los datos personales del denunciante.

Valorados los criterios de graduación de las sanciones, establecidos en el artículo 45.4, en particular el carácter continuado de la infracción y la vinculación de la actividad de la entidad denunciada con la realización de tratamientos de datos de carácter personal, se establece la imposición de multa de 6.000 € por la infracción del artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de la LOPD, de la que Seguridad en la Gestión SL es responsable.

France Telecom es sancionada con 20.000€ por incluir los datos de un cliente en la guía de abonados sin consentimiento del abonado.

La operadora de telefonía France Telecom ha sido sancionada por al AEPD por incluir los datos de un cliente que dió de alta una línea con ellos en junio del 2010 y que en marzo del 2011 fue conocedor de que sus datos habían sido incluidos en una guía de abonados sin su consentimiento.

Entre los hechos probados mas relevantes, destacamos los siguientes:

1.- Que la denunciante contrató con Ya.com una línea fija, y que en marzo del 2011 tuvo conocimiento de que su teléfono, nombre y apellidos y dirección aparecían publicadas en una guía de abonados en internet sin que hubiera prestado su consentimiento para ello.

2.- Que el 18 de abril se realiza una captura de pantalla de la página web http.//blancas.guias118111.es. En la misma consta el nombre, dos apellidos y domicilio de la denunciante y su número de teléfono.

3.- El número de teléfono de la denunciada le fué asignado por France Telecom.

4.- Se solicitó a la operadora que aportara el documento que acreditara el consentimiento de la denunciante para la cesión de datos a la CMT, hasta en dos ocasiones, sin obtener respuesta documentada.

5.- La denunciante envió un correo electrónico a France Telecom solicitando que acreditaran en qué momento habían obtenido el consentimiento para la cesión. France Telecom le informó que agilizaría el trámite y con posterioridad le requieren que cumpla con el procedimiento de cancelación y que envíe un escrito con copia del DNI.

Entro los fundamentos de derecho queremos destacar los siguientes:

La Ley Orgánica 15/1999 de Protección de datos de carácter personal establece en su artículo 28.4 que “los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica”.

El examen de esa normativa nos obliga a hacer referencia, en primer término, a la Ley 32/2003 General de Telecomunicaciones, de 3 de noviembre. El artículo 34 del citado texto legal, bajo la rúbrica “protección de los datos de carácter personal”, establece:

“Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público, deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legislación vigente”.

El artículo 38.6 de la Ley 32/2003 dispone que “La elaboración y comercialización de guías de abonados a los servicios de comunicaciones electrónicas y la prestación de servicios de información sobre ellos se realizará en régimen de libre competencia, garantizándose, en todo caso, a los abonados el derecho a la protección de sus datos personales, incluyendo el de no figurar en dichas guías I.I.I.” 

El artículo 67 del Real Decreto, bajo la rúbrica “Guías de servicios de comunicaciones electrónicas disponibles al público”, establece en el apartado 2:
“Para que los datos correspondientes a un abonado a los que se refiere el artículo 30.4 sean incluidos por primera vez en algún tipo de guía o facilitados a otra entidad para su inclusión en ella o para la prestación de servicios de información o de consulta sobre ella, será preciso el consentimiento expreso de dicho abonado. 

A estos efectos, se entenderá que existe consentimiento expreso de un abonado cuando el operador le solicite su consentimiento para la inclusión de tales datos, con indicación expresa de cuáles serán éstos, el modo en que serán incluidos en la guía y su finalidad, y este le responda dando su aceptación. También se producirá cuando este se dirija por escrito a su operador solicitándole que sus datos figuren en la guía.

Si el abonado no hubiera dado su consentimiento expreso, se entenderá que no acepta que se publiquen en la guía correspondiente sus datos”.

A la luz de lo expuesto en los párrafos precedente estimamos que la conducta anteriormente descrita, imputable a FRANCE TELECOM ESPAÑA, S.A., vulnera el artículo 11.1 de la LOPD. El artículo 44.3.k) de la citada Ley Orgánica tipifica como infracción grave “La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave”.

Ante estos hechos el Director de la AEPD ha resuelto IMPONER a la entidad FRANCE TELECOM ESPAÑA S.A., por una infracción del artículo 11.1 de la LOPD, tipificada como infracción grave en el artículo 44.3.k) de dicha norma, una multa de 20.000 € (veinte mil euros) de conformidad con lo establecido en los artículos 45.5 y 45.2 de la citada Ley Orgánica.

Fuente: AGPD

Protección de datos sanciona a una comunidad de vecinos por exponer datos de un inquilino en el tablón de anuncios de la comunidad

La AEPD ha impuesto una sanción por vulnerar el deber de secreto a una comunidad de vecinos que publicó los datos personales de una inquilina como deuda de las cuotas de comunidad en el tablón de anuncios a la entrada de la urbanización.

Según consta en el procedimiento sancionador se presentó la denuncia por una inquilina por una infracción de la normativa de protección de datos por parte de la Comunidad de Propietarios en la que la misma reside a titulo de arrendataria. Denuncia que la citada Comunidad expuso en un tablón cerrado con llave, durante el mes de mayo de 2011, situado sobre un muro en el acceso y entrada a la urbanización donde se encuentra ubicada la vivienda, una relación de impagados, entra las que figura su nombre y apellidos asociados a una deuda de la vivienda letra I, sin ser la propietaria de la vivienda.

El procedimiento deja constancia de los siguientes hechos probados:

1.- La existencia de dos notas de MOROSIDAD en el tablón de anuncios de la comunidad.

2.- En la nota interna que se ha hecho entrega a todos y cada uno de los propietarios, se incluye la deuda de la vivienda afectada y se asocia dicha deuda a la inquilina, apareciendo su nombre y apellidos.

3.- La inquilina presenta el correspondiente contrato de arrendamiento de la finca.

El artículo 10 de la LOPD, establece que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.

Dado el contenido del citado artículo 10 de la LOPD, ha de entenderse que el mismo tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia n. 361, de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la protección de datos a que se refiere la citada Sentencia del Tribunal Constitucional 292/2000, y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

En el presente supuesto, la Comunidad es la responsable de los ficheros que albergan los datos de los propietarios, en este caso también de algunos inquilinos obligados al abono de gastos a la Comunidad según consta en los contratos aportados. Respecto a que al no ser propietaria de la vivienda su dato se vio expuesto en el tablón de la comunidad, se debe indicar que en el contrato que la denunciante firmó se
desprende que es ella la que debe satisfacer las cuotas comunitarias, y en el tablón no se la identificaba como propietaria sino como inquilina, lo que no quiere decir que no esté sujeta a las potestades que la Comunidad ostenta para liquidar los gastos adeudados a la misma.

Los datos recabados por la propia Comunidad de Propietarios no necesitarán el consentimiento de los copropietarios y en este caso inquilino-denunciante para llevar a cabo su labor principal, ya que existe una relación copropietarios/Comunidad, en base a que esta ha de asegurar el cumplimiento de las obligaciones legales, debiendo asumir todas y cada una de las obligaciones reflejadas, bien por los estatutos de la propia Comunidad, bien por Ley.

No obstante, la posibilidad de tratar estos datos, ha de llevarse a cabo bajo el principio del secreto de los mismos, de modo que se convierte en obligatoria la observancia de lo dispuesto en el artículo 10 de la LOPD.

No existe en el presente caso causa que justifique la exposición en tablón de anuncios de los datos como deudor de la denunciante, con independencia de que su condición estatutaria a nivel de Comunidad sea la de inquilina, pues la que actuó fue la Comunidad, exigiendo el abono de las cuotas a las que parece ser la misma se obligó con la arrendataria. En tal sentido que parece ser era conocido por la Comunidad es indiferente en este caso que no fuera propietaria, pues carecía en el caso examinado de apoyo legal para exponer sus datos que pudieron ser conocidos por los terceros que transitaran por dicho espacio, fuesen amigos, parientes, vecino u otros inquilinos.

En el presente caso, con la no observancia del sentido del artículo 10 de la LOPD a la vista de la Ley de Propiedad Horizontal, al exponer el listado de deudores al público, no solo a los propietarios, sino a terceros que pudieran transitar por dicha zona, se acredita que la Comunidad ha infringido la normativa de Protección de Datos. La Ley no habilita esta comunicación, por no cumplirse los requisitos establecidos en la LPH, ni constar la
prestación de consentimiento por parte del denunciante. Ello supone incurrir en la conducta tipificada como grave en el artículo 44.3.d) de la LOPD que determina como tal:” La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.

Por ello, se ha impuesto a esta COMUNIDAD DE VECINOS una sanción por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.000€.

Protección de datos sanciona RENFE por no instalar los carteles de zona videovigilada y captar imágenes de espacios públicos

Según se hace constar en el procedimiento sancionador, la Guardia Civil levantó varias actas en las que se ponían de manifiesto las posibles infracciones a la normativa de protección de datos en materia de videovigilancia observadas en las estaciones de la red de Cercanías de Olivares-Villanueva del Ariscal, Sanlúcar la Mayor y Benacazón, todas en Sevilla.

En dos de esas actas  se constata la “inexistencia de carteles informativos de señalización de zona videovigilada, existiendo cámaras de seguridad”.

 Entre los principales hechos probados, según el procedimiento sancionador, destacamos:

 1.- La existencia del registro del fichero de VIDEOVIGILANCIA.

2.- La instalación de un sistema de videovigilancia de las estaciones que es gestionado por RENFE OPERADORA, que es la entidad que gestiona de forma integral el servicio.

3.- La finalidad de la instalación del sistema es la seguridad de los bienes e instalaciones de cada estación y de los viajeros, evitar robos o vandalismo y proteger el patrimonio.

4.- De la información aportada se desprende que las cámaras exteriores situadas en las zonas de parking y dado que disponen de zoom y movimiento, pueden recoger imágenes de espacios públicos con acceso indiferenciado a personas y vehículos, permitiendo identificar matriculas de vehículos, personas que se bajen de dichos vehículos y personas que accedan a pie a las estaciones, con independencia de que dichos espacios sean o no titularidad de ADIF, gestionados en cuanto a cámaras por RENFE OPERADORA.

5.- Respecto de la información facilitada a terceros sobre la existencia de sistemas de videovigilancia, se han aportado fotos de espacios interiores de la estación, pasillos de una serie de carteles informativos ubicados en diferentes partes de las estaciones. El contenido de los carteles alude a la LOPD y se remite a RENFE-OPERADORA para el ejercicio de los derechos.

6.- RENFE OPERADORA tiene antecedentes de haber cometido infracciones anteriores en materia de protección de Datos.

7.- La denunciada no ha acreditado a lo largo del procedimiento la retirada del sistema de videovigilancia implantado en los parkings que captan espacio público.

 La cuestión a dilucidar se centra en las cámaras que captan imágenes de toda la extensión de los parkings.

Resultaría admisible un sistema que captara, como se ha expuesto, la parte mínima imprescindible para la seguridad del acceso o de la vigilancia de los muros o partes por las que se puede acceder a la estación, con la advertencia de información correspondiente.

Este no es el caso. Se trata de captación de imágenes de un lugar de libre acceso de propiedad de ADIF, gestionado por RENFE, responsable del fichero.

En el presente supuesto, las imágenes se captan identificando y haciendo identificables a las personas y vehículos en los espacios destinados a parkings y en los espacios destinados al acceso a la estación. Los vehículos que se aparcan son propiedad de particulares, el acceso es libre y no permanecen cerrados en ningún momento, sin que existan restricciones para su uso o para el tránsito a pie.

 Junto a ello, y a mayor abundamiento, hay tres elementos a resaltar:

a) Dichos aparcamientos no consta que sean vigilados físicamente por personal alguno de RENFE.

b) Con independencia de su titularidad RENFE no es responsable de la seguridad en el mismo (por ejemplo, las responsabilidades por robo o daños en vehículos que implican estacionar en dicho espacio no parece que puedan ser imputadas según la Ley 40/2002 de aparcamientos privados) ni sobre ella recae un deber concreto de custodia de los mismos, ya que es gratuito.

c) La ley 39/2003 del Sector Ferroviario al definir dominio público, no se refiere a los parkings aledaños a las estaciones y no se definen a los mismos como pertenecientes al dominio público (artículos 12 y 13).

Por tanto, se trata de un espacio público sobre el que la entidad no ostenta especiales deberes de protección, debiendo encargarse de la misma con carácter general las Fuerzas y Cuerpos de Seguridad del Estado.

En el supuesto presente, las videocámaras realizan tratamientos de datos de carácter personal excesivos captando imágenes de la vía pública y viandantes que circulen por los parkings.

La infracción del artículo 6.1 de la LOPD se tipifica originariamente como incluida en el artículo 44.3.b) de la LOPD. En tal sentido supone “Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”

Teniendo en cuenta estos aspectos, que se han desarrollado a lo lardo del procedimiento sancionador PS/00166/2012, el Director de la AEPD ha resuelto: IMPONER a la entidad RENFE OPERADORA, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 40.001 €, de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

FUENTE: AGPD

Sanción de 6.000€ a UGT por incumplir las medidas de seguridad y del deber de secreto al compartir un fichero con datos de afiliados a través de eMule

La FEDERACIÓN ESTATAL DE INDUSTRIAS AFINES DE LA UNIÓN GENERAL DE TRABAJADORES, fué denunciado ante la AEPD por el AYUNTAMIENTO DE OURENSE motivado por la entrada de un correo electrónico de la Policía Local de Ourense que manifiesta que ha encontrado y descargado un archivo de un usuario de Internet, en un entorno compartido en Emule, siendo el nombre del archivo “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”.

Se verifica dicho archivo y consta lo siguiente:

– Se verifica que se encuentra un fichero denominado “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”, el cual contiene una base de datos en formato de Microsoft Access.
– Se verifica que al abrir la base de datos se encuentra un formulario en cuyo encabezamiento figura el texto: “F.I.A.- U.G.T. BIERZO”, obteniéndose impresión de pantalla del mismo.
– Desde dicho formulario se selecciona el botón “Afiliado” verificando que se encuentran 1.295 registros y que entre los mismos se encuentra uno a nombre de D.D.D.D. en el que el campo “CARGO SINDICAL” toma el valor “ E.E.E.”, obteniéndose impresión de dicho registro.

– Desde dicho formulario se seleccionan también los botones “Lista Afiliados”, “Lista Bajas” obteniéndose impresión de pantalla en cada caso, verificando que en el primer caso el número de registros existentes es de 1.187 y en el segundo 1.594; desde el mismo formulario y desde el botón “Informes” se obtiene impresión del informe “Listado General de Afiliados”.

– Se verifica que la base de datos se compone de diferentes tablas entre las que se encuentran las denominadas “AFILIADO” y “EMPRESAS”, verificando que la primera se compone de 2.890 registros y obteniendo impresión de pantalla resultado de ordenar los registros por el campo “FECHA ACTUALIZACION” en la que se obtiene información como una de las últimas fechas el 25/10/06, de uno de los afiliados, por fallecimiento accidente. Se verifica que en la primera tabla se encuentra un registro a nombre de D. D.D.D., obteniéndose impresión del contenido íntegro del registro. Se obtiene también
impresión parcial del contenido de la tabla “EMPRESAS” verificando que se compone de 126 registros.

Según se pudo comprobar ese archivo“corresponde a una aplicación informática utilizada para la gestión del fichero denominado “BASE DE DATOS AFILIADOS BIERZO”, en el que se recogen los datos personales de los afiliados a FIA-UGT en la comarca del Bierzo”. Y que el usuario autorizado a acceder al mismo en el sindicato también podía hacer una copia en la que podía seguir trabajando en la misma.

Esa copia la instaló en un portátil en su domicilio con el resultado de que la misma fue compartida con otros usuarios a través del eMule, «aunque no está probado que el mismo lo hiciera conscientemente y con la intención de dar a conocer o difundir este archivo, ni que con ello pretendiera perjudicar a los afiliados o a la organización sindical FIA-UGT de la comarca del Bierzo…>>

Hay que tener presentes en este caso, de que además de los datos personales incluidos en el archivo, los mismos venían asociados a su condición de asociados al sindicato.

El artículo 7 de la LOPD regula como datos especialmente protegidos:
“1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado…”

El artículo 9 de la LOPD, dispone:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Para completar el sistema de protección en lo que a la seguridad afecta, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros “…que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Los artículos 23 al 26 del citado RD 994/1999 concretaba las medidas de seguridad de nivel alto, como el cifrado de los datos para la distribución de los soportes y su transmisión a través de redes de telecomunicaciones, el registro de accesos y la conservación de copias de respaldo y recuperación en lugar diferente en que se encuentren los equipos informáticos que tratan los datos.

FIA-UGT estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que FIA-UGT incumplió esta obligación.

Dado que ha existido vulneración del “principio de seguridad de los datos”, se considera que FIA-UGT ha incurrido en la infracción grave descrita.

Por tanto, el Director de la AEPD ha impuesto una sanción por infracción del artículo 9.1 de la LOPD, tipificada como grave, con una multa de 6.000€ (seis mil euros).