//
Archivos

Sanciones

Esta categoría contiene 51 entradas

Sanción por incumplimiento de requerimiento de retirada de cámaras de videovigilancia ficticias.

El 17 de mayo el Director de la AEPD acordó APERCIBIR a un ciudadano con arreglo a lo dispuesto en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, con relación a la denuncia por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de la citada Ley Orgánica por la instalación de una videocámara de seguridad que el denunciado afirmó ser ficticia.

En el mismo acuerdo el Director resolvió REQUERIR de acuerdo con lo establecido en el apartado 6 del artículo 45 de la Ley 15/1999 para que acreditase en el plazo de un mes el cumplimiento de lo previsto en el artículo 6.1 de la LOPD, debiendo aportando a esta Agencia justificación documental de que las cámaras instaladas no captan zonas comunes del inmueble. En caso de no atender este requerimiento, se le advirtió que se procedería a acordar la apertura de un procedimiento sancionador.

Pasado ese tiempo el Director de la AEPD abre un Expediente de Actuaciones Previas de investigación del cual se desprende que  no consta que se hayan adoptado las medidas correctoras solicitadas y no consta que se haya atendido el requerimiento efectuado.

El hecho constatado de la falta de atención al requerimiento del Director de esta Agencia Española de Protección de Datos al imputado en este procedimiento, establece la base de facto para fundamentar la imputación de la infracción del artículo 37.1.a).

El artículo 44.3.i) de la LOPD considera que es infracción grave “no atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.”

En el presente caso ha quedado acreditado que no se ha atendido el requerimiento efectuado en la resolución de apercibimiento notificada al denunciado.

Por tanto, ante la falta de atención al requerimiento el Director de la AEPD ha impuesto una sanción de 1.500€, por una infracción del artículo 37.1 de la LOPD, tipificada como grave en el artículo 44.3.i de dicha norma.

Hay que tener presente el criterio mantenido hasta la fecha por la AEPD sobre la instalación de cámaras de seguridad ficticias, o sobre carcasas de cámaras colocadas en el exterior de las fachadas de los edificios para dar la impresión de que existe un CCTV o sistema de circuito cerrado de televisión o sistema de videovigilancia. En todos ellos, la AEPD ha instado a la retirada de los mismos. Por tanto, recordamos que la instalación de estos “supuestos dispositivos de captación de imágenes” no están autorizados, no cuentan con amparo legal, a criterio de la AEPD.

Por otro lado, hay que tener en cuenta siempre que los procedimientos de apercibimiento conlleva siempre una resolución en la que es insta al denunciado a enmendar o corregir la situación que ha causado la denuncia y la apertura del procedimiento administrativo que ha concluido con un APERCIBIR. Por tanto, siempre habrá que corregir la situación objeto de denuncia. Ya que de lo contrario, cuando pase el plazo concedido de treinta días, se abrirá un Expediente de Actuaciones Previas de Investigación que podría dar lugar a la imposición de una multa.

La AEPD apercibe a un bar de Santa Cruz de Tenerife por contar con un monitor de videovigilancia que muestra las imágenes captadas a terceros

El pasado mes de junio la AEPD ha procedido a apercibir a un establecimiento hostelero de Santa Cruz de Tenerife que contaba con un sistema de videovigilancia con 8 cámaras, 7 en su interior y otra mas en la entrada del local pero visionando parte de la vía pública. Además, en su interior, junto a la cabina de sonido del establecimiento, el local contaba con un monitor de visionado de los campos visuales captados por las ocho cámaras, estando las imágenes al alcance de los clientes del establecimiento.

La inspección de la AEPD requirió el informe de la situación del sistema de videovigilancia de este establecimiento, después que se recibiera denuncia de un ciudadano al comprobar que una cámara enfocaba hacia la vía pública, siendo él objeto de grabación sin su consentimiento. Dicho informe fué remitido por el Cuerpo Nacional de Policía, adcritos a la comisaría de La Laguna.

Entre los hechos probados mas relevantes, el procedimiento destaca los siguientes:

1.- El local cuenta con carteles de aviso de zona videovigilada.

2.- El preceptivo fichero estaba inscrito en el RGPD.

3.- El local dispone de un monitor donde se visualizan las imágenes de las cámaras y un sistema de almacenamiento de imágenes todo ello situado en la cabina del encargado de poner la música junto al mando que acciona el movimiento y el zoom de la cámara número dos.

Ante estos hechos, se imputó al titular del establecimiento hostelero, la comisión de dos infracciones de la normativa de protección de datos.

Por un lado, la comisión de infracción del artículo 6.1 de la LOPD, que dispone que:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

En el caso que nos ocupa, tanto de la información facilitada por el Cuerpo Nacional de Policía en fase de actuaciones previas como de las alegaciones del denunciado aportadas a este expediente en trámite de audiencia previa, se deriva que hay un videocámara instalada en el puerta de acceso del local que visualiza la acera (vía pública) y la calzada anexa (tal y como se aprecia en la copia de la imagen captada por esta cámara y visualizada en el monitor), pudiendo captar a los transeúntes que allí se encuentren o por allí pasen. Así pues, se visualiza vía pública sin que conste en el expediente que el denunciado cuenta con el
consentimiento de las personas afectadas. Por esta razón, los hechos expuestos podrían suponer una infracción del artículo 6.1 de la LOPD anteriormente expuesto.

Así el artículo 4.3 de la Instrucción 1/2006 dispone:
“3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.”

El artículo 44.3.b) de la LOPD considera infracción grave:
“Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

No consta que dicho responsable tenga legitimación para el tratamiento de las imágenes captadas en vía
pública, pudiendo realizar un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos. Tampoco consta que cuente con el consentimiento de los afectados cuyos datos personales se tratan por las cámaras instaladas, tal y como establece el artículo 6.1 de la LOPD.

No obstante durante la tramitación de este procedimiento, el denunciado ha aportado copia de la imagen que capta la cámara controvertida en el monitor donde se visualiza para acreditar la reorientación de la misma, de tal forma que ha limitado el enfoque de esta cámara que ahora capta el espacio imprescindible para poder realizar un control o vigilancia de la entrada y acceso al local.

En segundo lugar, se imputa al titular del establecimiento , la comisión de una infracción del artículo 4.1 de la LOPD.

La LOPD regula en su artículo 4 el principio de calidad de datos, que contiene a su vez el principio de proporcionalidad, aplicable al supuesto de hecho que nos ocupa, en lo relativo a la visualización de las imágenes captadas por las ocho cámaras instaladas, en un monitor situado en el cabina de música del establecimiento a la vista del responsable del fichero y de la persona que se ocupa de pinchar la música en el bar que tal y como manifiesta el denunciado, no siempre es la misma, es decir que las imágenes son visibles por un número de personas desconocido.

La LOPD garantiza el cumplimiento del principio de proporcionalidad en todo tratamiento de datos personales, cuando señala en su artículo 4 que:
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

El principio de proporcionalidad también aparece recogido en la Instrucción 1/2006, en su artículo 4, cuyo contenido establece que:

1. De conformidad con el artículo 4 de la Ley Orgánica de Protección de Datos de Carácter Personal, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras
o videocámaras.
2. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.
3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.

El cumplimiento del principio de proporcionalidad, está íntimamente ligado a la finalidad perseguida con el establecimiento de un sistema de videovigilancia, que en todo caso deberá ser legítima y proporcionada.

En este sentido, hemos destacado que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones <<si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es
ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

En el caso que nos ocupa, del escrito de alegaciones del denunciado se deriva que reconoce los hechos, que las imágenes que captan las cámaras se visualizan en un monitor situado en la cabina de música, porque es el único lugar donde siempre hay algún empleado o el propietario de forma habitual, pudiendo por tanto, ser accesibles a todas las personas que lleven a cabo la función de pinchadiscos en el bar denunciado.

En este monitor se recogen las imágenes de las ocho cámaras instaladas en el establecimiento, la cantidad de datos personales que se tratan tanto por el responsable del fichero, como por toda persona que visualice este monitor supone un tratamiento desproporcionado, no pertinente y excesivo en relación con la finalidad de seguridad que se persigue. La situación descrita vulnera de forma directa el principio de proporcionalidad. Tal y como se ha indicado anteriormente, la imagen es un dato personal y el tratamiento de los datos personales exige, en principio el consentimiento de los afectados. La captación de imágenes de personas es un tratamiento de datos y por tanto está sometida a las exigencias de la normativa de protección de datos, entre ellas la proporcionalidad, la adecuación y pertinencia de los datos tratados para la finalidad que se recogen.

El artículo 44.3.c) de la LOPD tipifica como infracción grave:
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”

En este supuesto ha quedado acreditado que el monitor donde se visualizan las imágenes captadas por las cámaras se encuentra situado en un lugar accesible a personas diferentes del denunciado, como es la cabina de música del establecimiento.

Ambos casos, la falta de consentimiento que exige el artículo 6.1, así como el incumplimiento del principio de proporcionalidad que exige el artículo 4 de la LOPD, son constitutivos de infracción grave.

¿Por qué no se sanciona dichas acciones y solo se apercibe?.

Con la reforma del Título VII de la LOPD, apareció en escena la figura del apercibimiento. La disposición final quincuagésima sexta de la Ley 2/2011 de 4 de marzo de EconomíaSostenible (BOE 5-3-2011) (LES), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD en lugar del existente hasta su promulgación del siguiente tenor:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”.

No obstante, en relación con la infracción del artículo 6.1 de la LOPD, debido a que el imputado ha cumplido con la obligación de reorientar la cámara controvertida para que la misma capte únicamente el espacio imprescindible de la vía pública situado en la entrada del local, no se insta por parte de esta Agencia la adopción de una concreta medida correctora en lo que se refiere a la infracción de este artículo.

En relación a la infracción del artículo 4.1 de la LOPD la AEPD insta que acredite en el plazo de un mes desde el acto de notificación:

 cumpla lo previsto en el artículo 4.1 de la LOPD, para lo que se abre expediente de actuaciones previas E/03908/2012, advirtiéndole que en caso contrario se procederá a acordar la apertura de un procedimiento sancionador.
En concreto se insta al denunciado a justificar: la retirada de la zona de la cabina de música, del monitor donde se visualizan las imágenes captadas por las cámaras instaladas en su establecimiento, para que las mismas no sean accesibles a un número indeterminado de personas (los encargados de poner la música en el local); o la limitación del número de las personas que pueden visualizar las imágenes en tiempo real, incluyendo en el documento de seguridad la identificación de las personas que pueden visualizar las imágenes captadas por las ocho cámaras instaladas en el establecimiento.

La AEPD sanciona con 3.900€ a un vecino de Las Palmas de G.C. por instalar 9 cámaras de videovigilancia

La AEPD ha sancionado a un vecino de Las Palmas de Gran Canaria por la instalación de nueve cámaras de videovigilancia. Según la denunciante y el informe de atestados de la Policía Local, una de las cámaras apunta directamente a su vivienda y graba a toda persona que transita por la vía pública.

La AEPD ha impuesto tres sanciones a dicho vecino por un montante de 3.900€: 2000€ por infracción del artículo 6.1; 900€ por infracción del artículo 5.1 y 1.000€ por infracción del artículo 26.1, todos ellos de la LOPD.

La AEPD se dirigió inicialmente al vecino denunciado para que aportara documentación sobre la instalación de las cámaras, pero este no contestó al requerimiento. Con posterioridad, la AEPD instó a la Policía Local a que abriera atestado sobre dicha instalación. Del citado informe se desprenden los siguientes hechos mas relevantes:

* Se identifica al responsable de la instalación.

* Se identifica a la empresa instaladora de la instalación y puesta en marcha del sistema de grabación.

* Se informa del total de cámaras instaladadas, 9 en total, así como de la ubicación de las mismas así como del hecho de contar con zoom en las mismas.

* Adjunta fotografía de la cámara así como de la ubicación de la cámara objeto de la denuncia.

* Que el denunciado no aporta croquis de instalación ni fotografías de los campos objeto de grabación de las cámaras, aunque éste afirma que solo graba su propiedad y la vía pública.

* Ausencia de inscripción del fichero en la AEPD.

Según el Procedimiento Sancionador se indica lo siguiente:

Resulta importante señalar que el sistema de seguridad que nos ocupa no se limita a la videovigilancia de entornos privados, sino que también capta imágenes de la C/…………………3 y de una vía conocida como C/……………….4. Así se desprende del análisis de las imágenes de fecha 19/04/2012 contenidas en el archivo ************, el cual fue aportado por el denunciado en el trámite de práctica de pruebas del expediente, ya que éstas muestran como dos de las cámaras ubicadas en el inmueble sito en la C/…………………1 recogen, a partes iguales, zona de parcela del denunciante como terreno del C/……………….4, mientras que una tercera cámara ubicada en dicha parcela enfoca hacia el solar sito en la C/…………………3, para lo cual capta la anchura total de la calzada de dicha vía a la altura de las parcelas propiedad del denunciado.

También ha quedado justificado que las cámaras de videovigilancia permiten la captación, grabación e identificación de las personas que acceden a las inmediaciones del solar sito en la C/…………………3, tal y como acredita la presentación por parte del denunciado de imágenes procedentes del mencionado sistema de seguridad como medio de prueba en un procedimiento judicial y se ha razonado con anterioridad.

Así, lo relevante a los efectos presentes, es que el denunciado ni cuenta con habilitación legal para captar imágenes procedentes de los reseñados espacios públicos, los cuales se encuentran fuera del ámbito de las propiedades objeto de la instalación, ni el tratamiento que se realiza de dichos espacios se considera proporcionado con la finalidad de videovigilancia dado el terreno circundante ajeno a sus propiedades que captan las tres cámaras mencionadas.

En consecuencia, al tratarse los reseñados lugares de espacios de acceso público, circunstancia relevante a los efectos presentes, resulta de aplicación lo manifestado en el Fundamento Jurídico Cuarto de la Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo, sección primera, de 20 de mayo de 2010, relativa al recurso 0000655/2009, que señalaba: “ …ello no se puede amparar en el carácter “casero” de la Instalación cuando resulta que permite grabar zonas de acceso público (independientemente de la consideración jurídica que tenga el acceso a los garajes de la Comunidad recurrente).

Atendidas las consideraciones precedentes, debe tenerse en cuenta que el tratamiento de imágenes en lugares públicos se rige por de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, cuyo artículo 1 establece: “La presente Ley regula la utilización por las Fuerzas y Cuerpos de Seguridad de videocámaras para grabar imágenes y sonidos en lugares públicos abiertos o cerrados, y su posterior tratamiento, a fin de contribuir a asegurar la convivencia ciudadana, la erradicación de la violencia y la utilización pacífica de las vías y espacios públicos, así como de prevenir la comisión de delitos, faltas e infracciones relacionados con la seguridad pública”.

En virtud de todo lo expuesto, podemos destacar que la instalación de videocámaras en lugares públicos es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad, de ahí que la legitimación para el tratamiento de dichas imágenes se complete en la Ley Orgánica 4/1997, señalándose en su artículo 2.2, en lo que hace mención a su ámbito de aplicación que “2.2. Sin perjuicio de las disposiciones específicas contenidas en la presente Ley, el tratamiento automatizado de las imágenes y sonidos se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizados de los Datos de Carácter Personal.”

Partiendo de las normativas citadas, la legitimación para el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados, mientras que la prevención del delito y la garantía de la seguridad en las vías públicas corresponden en exclusiva a las Fuerzas y Cuerpos de Seguridad. Por tanto, la regla general es la prohibición de captar imágenes de vías públicas o de la calle desde instalaciones privadas, al ser competencia de los Cuerpos y Fuerzas de Seguridad.

Por lo tanto el denunciado ha tratado y trata datos de carácter personal procedentes de las imágenes de espacios públicos captadas por las cámaras ubicadas en una de sus propiedades, sin contar con el consentimiento inequívoco de los afectados que transitan por esas zonas de la vía pública, y sin disponer de cobertura legal para ello por cuanto, como ya ha sido desarrollado, el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados.

Esta visualización y grabación de imágenes de la vía pública en un espacio superior al que se estima adecuado no encuentra justificación alguna en la normativa específica, toda vez que la seguridad demandada podría igualmente obtenerse por medios menos intrusivos para la intimidad de las personas afectadas. Es decir, estamos ante un tratamiento no proporcional y excesivo en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se obtienen las imágenes de videovigilancia, ya que la captación de varios metros de calle no resulta imprescindible para la función de vigilancia y control de bienes y propiedades y supone un tratamiento inconsentido de datos por los motivos expuestos.

Además, y en relación con la exigencia recogida en el artículo 5.1 de la LOPD, quedó acreditado la ausencia de cartel informativo con las exigencias detalladas en la Instrucción 1/2006 así como de las preceptivas hojas de información.

Y, por último, se imputa al denunciado la infracción del artículo 26 de la LOPD que dispone lo siguiente:

“1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

Por todo lo anteriormente expuesto la AEPD ha sancionado a este vecino de Las Palmas de GC con tres sanciones cuyo montante asciende a 3.900€.

Sancionan a Google con 18,3 millones de euros por violar la privacidad de los usuarios de Apple

Google pagará una multa de 22,5 millones de dólares (18,3 millones de euros) para resolver el caso de acusación de que violó la configuración de privacidad de los usuarios del navegador Safari de Apple, según informó una de las fuentes, que habló en privado para resguardar relaciones.

La multa será la sanción más elevada impuesta a una única compañía por la Comisión Federal de Comercio de Estados Unidos (FTC por sus siglas en inglés), dijo el periódico Wall Street Journal, que reportó la resolución del caso a última hora del lunes.

La máxima multa hasta la actualidad es la de 15 millones de dólares pagados por ChoicePoint Inc en el 2006 tras una violación de información, según indicó una tercera fuente.

 Los cargos afectan al uso, por parte del principal motor de búsqueda de la red, de un código informático especial, o “cookies”, para engañar al navegador Safari de Apple y así poder controlar a los usuarios que habían bloqueado este rastreo.

Google deshabilitó el código tras ser contactado por el periódico. Google ha dicho que el fallo fue involuntario y que no se recolectó información personal como nombres, direcciones o datos de tarjetas de crédito.

Sin embargo, el rastreo se realizó a pesar de garantías acerca de que Safari podía ser configurado para proteger la privacidad de usuarios y desató una investigación de la FTC sobre si Google violó un decreto de común acuerdo firmado el año pasado.

“La FTC está centrada en una página del centro de ayuda de 2009. Ahora hemos cambiado esa página y tomamos medidas para retirar las ‘cookies'”, dijo Google al Journal.

“Ahora hemos cambiado esa página y dimos pasos para quitar los anuncios breves de información, que no recolectan información personal de los navegadores de Apple”, agregó.

Google también se enfrenta a potenciales sanciones de otros gobiernos. La firma está siendo investigada por la Unión Europea para determinar si cumple con las estrictas leyes de privacidad europeas.

El regulador de protección de datos francés dijo que probablemente concluirá en septiembre la investigación sobre la nueva política de privacidad de Google, que está llevando a cabo en nombre de los reguladores europeos.

El motor de búsqueda también es objeto de una investigación antimonopolios de largo alcance realizada por la FTC tras acusaciones sobre que la empresa manipuló resultados de búsquedas para favorecer sus propios productos.

Fuente: Facua

Sigue leyendo

Abre una perfumería y le sancionan por enviar un email a su lista de contactos en hotmail.

Un empresario abre una perfumería y, con toda la buena intención del mundo, pone en conocimiento de su lista de contactos su nueva actividad a fin de que puedan estar informado de ello.

El envío del email lo realizó solo a 17 direcciones de correo entre las que se encontraba la dirección del denunciante; además, las direcciones estaban incluidas en el campo “Para”, por lo que todas ellas resultaban visibles a todos los contactos.

Entre los hechos probados en este procedimiento sancionador que abrió la AEPD constan los siguientes:

1.- Que se envió un email desde la cuenta de correo del denunciado a la del denunciante.

2.- Que el contenido del mensaje es de carácter comercial.

3.- Queda acreditado el envío a 17 contactos sin ocultar la identidad o dirección de los mismos.

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico.

Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española, tanto por la LSSI (a consecuencia de la transposición de la Directiva 2000/31/CE, de 8 de junio) como por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD).

La LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra la excepción en el segundo párrafo del citado artículo, que autoriza el envío cuando “el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación”. De este modo, el envío de comunicaciones comerciales no solicitadas, fuera del supuesto excepcional del art. 21,2 de la LSSI, puede constituir una infracción leve o grave de la LSSI.

Como ya se ha señalado, la LSSI prohíbe las comunicaciones comerciales no solicitadas, partiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:

“f) Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad  comercial, industrial, artesanal o profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica”.

En el presente supuesto, ha quedado acreditado que el denunciante recibió en su buzón de correo electrónico una comunicación comercial por medios electrónicos sin autorización expresa y sin que concurriera alguna relación comercial previa de productos similares que pudiera legitimar el envío.

En cuanto al ámbito de la LOPD, el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

En el presente caso se ha acreditado la vulneración del deber de secreto que incumbe a todo aquel que intervenga en el tratamiento, como la denunciante, pues de la comunicación comercial enviada por ésta y analizada se desprende que más de 15 destinatarios de dicha comunicación conocieron datos personales de aquellos que también eran destinatarios y viceversa, quedando a disposición de éstos y sustrayendo
el control a sus titulares.

Es por ello, que la AEPD ha sancionado a este empresario con dos sanciones, una por infracción del artículo 21.1 de la LSSI, una multa de 1.200€; y por una infracción del artículo 10 de la LOPD a una multa de 900€.

Fuente: AEPD

EASY JET HANDLING SPAIN es apercibida por la AEPD por utilización excesiva de videovigilancia en el entorno laboral

EASY JET HANDLING SPAIN ha sido apercibida por la Agencia Española de Protección de Datos por la utilización excesiva de cámaras de seguridad para videovigilancia en el entorno laboral.

Según consta en el procedimiento A/00029/2012 Easy Jet ha instalado tres cámaras de seguridad, dos en zona de trabajo y otra en la zona de descanso del personal.

La empresa ha informado del alcance del tratamiento de datos al comité de empresa y ha procedido, con carácter previo, al registro del fichero ante la AEPD, aunque, no se han instalado los preceptivos carteles informativos ni se ha informado de la existencia de los formularios informativos y de derechos, tal como recoge la Instrucción 1/2006.

La finalidad del uso de las cámaras, según notifica Easy Jet, es “la protección de los activos y bienes de la empresa son derivadas de la existencia de objetos de valor en dichas ubicaciones, y la necesidad de incorporar mecanismos de control y vigilancia a este respecto”.

Hay que recordar que la utilización de un sistema de video vigilancia requiere que exista una legitimación para ello, esto ocurre cuando:

– Se cuente con el consentimiento del titular de los datos
– Una norma con rango de Ley exima del consentimiento
– Se de alguna de las circunstancias previstas por el art. 6.2 de la LOPD.
Además de esta legitimación necesaria, el uso de un sistema de video vigilancia debe seguir ciertas reglas que deben cumplirse por el responsable del sistema. Entre ellas merece destacarse por su aplicación al presente caso las siguientes:
– Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en el que se traten los datos.
– Debe informarse sobre la captación y/o grabación de las imágenes.
– El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un medio menos invasivo.
– Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos. Sólo Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.
– En cualquier caso el uso de sistemas de videovigilancia deberá ser respetuoso con los derechos de las personas y el resto del Ordenamiento jurídico.
– Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron.

Debe tenerse en cuenta que el artículo 20.3 del Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad.

Ahora bien, estas medidas se encuentran plenamente sometidos a la LOPD y la Instrucción 1/2006 y deben cumplir, además de los generales, una serie de requisitos específicos:
– El tratamiento se limitará a las finalidades previstas por el Estatuto de los Trabajadores, y/o en todo caso a finalidades legítimas reconocidas por la normativa vigente, debiendo cumplir en este último caso adicionalmente las previsiones específicas que sean de aplicación.
– Respetarán de modo riguroso el principio de proporcionalidad:
– Se adoptará esta medida cuando no exista otra más idónea.
– Las instalaciones, en caso de utilizarse, se limitarán a los usos estrictamente necesarios captando imágenes en los espacios indispensables para satisfacer las finalidades de control laboral.
– No podrán utilizarse estos medios para fines distintos de los propios del control laboral salvo que se trate de fines legítimos y se adopten las medidas pertinentes para el cumplimiento de la normativa que les sea de aplicación.
– Tendrán en cuenta los derechos específicos de los trabajadores respetando:
* Los derechos a la intimidad y el derecho fundamental a la protección de datos en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso. El derecho a la propia imagen de los trabajadores.
* La vida privada en el entorno laboral no registrando en particular las conversaciones privadas.
* Se garantizará el derecho a la información en la recogida de las imágenes. Con información específica a la representación sindical.

– Dicha información puede realizarse:
Mediante el cartel anunciador y el impreso establecidos por la Instrucción 1/2006.Y/o Mediante información personalizada.

– Se procederá en su caso a la creación y/o inscripción del correspondiente fichero.
-Se garantizará la cancelación de las imágenes en el plazo máximo de 30 días y únicamente
podrán conservarse aquellas que registren una infracción o incumplimiento de los deberes laborales.
– Deben garantizarse los derechos de acceso y cancelación.
– Se adoptarán las correspondientes medidas de seguridad.

La entidad denunciada se remitió escrito de alegaciones con documentación fotográfica y croquis de las cámaras instaladas, deduciéndose que una de ellas capta la zona de descanso y las otros dos enfocan en interior de dos oficinas. Todas las cámaras instaladas cuentan con posibilidad de zoom movimiento.

Debe considerarse que la finalidad con que se ha instalado la Cámara en la Sala de Descanso “la de los activos y bienes de la empresa y la seguridad de las personas”, supone un tratamiento excesivo y no proporcional al tratarse de un espacio destinado a la zona de descanso de los trabajadores en que debe primar el derecho a la propia imagen de los trabajadores, por tanto no hay fundamento para que en dicha zona se encuentre videovigilada.

Por ello, la AEPD apercibe a EASY JET HANDLING SPAIN con arreglo a lo dispuesto en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, con relación a la denuncia por infracción del artículo 4 de la LOPD, tipificada como GRAVE en el artículo 44.3.C de la citada Ley Orgánica.

– El cumplimiento de lo previsto en el artículo 4, procediendo a retirar o modificar el ángulo de visión de la cámara que capta imágenes del área de descanso de los trabajadores con objeto que dicha zona quede fuera del alcance de cualquier tratamiento de imágenes por medio de un sistema de videovigilancia.

Fuente: AEPD

Endesa Energía es sancionada por protección de datos por usar datos personales sin consentimiento para activar un contrato de suministro de energía.

Según informa la AEPD en su PS/00613/2011, Endesa Energía ha sido sancionada por usar sin consentimiento los datos personales y activar un contrato de suministro de energía, cuando en realidad el denunciante tenía el servicio con GAS NATURAL y se le ha impuesto una multa de 50.000€.

Endesa Energía aportó el contrato de suministro, así como las facturas de suministro por el consumo. Consta en su sistema informático la reclamación del denunciante por la disconformidad de la contratación el 27/04/2010; que no abrió ningún expediente por este supuesto; y que la contratación se realizó a través de un distribuidor, ESTRUCTURA DE VENTA DIRECTA SL, quién obtuvo los datos del denunciante mediante el sistema de visita domiciliaria de sus comerciales.

Quedando como hechos probados mas relevante los siguientes:

1.- El denunciante consta como cliente de Endesa Energía.

2.- Los datos del denunciante provienen de un formulario de “Solicitud de suministro” que fue cumplimentado por un agente comercial del distribuidor, en la que se puede constatar la existencia de una firma con el nombre completo del denunciante que no coincide con la firma del denunciante.

3.- En el posterior control de calidad, la grabación de la conversación para verificar la veracidad de la contratación deja en evidencia a Endesa: no consta el número al que se llama, ni el día, ni la hora, ni quien llama, ni quien atiende la llamada, y, desde luego, la voz no es identificable con el denunciante, ni el acento ni el tono.

4.- El denunciante comunicó su disconformidad con el contrato por teléfono a Endesa, indicando que no había firmado ningún contrato y los datos eran erróneos (teléfono y cuenta).

La LOPD establece: “Artículo 6. Consentimiento del afectado
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

Carece de consentimiento Endesa Energía SAU para tratar los datos personales –nombre apellidos DNI y domicilio- de la persona denunciante incorporándolos a su fichero de clientes, emitir contrato de suministro, después facturas y más tarde reclamarle los importes de esa facturas, y encargar su cobro a una entidad especializada. Todo ello sin haber obtenido el consentimiento del denunciante.
Para que el tratamiento de los datos de la persona denunciante resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Sin embargo, nunca hubo consentimiento para el tratamiento de sus datos. Tampoco concurre ninguno de los supuestos exentos de prestar tal consentimiento, de modo que se considera infringido el citado artículo 6.1 de la LOPD.

Endesa Energía SAU dice que los datos del denunciante habían sido proporcionados por la empresa de servicios que tenia contratada para la captación de clientes, que una vez recibidos encargo el control de la calidad de la misma a una tercera empresa que por medio de conversación telefónica grabada obtuvo de la persona denunciante la confirmación de contratación, el buen trato recibido por el comercial, la información escrita completa de la oferta ventajosa y la exactitud de todos los datos proporcionados.

La realidad que se obtiene de la apreciación conjunta de todos los documentos obrantes en el expediente es muy distinta. La verdad es que inmediatamente que tiene conocimiento del contrato que le envían para su firma se pone en contacto con Endesa para manifestar su desacuerdo con la contratación, que él no ha firmado ningún formulario de contratación del gas y mantenimiento. Los mismos empleados de atención de la compañía dicen que ante los documentos de identidad presentados con el escrito de reclamación del denunciante se deduce que no ha firmado el formulario de contratación y le envían la carta para tramitar la baja. No solamente no es la firma del denunciante la que figura en el formulario tampoco lo es el teléfono de contacto y el número de la cuenta bancaria para domiciliación de pagos.

La imputada no ha acreditado que obrara con diligencia suficiente para cumplir su propio procedimiento para tramitar nuevas altas por canales presenciales del gran público. En el texto aportado se han descrito una serie minuciosa de tareas a realizar sobre el material remitido por los captadores para dar el visto bueno a los contratos y las medidas de verificación y control a ejecutar, incluso por personal externo certificador.

La primera reclamación del denunciante a Endesa se produce por teléfono el 27/04/10 la siguiente, escrita, el 30/04/10 y le contestan que tras comprobaciones todo esta correcto, que no hay nada de lo que denuncia. En las grabaciones de los contactos con el cliente, aportados también con las alegaciones al acuerdo de inicio, queda constancia de que él no firmó los contratos –como se hace constar en el hecho 6, pero emitió posteriormente las dos facturas que dice haber anulado y devuelto el importe el 02/03/11.

Ha transcurrido casi un año desde que tuvo el conocimiento de la primera reclamación del denunciante y copia de su DNI. Muy poca diligencia para poner fin a la situación, como exige el apartado 5.b) del artículo 45 de la LOPD, si tenemos en cuenta que las facturas por el suministro se emitieron después de comprobar que no era su firma la de los contratos.

Estas razones ha llevado a que la AEPD imponga una multa de 50.000€ (cincuenta mil euros) a Endesa Energía SLU por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 45.2 y 4 de la citada Ley.

De este procedimiento será interesante extractar la lección que debemos recoger todos, en especial cuando uno cuenta con un departamento comercial, propio o externo:

1.- No basta con contar con un protocolo de calidad (que hay que tener); este debe ser creíble y para ello debe estar alerta para detectar posibles errores y/o fraudes en la contratación.

2.- Es un ejercicio sencillo y elemental el contrastar la firma de los documentos con la firma que aparece en el documento identificativo del cliente (p.e. su DNI, pasaporte, etc..).

3.- De sabio es rectificar: a la primera llamada del denunciante en el que este comunica a Endesa que no ha firmado ningún contrato deberían saltar todas las alarmas, no solo verificar electrónicamente las firmas en ese momento y darle la razón al cliente (parece que así se actuó); sino que que debe actuar con mas dinamismo, ya que se está evidenciando un error/fraude en el contrato. La acción de Endesa fue pasiva, se limitó a enviar a un documento de solicitud de baja… he aquí mi asombro; si la supuesta acción de captación fué presencial, si el denunciante no acudió a Endesa, ¿por qué es ahora el denunciante el que debe esperar a que le envíen el documento de baja y cumplimentarlo y reenviarlo? ¿por qué Endesa, en su departamento de calidad, no envió inmediatamente a un inspector o agente autorizado a verificar los hechos a casa del denunciante y proceder a anular unilateralmente el contrato que nunca debió activar?.

4.- ¡Cuidado con el equipo comercial de campo!. Aquí nos encontramos con otro de los elementos peligrosos: la captación de personal con baja cualificación en los departamentos de ventas; la falta de formación de estos equipos; la falta de concienciación sobre los pasos a dar en las visitas comerciales y en la contratación; la obligación de que los mismos realicen el primer check list de verificación de datos (¿no nos piden el DNI cuando pagamos con tarjeta de crédito? ¿qué impide que miremos y revisemos el DNI o documento identificativo a ver si realmente es la persona que tenemos enfrente?); y por último, la presión que las empresas realizan sobre su fuerza de ventas obligando a esta a cumplir objetivos, ha llevado a algunos comerciales a no prestar la debida diligencia en la acción comercial, ha llevado a otros a entregar contratos cerrados en aquellas situaciones en las que solo realizaron una “propuesta comercial personalizada” falsificando luego la firma, y, por último, y no menos grave, la avaricia de querer cobrar un incentivo o comisión extra por una visita que no se ha cerrado de forma positiva sino en un  “ya veremos” o “ya lo estudiaremos”.

Quizás me esté dejando atrás alguna otra lección, pero me ha parecido importante destacar estos aspetos.

Fuente: AEPD

Telefónica es sancionada con 30.000€ por usar sin consentimiento los datos de un cliente de Tenerife

Telefónica Móviles de España SA, en adelante TME, ha sido sancionada por la AEPD por infracción del artículo 6.1 de la LOPD y se le ha impuesto una multa de 30.000€.

Según consta en el procedimiento sancionador abierto por la AEPD, PS/00540/2011, Teléfonica usó sus datos personales para dar de alta una línea de teléfono sin su consentimiento, facturando al denunciado durante varios meses servicios y consumo que no había contratado.

El propio departamento de fraude de la compañía detectó el incidente ante la reclamación presentada por el denunciante, vecino de Santa Cruz de Tenerife, y procedió a la anulación de las facturas emitidas.

TELEFÓNICA MÓVILES ESPAÑA, no aporta documentación que permita comprobar la identificación del cliente que dio de alta la línea y firmó el contrato.

La firma del contrato aportado, no coincide con la firma de la copia del DNI, ni con la de la denuncia presentada ante la Agencia Española de Protección de Datos por el denunciante.

El contrato de la línea fue realizado por el distribuidor HELIO TENERIFE NORTE. S.L. con la que TME suscribió el 01/11/1999 un contrato de promoción comercial.

Se imputa a TELEFÓNICA MÓVILES ESPAÑA  el tratamiento sin consentimiento de los datos personales de la denunciante. El artículo 6 de la LOPD, determina:

 “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

El tratamiento de datos sin consentimiento constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo), “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.

Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y tratamiento de sus datos personales y a saber de los mismos.

En el presente caso el denunciante niega haber contratado con TME el servicio de la línea en consonancia con la actitud mantenida para con ésta y acreditada en el expediente, referente a la no solicitud del servicio:
– Denuncia ante esta Agencia.
– El denunciante niega la contratación.
– El denunciante manifiesta en fase de prueba del procedimiento que las firmas que figuran en el
contrato de la línea no son suyas.

Todas estas circunstancias son indicios que evidencia un tratamiento de datos sin el consentimiento de la denunciante. Conviene reseñar la virtualidad de la prueba indiciaria, cuya admisión en el procedimiento administrativo sancionador se admite en la Sentencia del Tribunal Constitucional núm. 45/1997 (Sala Primera), de 11 de marzo (RTC 1997,45). Así los requisitos necesarios para su admisión vienen desarrollados, con cita de la doctrina del Tribunal Supremo, por la Sentencia del TSJ de Andalucía, núm. 255/2003 de 27 de enero, que dice: “Sobre ella precisar que la jurisprudencia constitucional y la de la Sala 2ª del TS han perfilado los requisitos necesarios para que la prueba indiciaria pueda ser apreciada como tal y que pueden resumirse en los siguientes extremos:
1º- Que el hecho base no se único, pues uno solo podría inducir a error – STC núm. 111/1990 de 18 de junio (RTC1990, 111);
2º- Que estos hechos estén directamente acreditados – SSTS de 18 y24 de enero de 1991 ( RJ 1991,282)- ; y
3º Que la inferencia no quebrante las reglas de la lógica, de otra disciplina o de la experiencia general – STC 107/1989 de 8 de junio y 510/1989 de 10 de marzo ( RTC 1985,510) …………” Para que el tratamiento de los datos del denunciante por parte de TME resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada.

Sin embargo, según manifiesta el denunciante nunca formalizó contrato alguno con TME de la línea, ni consintió el tratamiento de sus datos personales. TME no ha presentado ninguna prueba que pueda evidenciar que contaba con el consentimiento del denunciante o relación contractual que le exima del mismo, ya que el contrato que se ha aportado tiene unas firmas que el denunciante no reconoce como propias.

Este contrato recoge explícitamente la documentación (contrato firmado, copia de DNI, y de documentos acreditativos de los datos de cobro) que el distribuidor debe recabar y remitir a TME en el proceso de formalización de los contrato de abono a los servicios. TME ha aportado a esta Agencia como prueba de la contratación efectuada copia de un contrato con los datos personales del denunciante, sin aportar copia del DNI y documentos acreditativos de los datos de cobro del denunciante a pesar de ser dicha entidad la que exige dichos documentos a los distribuidores en el proceso de alta de sus servicios. Corresponde por tanto a TME desplegar la diligencia debida para comprobar la autenticidad del contrato, es decir, que el consentimiento está obtenido válidamente, a través de la comprobación del cumplimiento de los requisitos de contratación por ella misma exigidos a los distribuidores y que en este caso no se ha producido.

En cuanto al contrato firmado aportado por TME debe reiterarse que los indicios probatorios obrantes en el expediente indican que no fue suscrito por el denunciante.

TME trató los datos personales del denunciante sin su consentimiento por lo que se ha vulnerado el principio del consentimiento previstos en el artículos 6 de la LOPD. La conculcación de este principio supone la comisión de la infracción grave prevista en el transcrito artículo 44.3.b).

Ello ha llevado a la AEPD a imponer a TME por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 30.000€ (treinta mil euros) de acuerdo a lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

Fuente: AGPD.

Sigue leyendo

Mutual Didat Cyclops ha sido sancionada por ceder datos de un exempleado sin consentimiento previo.

La entidad MUTUAL DIDAT CYCLPS (MMC) ha sido sancionada por al AEPD por infracción del artículo 11.1 de la LOPD, al ceder sus datos sin consentimiento, ascendiendo la sanción impuesta a 6.000€.

Según consta en el procedimiento sancionador PS/00539/2011 MMC cedió los datos personales del denunciante a la empresa Sanitas sin su autorización. El denunciante había cesado su relación laboral con MMC con anterioridad a la cesión de sus datos, en abril de 2010.

Al vencer la póliza de seguros que la mutua tenía contratada con ADESLAS, la mutua firmó una nueva póliza de seguro para sus empleados con Sanitas. Esta póliza cubría a los empleados y exempleados en condiciones preferentes con respecto a los clientes individuales.

Según las alegaciones de MMC, se les envió a todos los beneficiarios un escrito  informando de las condiciones de la póliza en las que se le solicitaba autorización para proceder al traspaso de datos. Esta autorización se consideró otorgada tácitamente al no recibir oposición por parte del denunciante. Se aportó copia del escrito aunque no se aportó prueba de su envío y/o recepción.

MMC reconoce el error de comunicar en el listado de personas adjuntos a la póliza, los datos de este extrabajador, contactando con Sanitas para que se procediera a la devolución de cualquier importe que se le hubiera cobrado.

Ante estos hechos, la AEPD inició procedimiento sancionador contra MMC por presunta infracción del artículo 11.1 de la LOPD. “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.”

Entre los hechos probados, queda constancia de la ausencia de consentimiento por parte del denunciante para el tratamiento y cesión de sus datos por parte de MMC.

En el presente caso se ha acreditado que MMC comunicó los datos personales del denunciante, exempleado de la entidad, incluyendo nombre, apellidos, DNI, fecha de nacimiento, sexo, domicilio y cuenta corriente, a un tercero, la entidad SANITAS. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso contar con el consentimiento del afectado o, en su defecto, debe acreditarse que concurre alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento. 

Sin embargo en este caso, MMC cedió los datos de su exempleado sin haber obtenido su consentimiento previo, por lo que debe entenderse vulnerado el artículo 11 de la LOPD.

Por esta razón, se impuso a Mutual Didat Cyclops (MMC), por una infracción del artículo 11.1 de la LOPD, tipificada como grave por el artículo 44.3.k) de dicha norma, una multa de 6.000€.

De este procedimiento merece la pena destacar un hecho relevante, MMC afirma que envió un escrito solicitando la autorización, pero, aunque presentó copia de la carta, no pudo acreditar ni el envío ni la entrega. Aunque MMC invoca el consentimiento tácito para la comunicación de los datos personales a un tercero hay que tener en cuenta que la definición que hace de CONSENTIMIENTO el artículo 3.h de la LOPD dice que este es “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le concierne”.

El adjetivo “inequívoco” que califica al consentimiento, significa según el Diccionario de la Real Academia Española “que no admite duda o equivocación” y, por contraposición a equívoco, lo que no puede entenderse o interpretarse en varios sentidos, o que no puede dar ocasión a juicios diversos.

La exigencia de que sea inequívoco está relacionada con la forma de prestar el consentimiento, pues el precepto comentado no establece ni requiere que tenga que prestarse de forma determinada, ni de forma expresa o por escrito.

En la SAN, Sec. 1ª, 20-9-06 (Rec. 626/2004), respecto al consentimiento tácito, se dice «en nuestra sentencia de 7 de julio de 2000 (recurso número 121/1999), decíamos en el Fundamento de Derecho Tercero: “Este tema del consentimiento tácito ha de ser tratado con una gran delicadeza cuando están en juego derechos constitucionales básicos 8 art. 18-4 C.E.) y a ello tiende toda la regulación legal
contenida en el articulado de la L.O. 5/92 y su explicación y filosofía recogida en la Exposición de Motivos. En la vida de relación es muy posible reconocer formas de tácita aceptación, pero siempre en aspectos no trascendentales o cuando se está operando sobre situaciones consolidadas y que están en la común consideración a modo de valores entendidos. No es el caso cuando lo que está en juego es la privacidad de las personas de ahí todas las cautelas normativas tendentes a proteger esa privacidad, sin que quepan interpretaciones de laxitud del art. 11-1 de la Ley a menos que el titular de la intimidad se haya situado voluntariamente en situación de abandono de la defensa de ese derecho, en cuyo caso sí podría hablarse de una forma de consentimiento tácito….”.

Fuente: AGPD

Un estudio fotográfico es condenado por el uso de un retrato de un menor

El diario digital http://www.elmundo.es se hizo eco ayer de la resolución que la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó ayer contra un estudio fotográfico que utilizó la imagen de un menor en un retrato y lo colocó en el escaparate como reclamo profesional sin consentimiento.

Esta sentencia viene a confirmar la sanción impuesta por la AEPD en el procedimiento sancionador que esta dictó con el número PS/00197/2010, de fecha 2 de noviembre de 2010.

En dicho expediente, la AEPD abrió procedimiento contra el estudio fotográfico ante la denuncia presentada por la madre del menor, después de que esta hubiera instado al estudio a retirar la misma del escaparate sin recibir contestación o respuesta del mismo.

Ante la apertura del procedimiento sancionador, el estudio fotográfico alegó que la madre llevó al menor para hacer unas fotos pero al no ser de su agrado, no las adquirió, quedando en posesión del estudio, quien, amparándose en el derecho de autor, la expuso como obra de arte como fotógrafo profesional.

Entre los hechos probados está la comprobación de la exposición de la foto en el escaparate y la ausencia de consentimiento de la denunciante, madre y representante legal.

El artículo 6.1 de la LOPD dispone lo siguiente: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

El ESTUDIO. no ha aportado prueba documental que acredite el consentimiento de la denunciante, a la sazón, madre y representante legal, para llevar a cabo el tratamiento de datos personales realizado, antes bien, los documentos que obran en el procedimiento evidencian que aquél no contaba con su consentimiento inequívoco. Cabe decir por tanto que, ante la falta de acreditación por el ESTUDIO del consentimiento inequívoco de los denunciantes para ese tratamiento de datos personales en cuestión, y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima
vulnerado por la entidad imputada el artículo 6.1 de la LOPD.

En el supuesto examinado y según ha quedado indicado, no ha acreditado disponer de ese consentimiento inequívoco. Al contrario, se reitera, consta en el expediente que no disponía del mismo.

En cuanto a la consideración de la imagen como dato de carácter personal, el Tribunal Constitucional, con la salvedad de que la sentencia citada más abajo viene a referirse a una cuestión estrictamente de colisión entre la libertad de información y el derecho a la propia imagen, en su sentencia de 16 abril de 2007 (STC 72/2007) dice:
“Este Tribunal ha tenido ocasión de pronunciarse en relación con quejas sobre vulneraciones del derecho a la propia imagen (art. 18.1 CE) en las SSTC 231/1988, de 2 de diciembre, 99/1994, de 11 de abril, 117/1994, de 17 de abril, 81/2001, de 26 de marzo, 139/2001, de 18 de junio, 156/2001, de 2 de julio, 83/2002, de 22 de abril, 14/2003, de 28 de enero, y 300/2006, de 23 de octubre.

En lo que aquí interesa destacar, de dicha doctrina resulta que, en su dimensión constitucional, el derecho a la propia imagen (art. 18.1 CE) se configura como un derecho de la personalidad, que atribuye a su titular la facultad de disponer de la representación de su aspecto físico que permita su identificación, lo que conlleva tanto el derecho a determinar la información gráfica generada por los rasgos físicos que le hagan Reconocible que puede ser captada o tener difusión pública, como el derecho a impedir la obtención, reproducción o publicación de su propia imagen por un tercero no autorizado (STC 81/2001, de 26 de marzo FJ2).

Resulta, por tanto, que el derecho a la propia imagen (art. 18.1 CE) se encuentra delimitado por la propia voluntad del titular del derecho que es, en principio, a quien corresponde decidir si permite o no la captación o difusión de su imagen por un tercero. No obstante, como ya se ha señalado, existen circunstancias que pueden conllevar que la regla enunciada ceda, lo que ocurrirá en los casos en los que exista un interés público en la captación o difusión de la imagen y este interés público se considere constitucionalmente
prevalente al interés de la persona en evitar la captación o difusión de su imagen. Por ello, cuando este derecho fundamental entre en colisión con otros bienes o derechos constitucionalmente protegidos, deberán ponderarse los distintos intereses enfrentados y, atendiendo a las circunstancias concretas de cada caso, decidir qué interés merece mayor protección, si el interés del titular del derecho a la imagen en que sus rasgos físicos no se capten o difundan sin su consentimiento o el interés público en la captación o difusión de su imagen (STC 156/2001, de 2 de julio, FJ 6)” (el subrayado es de la Agencia Española de
Protección de Datos)..

Cabe rechazar lo alegado por el imputado en cuanto a que los hechos denunciados exceden el ámbito de aplicación de la LOPD, por cuanto, como ya se ha expuesto, la imagen es un dato de carácter personal, y su recogida constituye un tratamiento (automatizado o no reza la LOPD). Asimismo se alude a la inexistencia de fichero cuando, tratándose de imágenes (fotografías), el imputado, la localización de una en concreto responderá a algún tipo de estructuración de fichero adoptada por el imputado. Respecto a los precedentes aludidos, en los mismos no se acreditó la existencia de fichero y por la propia naturaleza de los hechos probados no cabía inferir la necesaria existencia del mismo.

En vista de estos hechos, la AEPD sancionó a este ESTUDIO por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de la norma con una multa de 1.500€.

Aunque la misma fue recurrida, ahora la Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha venido a confirmar esta sentencia.

Leer más en: http://www.elmundo.es/elmundo/2012/06/05/espana/1338892911.html

Fuente: AEPD y http://www.elmundo.es

Estadística del blog

  • 165.827 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: