//
Archivos

cesión de datos sin consentimiento

Esta etiqueta está asociada a 9 entradas

France Telecom es sancionada con 20.000€ por incluir los datos de un cliente en la guía de abonados sin consentimiento del abonado.

La operadora de telefonía France Telecom ha sido sancionada por al AEPD por incluir los datos de un cliente que dió de alta una línea con ellos en junio del 2010 y que en marzo del 2011 fue conocedor de que sus datos habían sido incluidos en una guía de abonados sin su consentimiento.

Entre los hechos probados mas relevantes, destacamos los siguientes:

1.- Que la denunciante contrató con Ya.com una línea fija, y que en marzo del 2011 tuvo conocimiento de que su teléfono, nombre y apellidos y dirección aparecían publicadas en una guía de abonados en internet sin que hubiera prestado su consentimiento para ello.

2.- Que el 18 de abril se realiza una captura de pantalla de la página web http.//blancas.guias118111.es. En la misma consta el nombre, dos apellidos y domicilio de la denunciante y su número de teléfono.

3.- El número de teléfono de la denunciada le fué asignado por France Telecom.

4.- Se solicitó a la operadora que aportara el documento que acreditara el consentimiento de la denunciante para la cesión de datos a la CMT, hasta en dos ocasiones, sin obtener respuesta documentada.

5.- La denunciante envió un correo electrónico a France Telecom solicitando que acreditaran en qué momento habían obtenido el consentimiento para la cesión. France Telecom le informó que agilizaría el trámite y con posterioridad le requieren que cumpla con el procedimiento de cancelación y que envíe un escrito con copia del DNI.

Entro los fundamentos de derecho queremos destacar los siguientes:

La Ley Orgánica 15/1999 de Protección de datos de carácter personal establece en su artículo 28.4 que “los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica”.

El examen de esa normativa nos obliga a hacer referencia, en primer término, a la Ley 32/2003 General de Telecomunicaciones, de 3 de noviembre. El artículo 34 del citado texto legal, bajo la rúbrica “protección de los datos de carácter personal”, establece:

“Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público, deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legislación vigente”.

El artículo 38.6 de la Ley 32/2003 dispone que “La elaboración y comercialización de guías de abonados a los servicios de comunicaciones electrónicas y la prestación de servicios de información sobre ellos se realizará en régimen de libre competencia, garantizándose, en todo caso, a los abonados el derecho a la protección de sus datos personales, incluyendo el de no figurar en dichas guías I.I.I.” 

El artículo 67 del Real Decreto, bajo la rúbrica “Guías de servicios de comunicaciones electrónicas disponibles al público”, establece en el apartado 2:
“Para que los datos correspondientes a un abonado a los que se refiere el artículo 30.4 sean incluidos por primera vez en algún tipo de guía o facilitados a otra entidad para su inclusión en ella o para la prestación de servicios de información o de consulta sobre ella, será preciso el consentimiento expreso de dicho abonado. 

A estos efectos, se entenderá que existe consentimiento expreso de un abonado cuando el operador le solicite su consentimiento para la inclusión de tales datos, con indicación expresa de cuáles serán éstos, el modo en que serán incluidos en la guía y su finalidad, y este le responda dando su aceptación. También se producirá cuando este se dirija por escrito a su operador solicitándole que sus datos figuren en la guía.

Si el abonado no hubiera dado su consentimiento expreso, se entenderá que no acepta que se publiquen en la guía correspondiente sus datos”.

A la luz de lo expuesto en los párrafos precedente estimamos que la conducta anteriormente descrita, imputable a FRANCE TELECOM ESPAÑA, S.A., vulnera el artículo 11.1 de la LOPD. El artículo 44.3.k) de la citada Ley Orgánica tipifica como infracción grave “La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave”.

Ante estos hechos el Director de la AEPD ha resuelto IMPONER a la entidad FRANCE TELECOM ESPAÑA S.A., por una infracción del artículo 11.1 de la LOPD, tipificada como infracción grave en el artículo 44.3.k) de dicha norma, una multa de 20.000 € (veinte mil euros) de conformidad con lo establecido en los artículos 45.5 y 45.2 de la citada Ley Orgánica.

Fuente: AGPD

FACUA denuncia a la Agencia Estatal de Seguridad Aérea ante Protección de Datos

Por ceder sin autorización a una empresa de encuestas datos de una usuaria que denunció a una aerolínea.

FACUA-Consumidores en Acción ha denunciado a la Agencia Estatal de Seguridad Aérea (AESA) ante la Agencia Española de Protección de Datos (AEPD).

La empresa Autopress Marketing SL está realizando una encuesta sobre la satisfacción de los usuarios con la calidad de la atención ofrecida por la AESA al dirigirse al organismo para solicitar información o presentar reclamaciones contra compañías aéreas.

Aunque la AESA debe obtener el consentimiento de los usuarios para ceder sus datos a Autopress, una socia de FACUA ha recibido un correo electrónico de la empresa sin que previamente la Agencia le hubiese pedido autorización.

C.S.R., de Málaga, recibió el 4 de noviembre un correo desde la dirección cuestionario@anuato.com, que comenzaba con este texto: “Nos ponemos en contacto con usted desde Autopress Marketing, S.L., tras el envío por parte de la Agencia Estatal de Seguridad Aérea (AESA) de un correo electrónico solicitándole su colaboración, como usuario de sus servicios, para un estudio de satisfaccion de la propia AESA”.

Pero la usuaria, que se había dirigido hace meses a la AESA para presentar una reclamación contra la aerolínea Helitt, no había recibido correo alguno de la Agencia sobre la citada encuesta.

Un día después del primer correo, C.S.R. recibió otro, esta vez remitido por la AESA, en el que le pedía permiso para ceder sus datos a Autopress para participar en el sondeo, cuando en realidad ya lo había hecho.

“Entenderemos su disposición a colaborar en dicho estudio si en el plazo de una semana desde la fecha de envío de este escrito, no nos comunica su negativa”, advierte la Agencia en su correo.

Pide a la AEPD que investigue si se han cedido datos de otros usuarios

FACUA ha pedido a Protección de Datos que investigue si la AESA también ha cedido los datos de otros usuarios sin su consentimiento, práctica que vulnera la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En su artículo 11, la Ley plantea que “los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

La asociación también se ha dirigido a la AESA, a la que ha requerido que verifique el origen del error que le ha llevado a cometer esta irregularidad y evalúe sus dimensiones así como las medidas para subsanarla.

Fuente: Facua

¿Se puede colgar en el tablón de anuncios de un Instituto el listado de notas con nombres y apellidos del alumno?

La difusión de dichas notas de calificación a través de los tablones de anuncios de la Universidad, constituirá un tratamiento de datos de carácter personal de los alumnos autorizado por una norma con rango de ley formal, en virtud de la Ley Orgánica 4/2007 de Universidades, que en su disposición adicional vigésimo primera, en el punto 3, señala “no será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación”.

 En el caso de los colegios se debe seguir el régimen general, es decir, hacer públicos los nombres de personas físicas en tablones de anuncios accesibles a terceros – si no hay soporte normativo que lo avale – podría suponer una divulgación indebida no concordante con el deber de secreto  recomendándose la comunicación individual a cada alumno aunque, eso sí, las calificaciones de los restantes serían accesibles ejerciendo la condición de interesado.

Fuente: AGPD

¿Pueden los hoteles ceder datos de sus huéspedes a la policia?

 Como punto de partida, debe analizarse si el tratamiento y posterior comunicación de los datos se encuentran amparados por lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

 En este sentido, el artículo 11.1 dispone que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante este consentimiento no será necesario ”Cuando la cesión está autorizada en una Ley” (artículo 11.2 a).

 El tratamiento y cesión de datos a los que se refiere la consulta trae su causa de lo establecido en el artículo 45.1 del Convenio de Schengen, ratificado por España en fecha 23 de julio de 1993. Según este precepto:

 “Las Partes contratantes se comprometen a adoptar las medidas necesarias para garantizar que:

 a) El director de un establecimiento de hospedaje o su encargado procuren que los extranjeros alojados, incluidos los nacionales de las demás Partes contratantes y de otros Estados miembros de las Comunidades Europeas, con excepción de los cónyuges o menores que les acompañen o de los miembros de grupos de viaje, cumplimenten y firmen personalmente las fichas de declaración y que justifiquen su identidad mediante la presentación de un documento de identidad vigente.

 b) Las fichas de declaración así cumplimentadas sean conservadas por las autoridades competentes o transmitidas a éstas, siempre que dichas autoridades lo estimen necesario para prevenir peligros, para perseguir delitos o para dilucidar el paradero de personas desaparecidas o víctimas de accidentes, excepto si el Derecho nacional dispusiera otra cosa.”

 En este sentido, es preciso recordar que el artículo 96.1 de la Constitución dispone que “Los tratados internacionales válidamente celebrados, una vez publicados oficialmente en España, formarán parte del ordenamiento interno. Sus disposiciones sólo podrán ser derogadas, modificadas o suspendidas en la forma prevista en los propios tratados o de acuerdo con las normas generales del Derecho internacional”.

 Del mismo modo, el artículo 12 de la Ley Orgánica 1/1992, de 21 de febrero, dispone que “Las personas naturales o jurídicas que desarrollen actividades relevantes para la seguridad ciudadana, como las de hospedaje, el comercio o reparación de objetos usados, el alquiler o el desguace de vehículos de motor, o la compraventa de joyas y metales preciosos, deberán llevar a cabo las actuaciones de registro documental e información previstas en la normativa vigente”, habiendo sido desarrollada esta previsión por la Orden INT/1922/2003, de 3 de julio.

 Por este motivo, el tratamiento de los datos mencionados y su comunicación a las Fuerzas y Cuerpos de Seguridad se encuentra amparado por lo establecido en los artículos 6.1 y 11.2 a) de la Ley Orgánica 15/1999, dado que existe una norma con rango de Ley que da cobertura al tratamiento y cesión de los datos.

Fuente: AEPD

Mutual Didat Cyclops ha sido sancionada por ceder datos de un exempleado sin consentimiento previo.

La entidad MUTUAL DIDAT CYCLPS (MMC) ha sido sancionada por al AEPD por infracción del artículo 11.1 de la LOPD, al ceder sus datos sin consentimiento, ascendiendo la sanción impuesta a 6.000€.

Según consta en el procedimiento sancionador PS/00539/2011 MMC cedió los datos personales del denunciante a la empresa Sanitas sin su autorización. El denunciante había cesado su relación laboral con MMC con anterioridad a la cesión de sus datos, en abril de 2010.

Al vencer la póliza de seguros que la mutua tenía contratada con ADESLAS, la mutua firmó una nueva póliza de seguro para sus empleados con Sanitas. Esta póliza cubría a los empleados y exempleados en condiciones preferentes con respecto a los clientes individuales.

Según las alegaciones de MMC, se les envió a todos los beneficiarios un escrito  informando de las condiciones de la póliza en las que se le solicitaba autorización para proceder al traspaso de datos. Esta autorización se consideró otorgada tácitamente al no recibir oposición por parte del denunciante. Se aportó copia del escrito aunque no se aportó prueba de su envío y/o recepción.

MMC reconoce el error de comunicar en el listado de personas adjuntos a la póliza, los datos de este extrabajador, contactando con Sanitas para que se procediera a la devolución de cualquier importe que se le hubiera cobrado.

Ante estos hechos, la AEPD inició procedimiento sancionador contra MMC por presunta infracción del artículo 11.1 de la LOPD. “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.”

Entre los hechos probados, queda constancia de la ausencia de consentimiento por parte del denunciante para el tratamiento y cesión de sus datos por parte de MMC.

En el presente caso se ha acreditado que MMC comunicó los datos personales del denunciante, exempleado de la entidad, incluyendo nombre, apellidos, DNI, fecha de nacimiento, sexo, domicilio y cuenta corriente, a un tercero, la entidad SANITAS. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso contar con el consentimiento del afectado o, en su defecto, debe acreditarse que concurre alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento. 

Sin embargo en este caso, MMC cedió los datos de su exempleado sin haber obtenido su consentimiento previo, por lo que debe entenderse vulnerado el artículo 11 de la LOPD.

Por esta razón, se impuso a Mutual Didat Cyclops (MMC), por una infracción del artículo 11.1 de la LOPD, tipificada como grave por el artículo 44.3.k) de dicha norma, una multa de 6.000€.

De este procedimiento merece la pena destacar un hecho relevante, MMC afirma que envió un escrito solicitando la autorización, pero, aunque presentó copia de la carta, no pudo acreditar ni el envío ni la entrega. Aunque MMC invoca el consentimiento tácito para la comunicación de los datos personales a un tercero hay que tener en cuenta que la definición que hace de CONSENTIMIENTO el artículo 3.h de la LOPD dice que este es “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le concierne”.

El adjetivo “inequívoco” que califica al consentimiento, significa según el Diccionario de la Real Academia Española “que no admite duda o equivocación” y, por contraposición a equívoco, lo que no puede entenderse o interpretarse en varios sentidos, o que no puede dar ocasión a juicios diversos.

La exigencia de que sea inequívoco está relacionada con la forma de prestar el consentimiento, pues el precepto comentado no establece ni requiere que tenga que prestarse de forma determinada, ni de forma expresa o por escrito.

En la SAN, Sec. 1ª, 20-9-06 (Rec. 626/2004), respecto al consentimiento tácito, se dice «en nuestra sentencia de 7 de julio de 2000 (recurso número 121/1999), decíamos en el Fundamento de Derecho Tercero: “Este tema del consentimiento tácito ha de ser tratado con una gran delicadeza cuando están en juego derechos constitucionales básicos 8 art. 18-4 C.E.) y a ello tiende toda la regulación legal
contenida en el articulado de la L.O. 5/92 y su explicación y filosofía recogida en la Exposición de Motivos. En la vida de relación es muy posible reconocer formas de tácita aceptación, pero siempre en aspectos no trascendentales o cuando se está operando sobre situaciones consolidadas y que están en la común consideración a modo de valores entendidos. No es el caso cuando lo que está en juego es la privacidad de las personas de ahí todas las cautelas normativas tendentes a proteger esa privacidad, sin que quepan interpretaciones de laxitud del art. 11-1 de la Ley a menos que el titular de la intimidad se haya situado voluntariamente en situación de abandono de la defensa de ese derecho, en cuyo caso sí podría hablarse de una forma de consentimiento tácito….”.

Fuente: AGPD

¿En qué casos es legal la cesión de datos de salud?

Debe partirse de la autorización que para el tratamiento de datos de carácter personal relativos a las salud establece el artículo 8 de la Ley Orgánica 15/1999, indicando que “Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica”

Igualmente, debe considerarse aplicable lo establecido en el artículo 7.6 de la Ley citada, que establece que los datos de carácter personal relativos a la salud podrán ser objeto de tratamiento cuando el mismo “resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médico o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra personal sujeta asimismo a una obligación equivalente de secreto”.

Por ello, y en relación con el consentimiento en cuanto a los concretos datos que hagan referencia a la salud, hay que recordar que la necesidad de consentimiento se encuentra exceptuado por el artículo 7. 3 de la Ley Orgánica en los casos en que una Ley habilite expresamente para el tratamiento, siendo así que los propios artículos 7.6 y 8 de la Ley son los que darían cobertura a este tratamiento en los supuestos en el mismo se efectúe en los términos de dichos artículos, esto es, por profesionales sanitarios sometidos a secreto profesional y con las finalidades indicadas en tales disposiciones.

            Fuera de lo anterior, los datos de salud no pueden cederse a personas que no sean profesionales médicos o sanitarios sujetos al deber de secreto profesional.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=599

Telefónica Móviles es sancionada por la AEPD por incluir los datos de una deuda inexistente de una vecina de Las Palmas de G.C. en el registro de morosos.

La Agencia de Protección de Datos ha sancionado a Telefónica Móviles España SA por haber realizado la contratación de un servicio de línea y la postarior facturación de consumo de esa línea a una vecina de Las Palmas de Gran Canaria, por un línea que nunca contrató y por un consumo que no realizó.

Según consta en el procedimiento sancionador (PS/00393/2011), Telefónica reconoce que su departamento de fraude detectó y corrigió la situación denunciada, anulando la deuda que se había generado de 497,23€ y que había trasladado a la denunciante.

No aparece ni constan el contrato (o la grabación de la contratación) de la línea.

Entre los hechos probados, destacan:

1.- Que Telefónica, a través de una asesoría jurídica, reclama a la denunciante la deuda antes citada.

2.- Telefónica emite sendas facturas y envía avisos de pago a la denunciada.

3.- Que ante el arbitraje solicitado ante la Junta Arbitral de Canarias, Telefónica comunica que había procedido a la anulación de las citadas facturas; y se cursa solicitud para su no inclusión en los registros de impagados.

4.- Con posterioridad al arbitraje, los servicios jurídicos contratados por Telefónica requieren nuevamente el pago de la deuda antes de proceder a la vía judicial.

5.- Consta también, con fecha posterior al arbitraje, la inclusión de la deuda en el registro de impagados de EXPERIAN.

Ante estos hechos, el procedimiento sancionador se abrió por infracción del artículo 6.1 por falta de consentimiento del titular del derecho; así como infracción del artículo 4.3..

TELEFONICA no ha acreditado en el procedimiento que cuente con el consentimiento del denunciante para el tratamiento de sus datos personales, materializado en el alta en la línea telefónica asociada al nº, ni que cuente con habilitación legal para ello. Dicho tratamiento de datos vulnera el principio del consentimiento recogido en el artículo 6.1 de la LOPD, por cuanto que el mismo ni se realizó con el consentimiento del denunciante, ni concurre en el supuesto examinado ninguna de las circunstancias previstas en el artículo 6.2 de la LOPD que permitirían a TELEFONICA tratar los datos de la denunciante sin su consentimiento.

El artículo 4.3 de la LOPD, dispone que: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.
La obligación establecida en el artículo 4.3 transcrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

El artículo 38.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, señala que:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.
b. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.
c. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación”.

Y el artículo 39 del Reglamento de desarrollo de la LOPD establece que:
“El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias”.

En el presente caso, ha quedado acreditado que los datos personales de la denunciante figuraron en los ficheros de solvencia, informados por TELEFONICA, como consecuencia de una deuda cuyo saldo impagado ascendía a 497,23 euros, por una operación de telecomunicaciones y en calidad de titular, sin que la deuda informada fuera cierta, vencida y exigible: en primer lugar, porque consta acreditado que la denunciante no era cliente de la entidad; en segundo lugar, por las propias manifestaciones de la entidad al indicar, en respuesta ofrecida a la JJAA de Canarias, de fecha 26/01/2011 que “analizado el expediente de la Sra.  y los datos disponibles en nuestros archivos, verificamos que la línea de referencia causó baja total con fecha de efectividad 06/08/2009. Asimismo les comunico que, de acuerdo a la documentación aportada, procedemos, con fecha de hoy, tramitar la anulación de las facturas julio, agosto y septiembre 2009, pendientes de abono en este momento, por posible suplantación de personalidad. Para concluir, cursamos las instrucciones oportunos para excluir los datos de la cliente de cualquier fichero de solvencia en los que estuviera incluida”, según consta en el hecho probado séptimo.

No obstante, a pesar de la respuesta ofrecida al citado organismo arbitral, el proceder de TELEFONICA fue el opuesto: continuó tratando los datos de la denunciante, trasladándolos a empresas dedicadas al recobro de deudas, quienes procedieron al envío de requerimientos de pago inquiriendo y conminándole al pago de una deuda que no le correspondía y que no existía pues las facturas habían sido anuladas y, además, enviándole un escrito de demanda de inicio de procedimiento monitorio dirigido al Juzgado de Primera Instancia que por turno le correspondiera y, como corolario, procediendo nuevamente a la inclusión de los datos en los ficheros de solvencia patrimonial y de crédito ASNEF y BADEXCUG.

Ambas infracciones han sido tipificadas como graves, atendiendo según el artículo 44.3b. de la LOPD, y se han impuesto dos sanciones de 50.000€, una por infracción del principio de consentimiento y otra por infracción del principio de calidad.

Fuente: AGPD

Telefónica de España sanciona por incluir datos por deuda inexistente en el registro de morosos

La Agencia Española de Protección de datos ha sancionado a Telefónica de España por incluir los datos personales de un cliente en una lista de morosos por una deuda inexistente y por la facturación de un servicio de telecomunicaciones que no había contratado.

La AEPD inició procedimiento sancionador con Telefónica de España (en adelante Telefónica) (PS/00451/2011) ante la denuncia presentada por un ciudadano por la inclusión de sus datos en el fichero de ASNEF. El denunciante se puso en contacto con Telefónica para indicarles que hacía mas de 14 años que no era cliente de esa empresa. Nunca había contratado dicho servicio y nunca había residido en Pontevedra (donde se había realizado la gestión).

Solicitó acceso al fichero ASNEF y figuraba en el mismo un apunte de una deuda de 449,24€. A través de la OMIC de Santa Lucía (Gran Canaria) realizó una reclamación a Telefónica, contestando esta que iban a solventar el asunto. Pasado unos meses, se vuelve a instar a Telefónica, quien después de varias reclamaciones le indica que no existe ninguna deuda registrada en el fichero de impagados.

Nuevamente tiene conocimiento de que se ha incluido una nueva deuda en el ASNEF de 357,42€, volviendo a aparecer una dirección de Pontevedra en el apunte. Presenta nueva reclamación ante Telefónica que hace  caso omiso, y ante ASNEF, quien sí procede a la cancelación del registro.

Esta situación comenzó en el 2006, aunque no tuvo conocimientos de los hechos hasta el 2008, y ha traído como consecuencias la imposibilidad de financiar cualquier producto o servicio por parte del denunciado.

Se consideraron hechos probados mas relevantes, los siguientes:

1.- Telefónica reconoce el error en la facturación reclamada de 449,24€ y procedió a realizar un abono, a fin de anular la deuda.

2.- Tiempo después, consta en el ASNEF una deuda de 357,42€, por una línea que niega haber contratado.

3.- Que habiendo solicitado a Telefónica la anulación de esa deuda, ésta afirma que esos datos no figuran en ningún registro de impagados.

4.- Telefónica no aporta el contrato por el servicio que dió lugar a la reclamación.

Por estas razones, la AEPD inició procedimiento sancionador contra Telefónica por:

Se imputa a TELEFONICA el tratamiento sin consentimiento de los datos personales del denunciante. El artículo 6 de la LOPD, determina: “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”

En el presente caso el denunciante niega haber contratado los servicios de TELEFONICA de la línea, y esta no ha aportado prueba alguna que lo acredite más allá de que sus datos personales obran en sus ficheros asociados a dicha línea pero sin dar cuenta de su origen, esto es no ha aportado contrato suscrito por el denunciante, o grabación de voz en el caso de que la contratación se hubiera efectuado telefónicamente. Tampoco ha aportado boletín de instalación de la línea y servicios activados en un domicilio, que por otra parte el denunciante niega que nunca hubiera sido el suyo.

En base a lo expuesto en los fundamentos de derecho anteriores TELEFONICA ha realizado un tratamiento de los datos personales del denunciante sin su consentimiento al haber quedado acreditado que la entidad imputada trató los datos de carácter personal del mismo en sus propios ficheros, de los que la operadora tiene la consideración de responsable, utilizándolos para emisión de nueve facturas de la línea.

El denunciante niega tener relación contractual con TELEFONICA relativa a la línea, y ésta no ha podido acreditar la existencia de la misma, ni dar razón del tratamiento de sus datos personales en sus ficheros sin que medie contrato ni consentimiento de la misma.

El artículo 4 de la LOPD señala en su apartado 3: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado” y en su apartado 4 prescribe: “Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.

La obligación establecida en el artículo 4 transcrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan en todo momento a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

TELEFONICA ha sido responsable del tratamiento de datos en sus propios ficheros, de su comunicación a través de tratamientos automatizados al responsable del fichero común y de que el tratamiento automatizado de la información relativa al denunciante no responda a los principios de calidad de datos recogidos en el artículo 4 de la LOPD (exigencia de que los datos sean exactos y respondan a la situación actual de los afectados).

Conforme a lo expuesto, el imputado no se ha limitado a transmitir la información al responsable del fichero común sobre solvencia patrimonial, sino que ha tratado automatizadamente los datos de solvencia en sus propio.s ficheros, los ha comunicado a través de tratamientos automatizados al fichero común, y, particularmente, ha decidido sobre la finalidad del tratamiento (la calificación en sus ficheros como deudor), el contenido de la información, y el uso del tratamiento (la incorporación a un fichero común de información sobre solvencia patrimonial y crédito al que pueden acceder terceras entidades para realizar una evaluación o perfil económico de las personas incorporadas al mismo).

Todo ello sin que los datos comunicados fueran exactos pues la deuda no era no cierta ni exigible al denunciante. Ello supone una vulneración del principio de calidad de datos de la que debe responder TELEFONICA por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra al fichero de solvencia patrimonial y crédito.

Por estas razones, la AEPD ha impuesto dos sanciones a Telefónica, la primera por infracción del principio de consentimiento, artículo 6.1 por importe de 50.000€; y la segunda, por infracción del principio de calidad de los datos, artículo 4.3, por importe de 50.000€.

Fuente: AGPD

Una residencia de ancianos es sancionada por facilitar datos de ancianos a una farmacia.

El Tribunal Supremo confirma la sanción de la Agencia Española de Protección de Datos a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.

Tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.

El titular de la farmacia reconoció que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.

El listado aportado por la residencia de ancianos contenía los siguientes campos de información de sus residentes: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.

En los contratos suscritos entre la residencia y los residentes, tal y como quedó probado, no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Por su parte, la residencia de ancianos argumentó que presta a los residentes un servicio de atención integral, que permita cubrir todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añadiendo que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.

La Sala del Tribunal Supremos, mantiene que no está en condiciones de determinar el modo en que se debería proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.

El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico. Por todo ello, se desestima el recurso de casación interpuesto por la Residencia, contra sentencia de la Audiencia Nacional, que confirma la sanción de la Agencia Española de Protección de Datos de 300.506 euros. (TS 08/10/2010, Rº 4353/06).

Fuente: http://www.dlcarballo.com/2012/04/sancion-por-facilitar-datos-de-ancianos-a-una-farmacia/

 

Estadística del blog

  • 110,343 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: