PROTEC-DATOS
deber de secreto
Sanción por envío de email a múltiples destinatarios sin copia oculta
La AEPD ha sancionado a la entidad Fundación Santa María la Real por el envío de un correo electrónico realizado el pasado 31 de mayo de 2012 sin copia oculta, figurando en el mismo la dirección electrónica de unos 1.000 destinatarios distintos.
La entidad sancionada reconoció los hechos que se l
e imputan a fin de atenuar la graduación de la sanción que fue tipificada como GRAVE. En las diligencias abiertas quedó acreditado como hecho probado la realización del envío del correo electrónico objeto de la denuncia con los datos de múltiples destinatarios a la vista.
El artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”
En el presente caso, ha quedado acreditado en el expediente que el denunciante recibió un correo electrónico remitido por el denunciado, donde se visualizaban datos personales de múltiples personas, (direcciones de correo electrónico) (incluido el suyo propio) por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.
Teniendo en cuenta los criterios de graduación de las sanciones recogidos en el citado artículo 45.4 y el contenido del art. 45.5.d) de la LOPD, al haber reconocido el denunciado su culpabilidad y en especial la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento procede aplicar lo dispuesto en el art. 45.5 de la LOPD e imponer la sanción dentro del intervalo de las calificadas como
leve.
Tomando en consideración la obtención licita de los datos de correo electrónico del denunciado, el número de destinatarios (más de mil), así como el tipo de información a la que hacía referencia el correo (información sobre la presencia de la misma en la Feria del Libro), por todo ello procede la imposición de la sanción en el importe de 2000 €.
Amplían la querella contra los dos celadores del Hospital Nuestra Señora de La Candelaria
Según informa el diario digital http://www.canariasahora.com el abogado de la paciente que ha denunciado a dos celadores de este centro hospitalario, ha ampliado la querella al contrastar los accesos de los imputados al historial clínico de la denunciante con la que realmente, según fuentes del hospital, les correspondía.
Este personal sanitario solo puede acceder a la historia clínica cuando realizan sus funciones administrativas (ingresos o traslados), no pudiendo realizar otro tipo de accesos. Según las diligencias que tramita el juzgado, ninguno de los accesos de los celadores imputados al historial clínico guardaban relación con esas necesidades administrativas ni de gestión de incidencias. Consta que han «entrado mas veces al historial clínico que los propios médicos que la han intervenido y que siguen su evolución», según consta en la intranet del hospital.
Hasta tal punto llegó el acceso a esta historia clínica que según ha puesto de manifiesto la auditoría realizada, la segunda persona imputada accedió hasta en cinco ocasiones a la historia clínica de la denunciante cuando esta ya no se encontraba en el centro hospitalario, ni siquiera estaba en Tenerife, sino en Pamplona, recuperándose de una intervención. Además, el primer imputado también ha realizado accesos en multitud de ocasiones a la historia clínica de la denunciante sin necesidad.
La Asociación para la Defensa de la Sanidad Pública en Canarias, que en un comunicado reciente afirmaba que “la seguridad y la privacidad de los datos son cruciales en las historias clínicas y en cuanto a los permisos de acceso a las mismas, ya que los pacientes son los propietarios de sus propias historias, son ellos mismos quienes han de decidir quién puede ver su información sanitaria y cuándo.Por tanto resulta inconcebible e intolerable que cosas como la denunciada puedan suceder en el Servicio Canario de la Salud cuando es éste el que ha de proteger las historias clínicas electrónicas de intrusos como los denunciados que no tienen la correspondiente autorización escrita por parte de la paciente «.
Habrá que seguir las evoluciones jurídicas de este caso así como la posible actuación de oficio de la propia Agencia Española de Protección de Datos, ya que, como todo parece apuntar, estamos ante una infracción grave, (art. 44.3.d), del deber de secreto , según regula el artículo 10 de la Ley Orgánica de Protección de Datos Personales.
Fuente: Canarias Ahora.
Protección de datos sanciona a una comunidad de vecinos por exponer datos de un inquilino en el tablón de anuncios de la comunidad
La AEPD ha impuesto una sanción por vulnerar el deber de secreto a una comunidad de vecinos que publicó los datos personales de una inquilina como deuda de las cuotas de comunidad en el tablón de anuncios a la entrada de la urbanización.
Según consta en el procedimiento sancionador se presentó la denuncia por una inquilina por una infracción de la normativa de protección de datos por parte de la Comunidad de Propietarios en la que la misma reside a titulo de arrendataria. Denuncia que la citada Comunidad expuso en un tablón cerrado con llave, durante el mes de mayo de 2011, situado sobre un muro en el acceso y entrada a la urbanización donde se encuentra ubicada la vivienda, una relación de impagados, entra las que figura su nombre y apellidos asociados a una deuda de la vivienda letra I, sin ser la propietaria de la vivienda.
El procedimiento deja constancia de los siguientes hechos probados:
1.- La existencia de dos notas de MOROSIDAD en el tablón de anuncios de la comunidad.
2.- En la nota interna que se ha hecho entrega a todos y cada uno de los propietarios, se incluye la deuda de la vivienda afectada y se asocia dicha deuda a la inquilina, apareciendo su nombre y apellidos.
3.- La inquilina presenta el correspondiente contrato de arrendamiento de la finca.
El artículo 10 de la LOPD, establece que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.
Dado el contenido del citado artículo 10 de la LOPD, ha de entenderse que el mismo tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia n. 361, de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.
El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la protección de datos a que se refiere la citada Sentencia del Tribunal Constitucional 292/2000, y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.
En el presente supuesto, la Comunidad es la responsable de los ficheros que albergan los datos de los propietarios, en este caso también de algunos inquilinos obligados al abono de gastos a la Comunidad según consta en los contratos aportados. Respecto a que al no ser propietaria de la vivienda su dato se vio expuesto en el tablón de la comunidad, se debe indicar que en el contrato que la denunciante firmó se
desprende que es ella la que debe satisfacer las cuotas comunitarias, y en el tablón no se la identificaba como propietaria sino como inquilina, lo que no quiere decir que no esté sujeta a las potestades que la Comunidad ostenta para liquidar los gastos adeudados a la misma.
Los datos recabados por la propia Comunidad de Propietarios no necesitarán el consentimiento de los copropietarios y en este caso inquilino-denunciante para llevar a cabo su labor principal, ya que existe una relación copropietarios/Comunidad, en base a que esta ha de asegurar el cumplimiento de las obligaciones legales, debiendo asumir todas y cada una de las obligaciones reflejadas, bien por los estatutos de la propia Comunidad, bien por Ley.
No obstante, la posibilidad de tratar estos datos, ha de llevarse a cabo bajo el principio del secreto de los mismos, de modo que se convierte en obligatoria la observancia de lo dispuesto en el artículo 10 de la LOPD.
No existe en el presente caso causa que justifique la exposición en tablón de anuncios de los datos como deudor de la denunciante, con independencia de que su condición estatutaria a nivel de Comunidad sea la de inquilina, pues la que actuó fue la Comunidad, exigiendo el abono de las cuotas a las que parece ser la misma se obligó con la arrendataria. En tal sentido que parece ser era conocido por la Comunidad es indiferente en este caso que no fuera propietaria, pues carecía en el caso examinado de apoyo legal para exponer sus datos que pudieron ser conocidos por los terceros que transitaran por dicho espacio, fuesen amigos, parientes, vecino u otros inquilinos.
En el presente caso, con la no observancia del sentido del artículo 10 de la LOPD a la vista de la Ley de Propiedad Horizontal, al exponer el listado de deudores al público, no solo a los propietarios, sino a terceros que pudieran transitar por dicha zona, se acredita que la Comunidad ha infringido la normativa de Protección de Datos. La Ley no habilita esta comunicación, por no cumplirse los requisitos establecidos en la LPH, ni constar la
prestación de consentimiento por parte del denunciante. Ello supone incurrir en la conducta tipificada como grave en el artículo 44.3.d) de la LOPD que determina como tal:” La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.
Por ello, se ha impuesto a esta COMUNIDAD DE VECINOS una sanción por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.000€.
Cloud Computing: La seguridad y confidencialidad de los datos: el secreto profesional
Uno de los principios esenciales de la protección de datos es el de seguridad y un derecho irrenunciable de la profesión de abogado es el secreto profesional, la responsabilidad ética y jurídica de salvaguardar la información de los clientes. Este derecho-deber impone a los responsables de tratamientos una diligencia cualificada sobre la observancia por el proveedor de servicios de todas las garantías legales relativas a los requerimientos de seguridad exigidos en relación con los datos, documentos y actuaciones amparadas por el secreto profesional.
El artículo 12.2 de la LOPD dispone que “en el contrato entre responsable y encargado se estipularán las medidas de seguridad que deberá implementar el encargado”
En materia de seguridad y confidencialidad, y desde un punto de vista técnico, los aspectos esenciales a tener en cuenta durante la selección del proveedor de servicios Cloud son los siguientes:
• Como cuestión previa, tanto el responsable que contrata como cliente estos servicios como el propio prestador de servicios han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.
• El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
• El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los responsables del tratamiento así como por parte de los clientes, en los términos que el responsable determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial.
• El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al responsable el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas. Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el responsable y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al responsable o al nuevo proveedor designado por éste.
• Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.
• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, deben contemplarse garantías alternativas que cumplan el mismo objetivo, tales como la intervención de un tercero independiente de acreditado prestigio que audite las medidas de seguridad implantadas.
• Que, en todo caso, si se producen incidencias de seguridad que afecten a los datos personales de los que es responsable el cliente del servicio de Cloud Computing, sean puestos en su conocimiento por el prestador del servicio junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.
Las medidas adoptadas deberán ajustarse a las previsiones contenidas en los artículos 79 y ss. del RLOPD, teniendo en cuenta que no todos los datos de carácter personal gozan del mismo nivel de protección, dado que existen datos especialmente protegidos, entre los que se encuentran por ejemplo los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas.
Así se establecen tres niveles de seguridad (básico, medio y alto) que se asocian a tres categorías de datos en función del nivel de protección de los mismos. El encargado del tratamiento (el prestador del servicio Cloud) es quien debe implementar estas medidas, que le debe exigir el responsable del tratamiento mediante el oportuno contrato escrito.
Fuente: AGPD
Sanción de 6.000€ a UGT por incumplir las medidas de seguridad y del deber de secreto al compartir un fichero con datos de afiliados a través de eMule
La FEDERACIÓN ESTATAL DE INDUSTRIAS AFINES DE LA UNIÓN GENERAL DE TRABAJADORES, fué denunciado ante la AEPD por el AYUNTAMIENTO DE OURENSE motivado por la entrada de un correo electrónico de la Policía Local de Ourense que manifiesta que ha encontrado y descargado un archivo de un usuario de Internet, en un entorno compartido en Emule, siendo el nombre del archivo “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”.
Se verifica dicho archivo y consta lo siguiente:
– Se verifica que se encuentra un fichero denominado “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”, el cual contiene una base de datos en formato de Microsoft Access.
– Se verifica que al abrir la base de datos se encuentra un formulario en cuyo encabezamiento figura el texto: “F.I.A.- U.G.T. BIERZO”, obteniéndose impresión de pantalla del mismo.
– Desde dicho formulario se selecciona el botón “Afiliado” verificando que se encuentran 1.295 registros y que entre los mismos se encuentra uno a nombre de D.D.D.D. en el que el campo “CARGO SINDICAL” toma el valor “ E.E.E.”, obteniéndose impresión de dicho registro.
– Desde dicho formulario se seleccionan también los botones “Lista Afiliados”, “Lista Bajas” obteniéndose impresión de pantalla en cada caso, verificando que en el primer caso el número de registros existentes es de 1.187 y en el segundo 1.594; desde el mismo formulario y desde el botón “Informes” se obtiene impresión del informe “Listado General de Afiliados”.
– Se verifica que la base de datos se compone de diferentes tablas entre las que se encuentran las denominadas “AFILIADO” y “EMPRESAS”, verificando que la primera se compone de 2.890 registros y obteniendo impresión de pantalla resultado de ordenar los registros por el campo “FECHA ACTUALIZACION” en la que se obtiene información como una de las últimas fechas el 25/10/06, de uno de los afiliados, por fallecimiento accidente. Se verifica que en la primera tabla se encuentra un registro a nombre de D. D.D.D., obteniéndose impresión del contenido íntegro del registro. Se obtiene también
impresión parcial del contenido de la tabla “EMPRESAS” verificando que se compone de 126 registros.
Según se pudo comprobar ese archivo“corresponde a una aplicación informática utilizada para la gestión del fichero denominado “BASE DE DATOS AFILIADOS BIERZO”, en el que se recogen los datos personales de los afiliados a FIA-UGT en la comarca del Bierzo”. Y que el usuario autorizado a acceder al mismo en el sindicato también podía hacer una copia en la que podía seguir trabajando en la misma.
Esa copia la instaló en un portátil en su domicilio con el resultado de que la misma fue compartida con otros usuarios a través del eMule, «aunque no está probado que el mismo lo hiciera conscientemente y con la intención de dar a conocer o difundir este archivo, ni que con ello pretendiera perjudicar a los afiliados o a la organización sindical FIA-UGT de la comarca del Bierzo…>>
Hay que tener presentes en este caso, de que además de los datos personales incluidos en el archivo, los mismos venían asociados a su condición de asociados al sindicato.
El artículo 7 de la LOPD regula como datos especialmente protegidos:
“1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado…”
El artículo 9 de la LOPD, dispone:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.
Para completar el sistema de protección en lo que a la seguridad afecta, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros “…que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.
Los artículos 23 al 26 del citado RD 994/1999 concretaba las medidas de seguridad de nivel alto, como el cifrado de los datos para la distribución de los soportes y su transmisión a través de redes de telecomunicaciones, el registro de accesos y la conservación de copias de respaldo y recuperación en lugar diferente en que se encuentren los equipos informáticos que tratan los datos.
FIA-UGT estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que FIA-UGT incumplió esta obligación.
Dado que ha existido vulneración del “principio de seguridad de los datos”, se considera que FIA-UGT ha incurrido en la infracción grave descrita.
Por tanto, el Director de la AEPD ha impuesto una sanción por infracción del artículo 9.1 de la LOPD, tipificada como grave, con una multa de 6.000€ (seis mil euros).
Abre una perfumería y le sancionan por enviar un email a su lista de contactos en hotmail.
Un empresario abre una perfumería y, con toda la buena intención del mundo, pone en conocimiento de su lista de contactos su nueva actividad a fin de que puedan estar informado de ello.
El envío del email lo realizó solo a 17 direcciones de correo entre las que se encontraba la dirección del denunciante; además, las direcciones estaban incluidas en el campo «Para», por lo que todas ellas resultaban visibles a todos los contactos.
Entre los hechos probados en este procedimiento sancionador que abrió la AEPD constan los siguientes:
1.- Que se envió un email desde la cuenta de correo del denunciado a la del denunciante.
2.- Que el contenido del mensaje es de carácter comercial.
3.- Queda acreditado el envío a 17 contactos sin ocultar la identidad o dirección de los mismos.
Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico.
Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española, tanto por la LSSI (a consecuencia de la transposición de la Directiva 2000/31/CE, de 8 de junio) como por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
La LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra la excepción en el segundo párrafo del citado artículo, que autoriza el envío cuando “el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación”. De este modo, el envío de comunicaciones comerciales no solicitadas, fuera del supuesto excepcional del art. 21,2 de la LSSI, puede constituir una infracción leve o grave de la LSSI.
Como ya se ha señalado, la LSSI prohíbe las comunicaciones comerciales no solicitadas, partiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:
“f) Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.
A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica”.
En el presente supuesto, ha quedado acreditado que el denunciante recibió en su buzón de correo electrónico una comunicación comercial por medios electrónicos sin autorización expresa y sin que concurriera alguna relación comercial previa de productos similares que pudiera legitimar el envío.
En cuanto al ámbito de la LOPD, el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”
En el presente caso se ha acreditado la vulneración del deber de secreto que incumbe a todo aquel que intervenga en el tratamiento, como la denunciante, pues de la comunicación comercial enviada por ésta y analizada se desprende que más de 15 destinatarios de dicha comunicación conocieron datos personales de aquellos que también eran destinatarios y viceversa, quedando a disposición de éstos y sustrayendo
el control a sus titulares.
Es por ello, que la AEPD ha sancionado a este empresario con dos sanciones, una por infracción del artículo 21.1 de la LSSI, una multa de 1.200€; y por una infracción del artículo 10 de la LOPD a una multa de 900€.
Fuente: AEPD
¿En qué consiste el deber de guardar secreto?
El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase del tratamiento de los datos, en el amplio sentido en que lo define el artículo 3,c), a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero: ‘El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.’
El incumplimiento del deber de secreto puede ser constitutivo de una sanción leve, en los términos del artículo 44.2.e), o de infracción grave de acuerdo con lo previsto en el artículo 44.3.g) en virtud del cual, ‘La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.’
La vulneración del deber de guardar secreto sobre los datos de carácter personal especialmente protegidos a que hacen referencia los apartados 2 y 3 del artículo 7, así como de aquellos que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas, puede ser constitutivo de una sanción muy grave en los términos del artículo 44.4.g) de la Ley Orgánica 15/1999.
Fuente: AGPD
Sanción a un gimnasio por enviar un fichero adjunto al correo con datos de 9.293 personas
La AEPD ha sancionado a un gimnasio (O2 CENTRO WELLNESS PLENILUNIO, S.L.) por enviar un correo electrónico enviado a 334 destinatarios con un fichero adjunto que contenía los datos personales de 9.293 personas, incluidos los datos del denunciante.
El fichero contenía el nombre y apellidos, domicilio, teléfono (línea fija y móvil o celular), dirección email, NIF y sexo.
El gimnasio, una vez detectado el error, realizó un envío de un correo pidiendo disculpas por el error producido e indicando que la empresa cumple con la ley de protección de datos personales.
Aunque la empresa tenía establecido una política de confidencialidad y protección de datos, una empleada de la misma, que tenía firmado el compromiso de confidencialidad, realizó el envío de la comunicación como parte de una campaña de marketing contra la BBDD de clientes del gimnasio, que previamente habían consentido en ceder sus datos de contactos con estos fines.
La AEPD abrió procedimiento sancionador por vulneración del deber de secreto, y, según consta en el PS/00559/2011, son hechos probados los siguientes:
* Mayo del 2011 se realizó una campaña de marketing.
* Dentro de esa campaña, se realizó el envío del correo con el fichero adjunto que ha motivado la denuncia.
* La denunciante está incluida en el listado adjunto en ese correo.
* Que el gimnasio envió un correo de disculpas por el error en el envío.
* Que la empresa tiene establecida una política de confidencialidad y que la trabajadora que realizó el envío tenía firmado el parte de confidencialidad.
El artículo 10 de la LOPD dispone:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
La disposición final quincuagésima sexta “cuatro” de la Ley 2/2011, de 4 de marzo, de Economía Sostenible (BOE 5-3-2011), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD, en lugar del existente hasta su entrada en vigor, del siguiente tenor:
“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
No obstante, en el presente caso, atendida la naturaleza de los hechos, no se estima aplicable la previsión contenida en el mismo, considerando el número de afectados incluidos en el listado de abonados (9293 afectados) y la difusión realizada del mismo (334 destinatarios del correo electrónico que adjuntó el fichero en cuestión).
En vista de estos hechos probados, la AEPD impone sanciona por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d. de dicha norma, una multa de 3.000€.
Este procedimiento sancionador pone sobre la mesa la realidad del riesgo que corre toda entidad o responsable de ficheros que traten datos de carácter personal. No solo es necesario establecer una política de protección de datos correcta o legal, sino que es necesario ir mas allá, es decir, es necesario analizar adecuadamente los riesgos que el tratamiento de la información comporta: cuáles son las amenazas, cuáles las vulnerabilidades del sistema, cuales serían los impactos y, a partir de aquí, establecer las medidas de seguridad y las contramedidas suficientes para garantizar la integridad, disponibilidad y confidencialidad de la información de la cuál somo garantes por imperativo legal.
No hay que olvidar que la mayor parte de los errores o incidencias de seguridad, son producidas conscientes o inconcientemente por los usuarios del sistema. Por tanto, el factor humano es el principal causante de estos incidentes de seguridad. ¿Qué nos dice esto?
1.- Que no es suficiente con establecer medidas de seguridad físicas o perimetral, siendo estas obligatorias.
2.- No es suficiente con formar al personal en materia de seguridad de la información y protección de datos. Aunque esta sea una obligación que el legislador imponga al responsable del fichero sobre los usuarios que traten datos personales, en el supuesto de que se hubiera realizado las acciones formativas precisas.
3.- Es vital, no solo realizar los pasos anteriores, aspectos previstos en la Ley 15/1999 y su reglamento de desarrollo RD 1720/20007, sino ir mas allá. En esto la norma ISO 27001 lo encontramos en el punto de control 8.2, en especial el 8.2.2., ya que este punto de control establece que durante el empleo hay que concienciar, formar y entrenar sobre la seguridad de la información. Es evidente que este control no se puede limitar a una sola acción formativa, en el caso que se hubiera hecho en el caso comentado de este gimnasio. Tampoco se puede limitar a la simple firma de un protocolo o pacto de confidencialidad, en el que el responsable del fichero comunique al usuario que hay establecida una política de seguridad y que éste deberá cumplirla.
Este punto de control va mas allá, habla de la concienciación, formación y entrenamiento. Para entender bien lo que en el fondo se quiere controlar, hay un refrán popular que dice que «la repetición es la madre de la retención», este es el espíritu de este control. No puede haber concienciación si no hay repetición. No hay formación sin repetición. No hay entrenamiento válido sin repetición. Dicho en otras palabras, la concienciación, formación y entrenamiento deberá ser una medida de seguridad continuada en el tiempo, mantenida en el espacio, porque desde el momento en que esa repetición cese, estaremos exponiendo nuestros activos de información a la mayor de las amenazas, el factor humano.
Moraleja: Hay que concienciar, formar y entrenar… «la repetición es la madre de la retención».
Fuente: AGPD.
El Cabildo Insular de Lanzarote infringe el deber de secreto al filtrar datos personales en un comunicado de prensa
Según consta en el expediente sancionador AAPP/00045/2011, la Agencia Española de Protección de Datos ha sancionado al Cabildo Insular de Lanzarote por una infracción del artículo 10 de la LOPD relativo al incumplimiento por parte de esa administración pública del deber de secreto.
Según consta en el citado expediente, el Cabildo de Lanzarote hizo entrega de un documento en pdf que contenía un listado de todos los abogados que habían trabajado para esta administración pública y los honorarios percibidos desde 1997 a 2010. Este documento fue distribuido por el Gabinete de Prensa del Cabildo a distintos medios, entre ellos a «La voz de Lanzarote» y otros siete. Este documento incluía los nombres y apellidos de los profesionales así como cantidades percibidas por los mismos.
Ante la denuncia presentado por uno de los abogados afectados ante la AEPD, esta inició las actuaciones previas. Llama poderosamente la atención la dejación que hace el Cabildo al requerimiento que hace la propia AEPD, tanto al del 11 de mayo como al del 8 de julio.
Quedando como hechos probados, según el expediente sancionador, los siguientes hechos mas relevantes:
1.- Que para refutar una denuncia, el Cabildo aporta una lista en pdf con los nombres y apellidos, así como los emolumentos percibidos por los abogados desde 1997 a 2010.
2.- Que el documento en pdf fue recepcionado por los medios informativos y quedó accesible a toda persona que leyó la noticia en los medios digitales, al incluir estos un enlace al documento.
3.- En la citada relación, aparecen los datos del denunciante.
4.- Que el Gabinete de Prensa del Cabildo hizo difusión de ese documento a distintos medios informativos.
5.- Que el motivo que llevó al Cabildo a dicha difusión de ese documento fue desmentir unas manifestaciones previas del Grupo Socialista del Cabildo, en relación con el pago de emolumentos a un abogado con un montante de mas 300.000€.
Según establece la propia redacción del artículo 10 de la Ley 15/1999, de 13 de diciembre, “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.
Dado el contenido del citado artículo 10 de la LOPD, ha de entenderse que el mismo tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos.
El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la protección de datos y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.
No obstante existen límites al no secreto de los datos como los que pueden entrar por el artículo 11 de la LOPD al señalar: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.
Señalando el apartado 2 de dicho artículo que el consentimiento exigido en el apartado anterior no será preciso: “ a) Cuando la cesión esté autorizada por una ley”.
En el supuesto analizado no existe Ley alguna que permita trasladar los datos personales del denunciante referidos a las cuantías que anualmente ha percibido por parte del Cabildo a la Prensa, ni se exige en norma alguna la publica difusión de ambos datos unidos, máxime teniendo en cuenta que la noticia publicada no hacía referencia alguna ni estaba a debate sus emolumentos ni su persona. En tal sentido conviene destacar el principio de calidad en el tratamiento de datos de la pertinencia y adecuación señalado en el artículo 4 de la LOPD que señala:”1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” En este caso el hecho de ceder toda una relación de datos personales entre los que se incluían los del denunciante para desmentir lo referido a un aludido, no es proporcional, adecuado ni pertinente.
No existiendo Ley alguna que ampare la comunicación de datos, en este caso indiscriminada a la Prensa, para desmentir un comunicado anterior supone una infracción del deber de secreto a la custodia y conservación de los datos de que se dispone.
Esto motiva que la AEPD, sancione al Cabildo Insular de Lanzarote, por una infracción del artículo 10 de la LOPD, tipificado como leve en el artículo 44.2.e.
Fuente: AGPD
Leer mas sobre esta noticia: http://www.canariasahora.es/noticia/219126/
¿Vulneramos el deber de secreto cuando entregamos documentación con datos personales a persona distinta del interesado?
El artículo 10 de la LOPD establece el deber de secreto, de tal forma que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de sí mismos y al deber de guardarlos.
Artículo 10. Deber de secreto
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Como bien indica dicho artículo en su parte final, esta obligación subsistirá aun después de finalizar la relación con el titular de los ficheros o, en su caso, con el responsable del mismo.
Por tanto, podemos afirmar que toda persona o entidad que maneje información de carácter personal resulta obligada a mantener su confidencialidad y a no ceder dicha información a nadie sin el consentimiento del titular de los datos personales, salvo que concurra alguna de las excepciones reguladas en el artículo 11.2 de la LOPD.
Por ello, la entrega de documentación con datos personales a persona distinta del interesado tiene la consideración de infracción del deber de secreto; infracción que con la actual redacción del Título VII ha pasado a ser tipificada como grave, siendo sancionable con multa de 40.001€ a 300.000€.
Podemos ver algunos casos de este tipo de infracción en los procedimientos sancionadores PS/00271/2011 y PS.
En el primiero de ellos, el PS/00271/2011 se sanciona al Sindicato CGT de Hostelería, Alimentación y Comercio por «revelar la dirección de un familiar en un acto público de una asamblea de trabajo celebrada el 28 de junio del 2010, en el que se entregó un documento con dicha dirección a todos los asistentes»… En este caso, la sanción ascendió a 601,00€ por infracción del artículo 10.
En el segundo de ellos, el PS/00309/2011, se sanciona a COMUNIDAD DE PROPIETARIOS FASE CUMBRES DE LA URBANIZACIÓN CUMBRES DE CALICANTO, EN TORRENT, Valencia, porque «en una vía pública aparecen expuestos en un tablón, una serie de listados pertenecientes a la ASOCIACION CIVIL PROPIETARIOS FASE CUMBRES, no siendo esa la sede de la misma. En dicho tablón, aparecen los supuestos deudores a la Asociación.»
Esta lista, según manifiesta el procedimiento sancionador, dentro de los hechos probados se señala que en dicho tabló se publicaron «unos listados que contienen el punto 6 del acta de la Junta celebrada el 24/07/2010. (272 a 274, 282) con datos personales de deudores, titulado “Liquidación de recibos pendientes de pago, acuerdo liquidatario y actualización de propietarios con recibos pendientes de pago.”. Dicho listado en columnas identifica el número de parcela y la deuda. (289 a 291, 272, 280 a 293). También, según la citada acta notarial, figuraba expuesta la hoja del acta de “Lista de asistentes” que identifica nombre y apellidos con el número de la parcela de la que se es titular. La indicada vía pública es de uso común y público (269).»
Por este hecho, revelar a terceros documentación con datos personales en un espacio común y público, la AEPD sancionó a dicha comunidad de vecinos por una infracción del artículo 10 de la LOPD con un sanción de 1.200€.
Por tanto, y a modo de resumen, recordar que la entrega de documentación con datos personales a persona distinta del interesado, constituye una vulneración del deber de secreto.
PROTEC-DATOS 