//
Archivos

principio de calidad

Esta etiqueta está asociada a 6 entradas

Un vecino de Las Palmas de GC denuncia a Jazztel (Orange) por un alta fraudulenta y le imponen dos multas de 35.000€ a la operadora

Un vecino de Las Palmas de Gran Canaria interpuso una denuncia ante la AEPD contra la compañía Jazztel. El motivo de dicha denuncia vino motivada por estar incluido en un fichero de moroso del cuál tuvo conocimiento cuando estaba en trámites de solicitar un préstamo para la adquisición de una vivienda.

Según Jazztel (ahora Orange), el vecino tenía una deuda con la compañía que ascendía a 341,04€ y procedió a registrarla en ASNEF. Según la propia investigación de la AEPD, la operadora realizó un tratamiento de los datos personales de la persona denunciante sin tener en cuenta los principios de consentimiento al tratamiento y de calidad de los datos. Sin el consentimiento inequívoco del denunciante incorpora sus datos personales a su fichero de clientes como titular de una línea de telefonía móvil; posteriormente, y siguiendo con la gestión de esos servicios, emite facturas a su nombre y –sin notificación de requerimiento de pago previo- incluye sus datos personales en Asnef y Badexcug asociados a una deuda que no le corresponde. Dicha acción ha resultado en la imposición de una sanción por vulneración del artículo 6.1 de la LOPD por la que se ha impuesto 35.000€ de multa y una segunda sanción por vulneración del artículo 4.3 de la LOPD por la que se ha impuesto otros 35.000€ de multa, para un total de 70.000€.

“Según la investigación, la persona denunciante no ha contratado con Jazztel servicios de telefonía y por razones no acreditadas fue dada de alta en su base de datos de clientes como titular de al menos una línea de teléfono. Orange no ha aportado contrato alguno suscrito por la persona denunciante. ”

“Hay grabaciones sonoras donde la única persona que se identifica es la que dice ser el solicitante de contratación, no se identifica la voz femenina y no hace constar el nombre de la empresa de servicios contratada por Jazztel para dicha verificación, que trata de grabar la contratación y luego la verificación de esa contratación. Tampoco Orange ha aportado documento que acredite la contratación de una empresa de servicio para ese fin.”

“Orange no ha acreditado que remitiera el contrato para su firma o desistimiento, o la nueva tarjeta SIM que debió recibir la persona solicitante para poder usar el teléfono ni la dirección postal donde fue remitida.”

“Como consecuencia de dichos servicios emitió facturas que no fueron pagadas y que más tarde fueron el motivo de la inclusión de los datos personales de la persona denunciante en los ficheros de morosos. No consta que le fueran notificados los requerimientos de pago previos a la inclusión.”

“En este caso, consta documentado que en los ficheros de Jazztel se encuentran registrados los datos de la persona denunciante, asociados a unos servicios de telefonía no solicitados por ella. Tales datos personales fueron registrados en los ficheros de la empresa y tratado para la emisión de comunicaciones, facturas, gestiones de cobro e inclusión en ficheros de solvencia patrimonial y crédito.”

“El tratamiento realizado por parte de Jazztel no se ajusta a lo establecido en la LOPD. Para que dicho tratamiento resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Por tanto, corresponde a Orange acreditar que cuenta con el consentimiento de la denunciante para el tratamiento de sus datos personales y no consta que el operador lo tuviera con posterioridad. Resulta, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados por parte de dicha operadora, que trató los datos de la denunciante sin su consentimiento.

La falta de pruebas (el contrato firmado -que en la grabación dicen enviar para devolver firmado o desistir en siete días- acompañado de copia de DNI o cualquier documento acreditativo de la identidad, o el recibí del envió del contrato y la tarjeta SIM con identificación del receptor y documentación de dicha identificación) que acrediten que la persona denunciante otorgó su consentimiento efectivo a la entidad denunciada en el tratamiento pone de manifiesto que esta operadora no ajustó su comportamiento, en el presente caso, a la diligencia de la actividad profesional que desarrolla exige a fin de garantizar el respeto al derecho fundamental a la protección de los datos personales.

Es requisito indispensable para que los datos del deudor puedan ser incluidos en un fichero de los creados al amparo del artículo 29.2, que quede acreditada la existencia de una deuda cierta vencida y exigible, y que ésta haya sido requerida previamente de pago antes de comunicar los datos del deudor al responsable del fichero común. Además, la obligación establecida en el artículo 4.3 de la Ley Orgánica 15/1999, implica que los datos que se incorporen a cualquier fichero deberán ser exactos y responder en todo momento a la situación actual de los afectados. La exigencia de que la deuda sea “cierta”, (artículo 38.1.a) del R.D. 1720/2007) responde al principio de calidad de los datos plasmado en el artículo 4.3 de la LOPD.

En este caso, Jazztel ha emitido facturas asociadas a los datos personales de la persona denunciante por servicios que no había contratado, asociándolos a una deuda que no le correspondía y, sin haberle requerido previamente, aquella entidad instó el alta de sus datos personales en ficheros de morosos, según el detalle que consta en los Hechos Probados.

En consecuencia, la persona denunciante fue tratada como deudora de una cantidad que no le corresponde, resultando que Jazztel hizo uso de unos datos inexactos.

Esta incidencia se produjo porque no efectuó las oportunas comprobaciones en los datos personales recogidos, y las consiguientes subsanaciones, que hubiesen evitado que se produjeran los hechos que sirven de causa al presente procedimiento sancionador.”

Fuente. AEPD.

¿Se puede incluir a un ciudadano en el registro de morosos cuando se ha interpuesto una reclamación ante un órgano arbitral a fin de concluir si la deuda reclamada es cierta o no?.

El artículo 4.3 de la LOPD explicita lo siguiente:

“Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

 Este apartado del artículo 4 forma parte del cuerpo del principio de calidad expuesto en la LOPD.

 Por tanto, si se incluyera los datos de un ciudadano en el registro de morosos mientras exista una reclamación ante un órgano arbitral a fin de concluir si la deuda reclamada es cierta o no, y dicha reclamación sea de conocimiento de las partes, no cumpliría con el requisito expuesto en dicho principio de calidad, ya que el dato incluido “no responde a la veracidad de la situación actual del afectado ni a su exactitud…

 La Sección Primera de la Sala de lo Contencioso de la Audiencia Nacional así lo ha confirmado en una sentencia del 30 de mayo de 2012 en la que viene a ratificar, en parte,  la sanción impuesta contra Orange (France Telecom) por la Agencia Española de Protección de Datos, sanción que ascendía a 50.000€, aunque luego fue reducida a 6.000€ por dicho Tribunal.

 Entre los aspectos mas importantes de la sentencia destacamos los siguientes párrafos:

 “El Abogado del Estado sostiene en su escrito de contestación a la demanda que France Telecom instó la inscripción en el fichero Asnef de una deuda de 125 € sin efectuar el previo requerimiento de pago y además, no esperó el resultado de la Junta Arbitral de Consumo a la que acudió el denunciante y pese a que la Junta Arbitral entendió que la deuda existía en su concepto, nada obste a que la AEPD valorase si las inclusiones en los ficheros de morosidad se hicieron cumpliendo o no la normativa de protección de datos y en este caso Orange incluyó los datos del denunciante en el fichero de morosidad pese a que conocía la reclamación administrativa en cuestión.”

 “La AEPD fundamenta también la infracción del principio de calidad de datos, en el hecho de haber incluido France Telecom los datos del denunciante en el fichero Badexcug y haberlos mantenido en el fichero Asnef, por el impago de una factura pese a conocer la existencia de una reclamación administrativa formulada ante los servicios de protección al consumidor de …”

 “La redacción del artículo 38 del RDLOPD, tras la aplicación de la citada STS de 15 de julio de 2010 es la siguiente:

 Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

 a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

 b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

 c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

 3 El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente.

 Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, tanto la redacción actual del precepto como la original requiere al inicio del apartado 1.a) que la deuda sea cierta, exigencia que responde al principio de veracidad y exactitud de los datos recogido en el artículo 4.3 de la LOPD al expresar que ” Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

 

 

 

Nueva sanción doble a Vodafone por incluir una deuda inexistente en un fichero de morosos

Nuevamente Vodafone ha sido sancionada por al AEPD por infracción del artículo 11.1 en relación con el artículo 6.1 de la LOPD tipificada como grave y del artículo 4.3 de la LOPD tipificada como grave, ambas sanciones ascendieron a 20.000€ cada una.

En su procedimiento sancionador y, previa inspección en la sede de la empresa Vodafone, quedaron acreditados los siguientes hechos:

1.- Vodafone vendió la deuda a Salus Inversiones.

2.- El cliente denunciante constaba en sus ficheros como titular de una línea que fué dada de baja por impago.

3.- Vodafone reconoce que no tiene grabación que acredite la contratación del servicio.

4.- Que en los ficheros de Vodafone consta la existencia de una deuda de 195,38€ que vende a Salus Inversiones.

5.- Que los datos del titular fueron incluidos en el fichero Asnef así como en el fichero Badexcug por Vodafone y posteriormente se produce una cesión de la deuda a Salus Inversiones.

El procedimiento incide en los siguientes argumentos:

a) Como Vodafone ha reconocido, no ha aportado ninguna prueba a tal fin – esto es, que recabó y obtuvo del afectado su consentimiento para la contratación de dicha línea vinculado a sus datos personales -; tampoco que hubiera adoptado las medidas a las que le obliga la diligencia mínima que debe observar en el tratamiento de los datos delas personas en relación con los productos de telecomunicaciones que comercializa. Es esta falta de diligencia es lo que hace recaer sobre la denunciada la responsabilidad por los hechos enjuiciados.

b)  Las normas jurídicas  ponen de manifiesto que la comunicación de los datos de un tercero a un fichero de solvencia patrimonial exige, por una parte, que la deuda sea cierta, vencida, exigible y que haya resultado impagada, y por otra, que se haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión del fichero. Conviene recordar, además, que es el acreedor el responsable de comprobar que los datos que se comunican se ajustan a los requisitos establecidos en el artículo 4 de la LOPD y su normativa de desarrollo.

En el asunto que nos ocupa resulta probado que Vodafone incorporó a sus sistemas informáticos datos personales del denunciante asociados a una línea de telefonía móvil de la que no era titular; pues la operadora, tal como expusimos, no ha probado que el afectado hubiera prestado el consentimiento inequívoco que la Ley exige para el tratamiento de sus datos. Por ello, el tratamiento posterior de esos datos, materializado además en la emisión de facturas por unos servicios que el denunciante no contrató, determinó que la operadora le imputara una deuda que, respecto del denunciante, no era cierta, ni vencida ni exigible. Posteriormente, ante el impago de la deuda generada Vodafone comunicó a los ficheros Asnef y Badexcug los datos personales del denunciante.

En el presente caso, los datos personales del denunciante fueron incluidos por Vodafone en los ficheros de solvencia Asnef y Badexcug vinculados a una deuda que era ajena al denunciante; deuda que no era cierta, ni vencida ni exigible desde la perspectiva del afectado, por cuanto no tenía la condición de deudor ya que no había prestado su consentimiento para el alta de la línea controvertida. Por ello la información comunicada por Vodafone a los ficheros Asnef y Badexcug no se ajustó al principio de exactitud y veracidad, corolario del principio de calidad del dato que proclama el artículo 4.3 de la LOPD.

Por estos motivos el Director de la AEPD resolvió sancionar con sendas multas de 20.000€ cada una de las dos infracciones cometidas.

Fuente. AGPD.

PS/00292/2014

Protección de datos sanciona RENFE por no instalar los carteles de zona videovigilada y captar imágenes de espacios públicos

Según se hace constar en el procedimiento sancionador, la Guardia Civil levantó varias actas en las que se ponían de manifiesto las posibles infracciones a la normativa de protección de datos en materia de videovigilancia observadas en las estaciones de la red de Cercanías de Olivares-Villanueva del Ariscal, Sanlúcar la Mayor y Benacazón, todas en Sevilla.

En dos de esas actas  se constata la inexistencia de carteles informativos de señalización de zona videovigilada, existiendo cámaras de seguridad.

 Entre los principales hechos probados, según el procedimiento sancionador, destacamos:

 1.- La existencia del registro del fichero de VIDEOVIGILANCIA.

2.- La instalación de un sistema de videovigilancia de las estaciones que es gestionado por RENFE OPERADORA, que es la entidad que gestiona de forma integral el servicio.

3.- La finalidad de la instalación del sistema es la seguridad de los bienes e instalaciones de cada estación y de los viajeros, evitar robos o vandalismo y proteger el patrimonio.

4.- De la información aportada se desprende que las cámaras exteriores situadas en las zonas de parking y dado que disponen de zoom y movimiento, pueden recoger imágenes de espacios públicos con acceso indiferenciado a personas y vehículos, permitiendo identificar matriculas de vehículos, personas que se bajen de dichos vehículos y personas que accedan a pie a las estaciones, con independencia de que dichos espacios sean o no titularidad de ADIF, gestionados en cuanto a cámaras por RENFE OPERADORA.

5.- Respecto de la información facilitada a terceros sobre la existencia de sistemas de videovigilancia, se han aportado fotos de espacios interiores de la estación, pasillos de una serie de carteles informativos ubicados en diferentes partes de las estaciones. El contenido de los carteles alude a la LOPD y se remite a RENFE-OPERADORA para el ejercicio de los derechos.

6.- RENFE OPERADORA tiene antecedentes de haber cometido infracciones anteriores en materia de protección de Datos.

7.- La denunciada no ha acreditado a lo largo del procedimiento la retirada del sistema de videovigilancia implantado en los parkings que captan espacio público.

 La cuestión a dilucidar se centra en las cámaras que captan imágenes de toda la extensión de los parkings.

Resultaría admisible un sistema que captara, como se ha expuesto, la parte mínima imprescindible para la seguridad del acceso o de la vigilancia de los muros o partes por las que se puede acceder a la estación, con la advertencia de información correspondiente.

Este no es el caso. Se trata de captación de imágenes de un lugar de libre acceso de propiedad de ADIF, gestionado por RENFE, responsable del fichero.

En el presente supuesto, las imágenes se captan identificando y haciendo identificables a las personas y vehículos en los espacios destinados a parkings y en los espacios destinados al acceso a la estación. Los vehículos que se aparcan son propiedad de particulares, el acceso es libre y no permanecen cerrados en ningún momento, sin que existan restricciones para su uso o para el tránsito a pie.

 Junto a ello, y a mayor abundamiento, hay tres elementos a resaltar:

a) Dichos aparcamientos no consta que sean vigilados físicamente por personal alguno de RENFE.

b) Con independencia de su titularidad RENFE no es responsable de la seguridad en el mismo (por ejemplo, las responsabilidades por robo o daños en vehículos que implican estacionar en dicho espacio no parece que puedan ser imputadas según la Ley 40/2002 de aparcamientos privados) ni sobre ella recae un deber concreto de custodia de los mismos, ya que es gratuito.

c) La ley 39/2003 del Sector Ferroviario al definir dominio público, no se refiere a los parkings aledaños a las estaciones y no se definen a los mismos como pertenecientes al dominio público (artículos 12 y 13).

Por tanto, se trata de un espacio público sobre el que la entidad no ostenta especiales deberes de protección, debiendo encargarse de la misma con carácter general las Fuerzas y Cuerpos de Seguridad del Estado.

En el supuesto presente, las videocámaras realizan tratamientos de datos de carácter personal excesivos captando imágenes de la vía pública y viandantes que circulen por los parkings.

La infracción del artículo 6.1 de la LOPD se tipifica originariamente como incluida en el artículo 44.3.b) de la LOPD. En tal sentido supone “Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”

Teniendo en cuenta estos aspectos, que se han desarrollado a lo lardo del procedimiento sancionador PS/00166/2012, el Director de la AEPD ha resuelto: IMPONER a la entidad RENFE OPERADORA, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 40.001 €, de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

FUENTE: AGPD

La AEPD apercibe a un bar de Santa Cruz de Tenerife por contar con un monitor de videovigilancia que muestra las imágenes captadas a terceros

El pasado mes de junio la AEPD ha procedido a apercibir a un establecimiento hostelero de Santa Cruz de Tenerife que contaba con un sistema de videovigilancia con 8 cámaras, 7 en su interior y otra mas en la entrada del local pero visionando parte de la vía pública. Además, en su interior, junto a la cabina de sonido del establecimiento, el local contaba con un monitor de visionado de los campos visuales captados por las ocho cámaras, estando las imágenes al alcance de los clientes del establecimiento.

La inspección de la AEPD requirió el informe de la situación del sistema de videovigilancia de este establecimiento, después que se recibiera denuncia de un ciudadano al comprobar que una cámara enfocaba hacia la vía pública, siendo él objeto de grabación sin su consentimiento. Dicho informe fué remitido por el Cuerpo Nacional de Policía, adcritos a la comisaría de La Laguna.

Entre los hechos probados mas relevantes, el procedimiento destaca los siguientes:

1.- El local cuenta con carteles de aviso de zona videovigilada.

2.- El preceptivo fichero estaba inscrito en el RGPD.

3.- El local dispone de un monitor donde se visualizan las imágenes de las cámaras y un sistema de almacenamiento de imágenes todo ello situado en la cabina del encargado de poner la música junto al mando que acciona el movimiento y el zoom de la cámara número dos.

Ante estos hechos, se imputó al titular del establecimiento hostelero, la comisión de dos infracciones de la normativa de protección de datos.

Por un lado, la comisión de infracción del artículo 6.1 de la LOPD, que dispone que:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

En el caso que nos ocupa, tanto de la información facilitada por el Cuerpo Nacional de Policía en fase de actuaciones previas como de las alegaciones del denunciado aportadas a este expediente en trámite de audiencia previa, se deriva que hay un videocámara instalada en el puerta de acceso del local que visualiza la acera (vía pública) y la calzada anexa (tal y como se aprecia en la copia de la imagen captada por esta cámara y visualizada en el monitor), pudiendo captar a los transeúntes que allí se encuentren o por allí pasen. Así pues, se visualiza vía pública sin que conste en el expediente que el denunciado cuenta con el
consentimiento de las personas afectadas. Por esta razón, los hechos expuestos podrían suponer una infracción del artículo 6.1 de la LOPD anteriormente expuesto.

Así el artículo 4.3 de la Instrucción 1/2006 dispone:
“3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.”

El artículo 44.3.b) de la LOPD considera infracción grave:
“Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

No consta que dicho responsable tenga legitimación para el tratamiento de las imágenes captadas en vía
pública, pudiendo realizar un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos. Tampoco consta que cuente con el consentimiento de los afectados cuyos datos personales se tratan por las cámaras instaladas, tal y como establece el artículo 6.1 de la LOPD.

No obstante durante la tramitación de este procedimiento, el denunciado ha aportado copia de la imagen que capta la cámara controvertida en el monitor donde se visualiza para acreditar la reorientación de la misma, de tal forma que ha limitado el enfoque de esta cámara que ahora capta el espacio imprescindible para poder realizar un control o vigilancia de la entrada y acceso al local.

En segundo lugar, se imputa al titular del establecimiento , la comisión de una infracción del artículo 4.1 de la LOPD.

La LOPD regula en su artículo 4 el principio de calidad de datos, que contiene a su vez el principio de proporcionalidad, aplicable al supuesto de hecho que nos ocupa, en lo relativo a la visualización de las imágenes captadas por las ocho cámaras instaladas, en un monitor situado en el cabina de música del establecimiento a la vista del responsable del fichero y de la persona que se ocupa de pinchar la música en el bar que tal y como manifiesta el denunciado, no siempre es la misma, es decir que las imágenes son visibles por un número de personas desconocido.

La LOPD garantiza el cumplimiento del principio de proporcionalidad en todo tratamiento de datos personales, cuando señala en su artículo 4 que:
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

El principio de proporcionalidad también aparece recogido en la Instrucción 1/2006, en su artículo 4, cuyo contenido establece que:

1. De conformidad con el artículo 4 de la Ley Orgánica de Protección de Datos de Carácter Personal, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras
o videocámaras.
2. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.
3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.

El cumplimiento del principio de proporcionalidad, está íntimamente ligado a la finalidad perseguida con el establecimiento de un sistema de videovigilancia, que en todo caso deberá ser legítima y proporcionada.

En este sentido, hemos destacado que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones <<si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es
ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

En el caso que nos ocupa, del escrito de alegaciones del denunciado se deriva que reconoce los hechos, que las imágenes que captan las cámaras se visualizan en un monitor situado en la cabina de música, porque es el único lugar donde siempre hay algún empleado o el propietario de forma habitual, pudiendo por tanto, ser accesibles a todas las personas que lleven a cabo la función de pinchadiscos en el bar denunciado.

En este monitor se recogen las imágenes de las ocho cámaras instaladas en el establecimiento, la cantidad de datos personales que se tratan tanto por el responsable del fichero, como por toda persona que visualice este monitor supone un tratamiento desproporcionado, no pertinente y excesivo en relación con la finalidad de seguridad que se persigue. La situación descrita vulnera de forma directa el principio de proporcionalidad. Tal y como se ha indicado anteriormente, la imagen es un dato personal y el tratamiento de los datos personales exige, en principio el consentimiento de los afectados. La captación de imágenes de personas es un tratamiento de datos y por tanto está sometida a las exigencias de la normativa de protección de datos, entre ellas la proporcionalidad, la adecuación y pertinencia de los datos tratados para la finalidad que se recogen.

El artículo 44.3.c) de la LOPD tipifica como infracción grave:
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”

En este supuesto ha quedado acreditado que el monitor donde se visualizan las imágenes captadas por las cámaras se encuentra situado en un lugar accesible a personas diferentes del denunciado, como es la cabina de música del establecimiento.

Ambos casos, la falta de consentimiento que exige el artículo 6.1, así como el incumplimiento del principio de proporcionalidad que exige el artículo 4 de la LOPD, son constitutivos de infracción grave.

¿Por qué no se sanciona dichas acciones y solo se apercibe?.

Con la reforma del Título VII de la LOPD, apareció en escena la figura del apercibimiento. La disposición final quincuagésima sexta de la Ley 2/2011 de 4 de marzo de EconomíaSostenible (BOE 5-3-2011) (LES), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD en lugar del existente hasta su promulgación del siguiente tenor:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”.

No obstante, en relación con la infracción del artículo 6.1 de la LOPD, debido a que el imputado ha cumplido con la obligación de reorientar la cámara controvertida para que la misma capte únicamente el espacio imprescindible de la vía pública situado en la entrada del local, no se insta por parte de esta Agencia la adopción de una concreta medida correctora en lo que se refiere a la infracción de este artículo.

En relación a la infracción del artículo 4.1 de la LOPD la AEPD insta que acredite en el plazo de un mes desde el acto de notificación:

 cumpla lo previsto en el artículo 4.1 de la LOPD, para lo que se abre expediente de actuaciones previas E/03908/2012, advirtiéndole que en caso contrario se procederá a acordar la apertura de un procedimiento sancionador.
En concreto se insta al denunciado a justificar: la retirada de la zona de la cabina de música, del monitor donde se visualizan las imágenes captadas por las cámaras instaladas en su establecimiento, para que las mismas no sean accesibles a un número indeterminado de personas (los encargados de poner la música en el local); o la limitación del número de las personas que pueden visualizar las imágenes en tiempo real, incluyendo en el documento de seguridad la identificación de las personas que pueden visualizar las imágenes captadas por las ocho cámaras instaladas en el establecimiento.

El sistema SIGO de la Guardia Civil

SIGO son las siglas de Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciudadana. Este sistema  tiene como función fusionar toda la ‘información de interés policial’ en un solo punto. S.I.G.O. o proyecto S.I.G.O es una base de datos de la Benemérita o registro sobre delitos, delincuentes, automóviles y diligencias policiales.

La idea que hay tras esta gran base de datos está la de prevenir delitos o investigarlos. Pero cuando se juega al borde del área existe el peligro cierto de vulnerar derechos fundamentales, en este caso, el derecho fundamental a la protección de nuestros datos personales, tal como recoge la STC 292/2000. Cuando se juega al borde del área hay que recordar que la línea es área y, por tanto, cualquier infracción en esa zona puede ser duramente castigada.

Este sábado, el diario http://www.elconfidencial.com publicaba un interesante artículo donde se hacía eco de las denuncias presentadas por agentes de la benemérita contra el uso y abuso de la incorporación de datos personales al sistema SIGO. Según se informa en el citado medio, nombres, direcciones, teléfonos y actividades han alimentado esta base de datos “sin consentimiento” de los ciudadanos, pasando a formar parte de sus antecedentes penales. Hasta de donde venía uno y a donde se dirigía, son campos que se han incorporado a estos ficheros.

La Unión de Guardias Civiles ha denunciado esta práctica que considera ilegal, además de las presiones que están recibiendo los agentes para “engordar artificialmente” esta base de datos. Además, se incentiva esta práctica con complementos salariales.

¿Qué dice la LOPD al respecto?.

Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad
1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley.
2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.

4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

Además, el artículo 4 de la LOPD establece lo siguiente:

Artículo 4. Calidad de los datos
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.

¿Son pertinentes, son necesarios, los datos que se están incluyendo en SIGO, tal como establece el artículo 4? Para los miembros de este sindicato la respuesta es NO, no son pertinentes, “son innecearios sin relevancia policial”.

Siguiendo esta información, tal como cita el diario, decido buscar mas información y entro en los foros que hay en internet integrados por miembros de la benemérita, y cuanto mas leo, mas perplejo de quedo de los comentarios que realizan los “agentes” que participan en esos foros, que van en la línea de lo que comenta el diario.

La AEPD ha abierto varios expedientes recibió diez reclamaciones en 2011, según El Confidencial, pero siempre a instancia de parte, seis de las cuales fueron tramitadas. ¿Para cuándo una acción de oficio de la propia AEPD? Aunque solo un 10% de la información que es objeto de la denuncia fuera cierta, ¿no debería la AEPD actuar como tutor o garante del derecho a la protección de datos personales de todos los ciudadanos de este país?. Solo pensar que los datos de los españoles que han silo parados en cualquier control, por la Guardia Civil en los últimos tres años, puedan haber sido incorporados de pleno a SIGO sin su consentimiento es para ponernos la piel de gallina.

Si el consentimiento es el eje vertebral de esta norma y su incumplimiento es sancionado económicamente por parte de la AEPD cuando se trata de entes privados y no públicos; si este aspecto central es de obligado cumplimiento por parte de los entes privados y, además, debemos acreditar su obtención para el tratamiento de los datos personales, esas mismas obligaciones también recaen en los ficheros que manejan los entes públicos, como lo es el fichero SIGO de la Guardia Civil, que se encuentra sujeto a la LOPD, tal como establece el artículo 22.1. Si la Guardia Civil, en un control, quiere tomar esos datos e incorporarlos al fichero SIGO, antes deberá recabar nuestro consentimiento, lo contrario sería contrario a derecho. Sin ese consentimiento, ningún ente podrá almacenar o tratar nuestros datos personales, incluido, la Guardia Civil o cualquier otro cuerpo o fuerza de seguridad del Estado.

Claro está, para recabar ese consentimiento, antes deberán cumplir con el obligado principio de información que esboza el artículo 5 de la LOPD. La información en la recogida de datos personales constituye uno de los principios de la protección de datos, un derecho del afectado y un complemento previo de la prestación del consentimiento, cuya omisión puede determinar un vicio del consentimiento para el posterior tratamiento, que origine la nulidad del mismo. Así lo ha entendido también el TC en la Sentencia 292/2000 señalando que “sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (artículo 5 de la LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.” Tanto es así que sería nulo, en caso contrarío, el consentimiento prestado cuando la información facilitada no permita al interesado conocer la finalidad a la que se destinarán los datos (STS de 26 de octubre de 2006 y STS, Sala 3ª, Sección 6ª, de 4 de abril e 2000).

¿Que os parece?

Fuente: http://www.elconfidencial.com

http://www.elconfidencial.com/espana/2012/05/27/la-guardia-civil-ficha-a-miles-de-ciudadanos-inocentes-en-un-registro-sin-su-conocimiento-98792/

 

Estadística del blog

  • 108,149 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: