principio de consentimiento

Un vecino de Las Palmas de GC denuncia a Jazztel (Orange) por un alta fraudulenta y le imponen dos multas de 35.000€ a la operadora

Un vecino de Las Palmas de Gran Canaria interpuso una denuncia ante la AEPD contra la compañía Jazztel. El motivo de dicha denuncia vino motivada por estar incluido en un fichero de moroso del cuál tuvo conocimiento cuando estaba en trámites de solicitar un préstamo para la adquisición de una vivienda.

Según Jazztel (ahora Orange), el vecino tenía una deuda con la compañía que ascendía a 341,04€ y procedió a registrarla en ASNEF. Según la propia investigación de la AEPD, la operadora realizó un tratamiento de los datos personales de la persona denunciante sin tener en cuenta los principios de consentimiento al tratamiento y de calidad de los datos. Sin el consentimiento inequívoco del denunciante incorpora sus datos personales a su fichero de clientes como titular de una línea de telefonía móvil; posteriormente, y siguiendo con la gestión de esos servicios, emite facturas a su nombre y –sin notificación de requerimiento de pago previo- incluye sus datos personales en Asnef y Badexcug asociados a una deuda que no le corresponde. Dicha acción ha resultado en la imposición de una sanción por vulneración del artículo 6.1 de la LOPD por la que se ha impuesto 35.000€ de multa y una segunda sanción por vulneración del artículo 4.3 de la LOPD por la que se ha impuesto otros 35.000€ de multa, para un total de 70.000€.

«Según la investigación, la persona denunciante no ha contratado con Jazztel servicios de telefonía y por razones no acreditadas fue dada de alta en su base de datos de clientes como titular de al menos una línea de teléfono. Orange no ha aportado contrato alguno suscrito por la persona denunciante. »

«Hay grabaciones sonoras donde la única persona que se identifica es la que dice ser el solicitante de contratación, no se identifica la voz femenina y no hace constar el nombre de la empresa de servicios contratada por Jazztel para dicha verificación, que trata de grabar la contratación y luego la verificación de esa contratación. Tampoco Orange ha aportado documento que acredite la contratación de una empresa de servicio para ese fin.»

«Orange no ha acreditado que remitiera el contrato para su firma o desistimiento, o la nueva tarjeta SIM que debió recibir la persona solicitante para poder usar el teléfono ni la dirección postal donde fue remitida.»

«Como consecuencia de dichos servicios emitió facturas que no fueron pagadas y que más tarde fueron el motivo de la inclusión de los datos personales de la persona denunciante en los ficheros de morosos. No consta que le fueran notificados los requerimientos de pago previos a la inclusión.»

«En este caso, consta documentado que en los ficheros de Jazztel se encuentran registrados los datos de la persona denunciante, asociados a unos servicios de telefonía no solicitados por ella. Tales datos personales fueron registrados en los ficheros de la empresa y tratado para la emisión de comunicaciones, facturas, gestiones de cobro e inclusión en ficheros de solvencia patrimonial y crédito.»

«El tratamiento realizado por parte de Jazztel no se ajusta a lo establecido en la LOPD. Para que dicho tratamiento resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Por tanto, corresponde a Orange acreditar que cuenta con el consentimiento de la denunciante para el tratamiento de sus datos personales y no consta que el operador lo tuviera con posterioridad. Resulta, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados por parte de dicha operadora, que trató los datos de la denunciante sin su consentimiento.

La falta de pruebas (el contrato firmado -que en la grabación dicen enviar para devolver firmado o desistir en siete días- acompañado de copia de DNI o cualquier documento acreditativo de la identidad, o el recibí del envió del contrato y la tarjeta SIM con identificación del receptor y documentación de dicha identificación) que acrediten que la persona denunciante otorgó su consentimiento efectivo a la entidad denunciada en el tratamiento pone de manifiesto que esta operadora no ajustó su comportamiento, en el presente caso, a la diligencia de la actividad profesional que desarrolla exige a fin de garantizar el respeto al derecho fundamental a la protección de los datos personales.

Es requisito indispensable para que los datos del deudor puedan ser incluidos en un fichero de los creados al amparo del artículo 29.2, que quede acreditada la existencia de una deuda cierta vencida y exigible, y que ésta haya sido requerida previamente de pago antes de comunicar los datos del deudor al responsable del fichero común. Además, la obligación establecida en el artículo 4.3 de la Ley Orgánica 15/1999, implica que los datos que se incorporen a cualquier fichero deberán ser exactos y responder en todo momento a la situación actual de los afectados. La exigencia de que la deuda sea “cierta”, (artículo 38.1.a) del R.D. 1720/2007) responde al principio de calidad de los datos plasmado en el artículo 4.3 de la LOPD.

En este caso, Jazztel ha emitido facturas asociadas a los datos personales de la persona denunciante por servicios que no había contratado, asociándolos a una deuda que no le correspondía y, sin haberle requerido previamente, aquella entidad instó el alta de sus datos personales en ficheros de morosos, según el detalle que consta en los Hechos Probados.

En consecuencia, la persona denunciante fue tratada como deudora de una cantidad que no le corresponde, resultando que Jazztel hizo uso de unos datos inexactos.

Esta incidencia se produjo porque no efectuó las oportunas comprobaciones en los datos personales recogidos, y las consiguientes subsanaciones, que hubiesen evitado que se produjeran los hechos que sirven de causa al presente procedimiento sancionador.»

Fuente. AEPD.

Nueva sanción doble a Vodafone por incluir una deuda inexistente en un fichero de morosos

Nuevamente Vodafone ha sido sancionada por al AEPD por infracción del artículo 11.1 en relación con el artículo 6.1 de la LOPD tipificada como grave y del artículo 4.3 de la LOPD tipificada como grave, ambas sanciones ascendieron a 20.000€ cada una.

En su procedimiento sancionador y, previa inspección en la sede de la empresa Vodafone, quedaron acreditados los siguientes hechos:

1.- Vodafone vendió la deuda a Salus Inversiones.

2.- El cliente denunciante constaba en sus ficheros como titular de una línea que fué dada de baja por impago.

3.- Vodafone reconoce que no tiene grabación que acredite la contratación del servicio.

4.- Que en los ficheros de Vodafone consta la existencia de una deuda de 195,38€ que vende a Salus Inversiones.

5.- Que los datos del titular fueron incluidos en el fichero Asnef así como en el fichero Badexcug por Vodafone y posteriormente se produce una cesión de la deuda a Salus Inversiones.

El procedimiento incide en los siguientes argumentos:

a) Como Vodafone ha reconocido, no ha aportado ninguna prueba a tal fin – esto es, que recabó y obtuvo del afectado su consentimiento para la contratación de dicha línea vinculado a sus datos personales -; tampoco que hubiera adoptado las medidas a las que le obliga la diligencia mínima que debe observar en el tratamiento de los datos delas personas en relación con los productos de telecomunicaciones que comercializa. Es esta falta de diligencia es lo que hace recaer sobre la denunciada la responsabilidad por los hechos enjuiciados.

b)  Las normas jurídicas  ponen de manifiesto que la comunicación de los datos de un tercero a un fichero de solvencia patrimonial exige, por una parte, que la deuda sea cierta, vencida, exigible y que haya resultado impagada, y por otra, que se haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión del fichero. Conviene recordar, además, que es el acreedor el responsable de comprobar que los datos que se comunican se ajustan a los requisitos establecidos en el artículo 4 de la LOPD y su normativa de desarrollo.

En el asunto que nos ocupa resulta probado que Vodafone incorporó a sus sistemas informáticos datos personales del denunciante asociados a una línea de telefonía móvil de la que no era titular; pues la operadora, tal como expusimos, no ha probado que el afectado hubiera prestado el consentimiento inequívoco que la Ley exige para el tratamiento de sus datos. Por ello, el tratamiento posterior de esos datos, materializado además en la emisión de facturas por unos servicios que el denunciante no contrató, determinó que la operadora le imputara una deuda que, respecto del denunciante, no era cierta, ni vencida ni exigible. Posteriormente, ante el impago de la deuda generada Vodafone comunicó a los ficheros Asnef y Badexcug los datos personales del denunciante.

En el presente caso, los datos personales del denunciante fueron incluidos por Vodafone en los ficheros de solvencia Asnef y Badexcug vinculados a una deuda que era ajena al denunciante; deuda que no era cierta, ni vencida ni exigible desde la perspectiva del afectado, por cuanto no tenía la condición de deudor ya que no había prestado su consentimiento para el alta de la línea controvertida. Por ello la información comunicada por Vodafone a los ficheros Asnef y Badexcug no se ajustó al principio de exactitud y veracidad, corolario del principio de calidad del dato que proclama el artículo 4.3 de la LOPD.

Por estos motivos el Director de la AEPD resolvió sancionar con sendas multas de 20.000€ cada una de las dos infracciones cometidas.

Fuente. AGPD.

PS/00292/2014

France Telecom es sancionada con 20.000€ por incluir los datos de un cliente en la guía de abonados sin consentimiento del abonado.

La operadora de telefonía France Telecom ha sido sancionada por al AEPD por incluir los datos de un cliente que dió de alta una línea con ellos en junio del 2010 y que en marzo del 2011 fue conocedor de que sus datos habían sido incluidos en una guía de abonados sin su consentimiento.

Entre los hechos probados mas relevantes, destacamos los siguientes:

1.- Que la denunciante contrató con Ya.com una línea fija, y que en marzo del 2011 tuvo conocimiento de que su teléfono, nombre y apellidos y dirección aparecían publicadas en una guía de abonados en internet sin que hubiera prestado su consentimiento para ello.

2.- Que el 18 de abril se realiza una captura de pantalla de la página web http.//blancas.guias118111.es. En la misma consta el nombre, dos apellidos y domicilio de la denunciante y su número de teléfono.

3.- El número de teléfono de la denunciada le fué asignado por France Telecom.

4.- Se solicitó a la operadora que aportara el documento que acreditara el consentimiento de la denunciante para la cesión de datos a la CMT, hasta en dos ocasiones, sin obtener respuesta documentada.

5.- La denunciante envió un correo electrónico a France Telecom solicitando que acreditaran en qué momento habían obtenido el consentimiento para la cesión. France Telecom le informó que agilizaría el trámite y con posterioridad le requieren que cumpla con el procedimiento de cancelación y que envíe un escrito con copia del DNI.

Entro los fundamentos de derecho queremos destacar los siguientes:

La Ley Orgánica 15/1999 de Protección de datos de carácter personal establece en su artículo 28.4 que “los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica”.

El examen de esa normativa nos obliga a hacer referencia, en primer término, a la Ley 32/2003 General de Telecomunicaciones, de 3 de noviembre. El artículo 34 del citado texto legal, bajo la rúbrica “protección de los datos de carácter personal”, establece:

“Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público, deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legislación vigente”.

El artículo 38.6 de la Ley 32/2003 dispone que “La elaboración y comercialización de guías de abonados a los servicios de comunicaciones electrónicas y la prestación de servicios de información sobre ellos se realizará en régimen de libre competencia, garantizándose, en todo caso, a los abonados el derecho a la protección de sus datos personales, incluyendo el de no figurar en dichas guías I.I.I.” 

El artículo 67 del Real Decreto, bajo la rúbrica “Guías de servicios de comunicaciones electrónicas disponibles al público”, establece en el apartado 2:
“Para que los datos correspondientes a un abonado a los que se refiere el artículo 30.4 sean incluidos por primera vez en algún tipo de guía o facilitados a otra entidad para su inclusión en ella o para la prestación de servicios de información o de consulta sobre ella, será preciso el consentimiento expreso de dicho abonado. 

A estos efectos, se entenderá que existe consentimiento expreso de un abonado cuando el operador le solicite su consentimiento para la inclusión de tales datos, con indicación expresa de cuáles serán éstos, el modo en que serán incluidos en la guía y su finalidad, y este le responda dando su aceptación. También se producirá cuando este se dirija por escrito a su operador solicitándole que sus datos figuren en la guía.

Si el abonado no hubiera dado su consentimiento expreso, se entenderá que no acepta que se publiquen en la guía correspondiente sus datos”.

A la luz de lo expuesto en los párrafos precedente estimamos que la conducta anteriormente descrita, imputable a FRANCE TELECOM ESPAÑA, S.A., vulnera el artículo 11.1 de la LOPD. El artículo 44.3.k) de la citada Ley Orgánica tipifica como infracción grave “La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave”.

Ante estos hechos el Director de la AEPD ha resuelto IMPONER a la entidad FRANCE TELECOM ESPAÑA S.A., por una infracción del artículo 11.1 de la LOPD, tipificada como infracción grave en el artículo 44.3.k) de dicha norma, una multa de 20.000 € (veinte mil euros) de conformidad con lo establecido en los artículos 45.5 y 45.2 de la citada Ley Orgánica.

Fuente: AGPD

FACUA denuncia a la Agencia Estatal de Seguridad Aérea ante Protección de Datos

Por ceder sin autorización a una empresa de encuestas datos de una usuaria que denunció a una aerolínea.

La instalación de un GPS en el vehículo de la empresa sin conocimiento del trabajador no vulnera su intimidad.

Así lo ha dictaminado la Sala de lo Social del Tribunal Superior de Justicia de Cataluña en su Sentencia de 5 de marzo de 2012.

Los hechos.

Una empresa, debido a los comentarios de empleados y encargados en relación a que un trabajador no cumplía su jornada laboral, decide instalar un GPS en el vehículo de la empresa que utiliza así como contratar un detective privado.

Con posterioridad, le envía una carta en que le recuerda que debe cumplir con las obligaciones del puesto de trabajo así como que en virtud del artículo 20.3 del Estatuto de los Trabajadores, el empresario puede adoptar las medidas oportunas de vigilancia y control para verificar el cumplimiento de esas obligaciones, si bien no se menciona la instalación del GPS, y obviamente, menos aún que se haya contratado un detective.

Dos meses después, y en base a la información recogida en el GPS, el empresario decide despedir al trabajador por la “supuesta  comisión de una falta de transgresión de la buena fe contractual y abuso de confianza en el desempeño del trabajo”.

Los fundamentos de derecho.

El trabajador alega la vulneración por parte de la empresa de los siguientes artículos de la LOPD: 6 (consentimiento); y 5.1 (derecho de información); y que por tanto se ha producido una recogida de datos de manera fraudulenta (4.7).

El Tribunal considera que el derecho a la intimidad no es absoluto y que “hay que tener en cuenta el poder de dirección del empresario, imprescindible para la buena marcha de la organización productiva (organización que refleja otros derechos reconocidos constitucionalmente en los artículos 33 y 38 CE ) y reconocido expresamente en el artículo 20 ET , atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales. Mas esa facultad ha de producirse en todo caso, como es lógico, dentro del debido respecto a la dignidad del trabajador, como expresamente nos lo recuerda igualmente la normativa laboral – artículos 4.2.c ) y 20.3 ET .”

Asimismo, el sistema utilizado, la implantación del GPS, es proporcional a la finalidad perseguida, que no es otra que “averiguar si cumplía su jornada laboral y si la actividad que durante la misma realizaba coincida o no con los partes de trabajo que facilitaba a la empresa”.

En este sentido, el sistema instalado cumple con los tres “juicios” para limitar un derecho fundamental según la doctrina del Tribunal Constitucional: “juicio de necesidad”, “juicio de proporcionalidad”, y “juicio de idoneidad”.

En cuanto a la información recibida por el trabajador al respecto, estima suficiente la comunicación que se realizó con posterioridad a su instalación, si bien, como ya se ha comentado anteriormente, no se especificó los medios utilizados.

Fallo.

Por lo tanto, se desestima el recurso interpuesto por el trabajador (ya había habido sentencia previa de 25 de marzo de 2011 dictada por el Juzgado de lo Social nº 28 de Barcelona), si bien no es firme y cabe Recurso de Casación para la Unificación de la Doctrina ante el Tribunal Supremo, Sala de lo Social.

¿Qué datos puede recabar un GPS?

Pues usando la Resolución de Archivo de la AEPD del E-742/2008 podemos decir que los siguientes:

Hora de arranque de la furgoneta;

Hora de aparcamiento de la furgoneta;

Puntos de paso y paradas de la furgoneta;

Velocidad de las furgonetas, tanto máxima como media;

Consumos del vehículo, siendo esto una simulación en función de los kilómetros recorridos;

Horas de funcionamiento de la furgoneta y horas en las que está parada;

Kilómetros realizados por jornada;

Desviación de horas de la furgoneta en función de un horario de trabajo configurable.

¿Qué dice la AEPD sobre la instalación de GPS para estas finalidades?

Informe 0193-2008:

“El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

 “No obstante, la existencia de esta legitimación no excluye el cumplimiento del deber de informar, por parte del empresario previsto en el artículo 5.1 de la Ley Orgánica”.

 “En consecuencia, la actuación descrita en la consulta, genera el correspondiente fichero y en todo caso, será obligatoria su inscripción en el Registro General de Protección de Datos, conforme a lo establecido en el artículo 26 de la Ley Orgánica.”

¿Hay que informar al trabajador a efectos laborales o no de la instalación del GPS?

Según la Resolución de Archivo del E-2778-2010 de la AEPD:

“En el presente caso, ha quedado acreditado que LOGISLAND había informado al denunciante que los vehículos destinados a la realización de su función profesional y comerciales contaban con un sistema de localización y seguridad mediante GPS al haber aportado escrito en el que figura el recibí suscrito por el correspondiente denunciante.

 Es cierto que la información sobre el hecho de que los vehículos están dotados de GPS no implica necesariamente que se informe de su utilización a efectos de un posible despido.”

¿Cuál es la postura del Supervisor Europeo de Protección de Datos?

Aunque no hay un Dictamen específico sobre GPS (o bien yo no lo he encontrado) podemos hacernos una idea en el siguiente informe sobre la

la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican el Reglamento (CEE) n o 3821/85 del Consejo, relativo al aparato de control en el sector de los transportes por carretera, y el Reglamento (CE) n o 561/2006 del Parlamento Europeo y del Consejo:

“El uso de aparatos de control en el transporte por carretera implica el tratamiento de datos personales relativos a los conductores profesionales. Una gran parte del tratamiento está basado en el uso de aparatos de geolocalización y medios de comunicación a distancia, que son tecnologías que tienen un impacto considerable sobre la intimidad y la protección de datos de las personas”.

 “….aclarar los objetivos específicos y legítimos para los que se llevará a cabo una geolocalización constante. Debería especificarse claramente en la propuesta que no se permite la instalación y el uso de dispositivos con el fin directo y principal de permitir a los empresarios controlar a distancia y en tiempo real las acciones y el paradero de sus empleados”.

¿Y el Grupo del Artículo 29 de las Autoridades Europeas de Protección de Datos?

En el Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes se analiza la utilización de los GPS, pero más bien, como dice el nombre del informe en “dispositivos móviles”. No obstante, recomiendo también su lectura.

Conclusión:

Hay tratamiento de datos y no es necesario el consentimiento. Más dudas me ofrece la información a “efectos laborales”,  y posiblemente haya que distinguir entre dos situaciones diferentes:

–      El vehículo de la empresa lleva instalado un GPS desde el inicio de la prestación laboral del trabajador. Se tendría que informar de la citada instalación.

–      Se instala con la finalidad descrita en los hechos de la sentencia. Bastaría la información sin especificar la instalación, ya que de lo contrario perdería su finalidad.

Fuente: Privacidad Lógica

Publicado el 16 de octubre de 2012 por Francisco Javier Sempere

Protección de datos sanciona RENFE por no instalar los carteles de zona videovigilada y captar imágenes de espacios públicos

Según se hace constar en el procedimiento sancionador, la Guardia Civil levantó varias actas en las que se ponían de manifiesto las posibles infracciones a la normativa de protección de datos en materia de videovigilancia observadas en las estaciones de la red de Cercanías de Olivares-Villanueva del Ariscal, Sanlúcar la Mayor y Benacazón, todas en Sevilla.

En dos de esas actas  se constata la “inexistencia de carteles informativos de señalización de zona videovigilada, existiendo cámaras de seguridad”.

 Entre los principales hechos probados, según el procedimiento sancionador, destacamos:

 1.- La existencia del registro del fichero de VIDEOVIGILANCIA.

2.- La instalación de un sistema de videovigilancia de las estaciones que es gestionado por RENFE OPERADORA, que es la entidad que gestiona de forma integral el servicio.

3.- La finalidad de la instalación del sistema es la seguridad de los bienes e instalaciones de cada estación y de los viajeros, evitar robos o vandalismo y proteger el patrimonio.

4.- De la información aportada se desprende que las cámaras exteriores situadas en las zonas de parking y dado que disponen de zoom y movimiento, pueden recoger imágenes de espacios públicos con acceso indiferenciado a personas y vehículos, permitiendo identificar matriculas de vehículos, personas que se bajen de dichos vehículos y personas que accedan a pie a las estaciones, con independencia de que dichos espacios sean o no titularidad de ADIF, gestionados en cuanto a cámaras por RENFE OPERADORA.

5.- Respecto de la información facilitada a terceros sobre la existencia de sistemas de videovigilancia, se han aportado fotos de espacios interiores de la estación, pasillos de una serie de carteles informativos ubicados en diferentes partes de las estaciones. El contenido de los carteles alude a la LOPD y se remite a RENFE-OPERADORA para el ejercicio de los derechos.

6.- RENFE OPERADORA tiene antecedentes de haber cometido infracciones anteriores en materia de protección de Datos.

7.- La denunciada no ha acreditado a lo largo del procedimiento la retirada del sistema de videovigilancia implantado en los parkings que captan espacio público.

 La cuestión a dilucidar se centra en las cámaras que captan imágenes de toda la extensión de los parkings.

Resultaría admisible un sistema que captara, como se ha expuesto, la parte mínima imprescindible para la seguridad del acceso o de la vigilancia de los muros o partes por las que se puede acceder a la estación, con la advertencia de información correspondiente.

Este no es el caso. Se trata de captación de imágenes de un lugar de libre acceso de propiedad de ADIF, gestionado por RENFE, responsable del fichero.

En el presente supuesto, las imágenes se captan identificando y haciendo identificables a las personas y vehículos en los espacios destinados a parkings y en los espacios destinados al acceso a la estación. Los vehículos que se aparcan son propiedad de particulares, el acceso es libre y no permanecen cerrados en ningún momento, sin que existan restricciones para su uso o para el tránsito a pie.

 Junto a ello, y a mayor abundamiento, hay tres elementos a resaltar:

a) Dichos aparcamientos no consta que sean vigilados físicamente por personal alguno de RENFE.

b) Con independencia de su titularidad RENFE no es responsable de la seguridad en el mismo (por ejemplo, las responsabilidades por robo o daños en vehículos que implican estacionar en dicho espacio no parece que puedan ser imputadas según la Ley 40/2002 de aparcamientos privados) ni sobre ella recae un deber concreto de custodia de los mismos, ya que es gratuito.

c) La ley 39/2003 del Sector Ferroviario al definir dominio público, no se refiere a los parkings aledaños a las estaciones y no se definen a los mismos como pertenecientes al dominio público (artículos 12 y 13).

Por tanto, se trata de un espacio público sobre el que la entidad no ostenta especiales deberes de protección, debiendo encargarse de la misma con carácter general las Fuerzas y Cuerpos de Seguridad del Estado.

En el supuesto presente, las videocámaras realizan tratamientos de datos de carácter personal excesivos captando imágenes de la vía pública y viandantes que circulen por los parkings.

La infracción del artículo 6.1 de la LOPD se tipifica originariamente como incluida en el artículo 44.3.b) de la LOPD. En tal sentido supone “Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”

Teniendo en cuenta estos aspectos, que se han desarrollado a lo lardo del procedimiento sancionador PS/00166/2012, el Director de la AEPD ha resuelto: IMPONER a la entidad RENFE OPERADORA, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 40.001 €, de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

FUENTE: AGPD

¿Se puede colgar en el tablón de anuncios de un Instituto el listado de notas con nombres y apellidos del alumno?

La difusión de dichas notas de calificación a través de los tablones de anuncios de la Universidad, constituirá un tratamiento de datos de carácter personal de los alumnos autorizado por una norma con rango de ley formal, en virtud de la Ley Orgánica 4/2007 de Universidades, que en su disposición adicional vigésimo primera, en el punto 3, señala «no será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación».

 En el caso de los colegios se debe seguir el régimen general, es decir, hacer públicos los nombres de personas físicas en tablones de anuncios accesibles a terceros – si no hay soporte normativo que lo avale – podría suponer una divulgación indebida no concordante con el deber de secreto  recomendándose la comunicación individual a cada alumno aunque, eso sí, las calificaciones de los restantes serían accesibles ejerciendo la condición de interesado.

Fuente: AGPD

La AEPD apercibe a un bar de Santa Cruz de Tenerife por contar con un monitor de videovigilancia que muestra las imágenes captadas a terceros

El pasado mes de junio la AEPD ha procedido a apercibir a un establecimiento hostelero de Santa Cruz de Tenerife que contaba con un sistema de videovigilancia con 8 cámaras, 7 en su interior y otra mas en la entrada del local pero visionando parte de la vía pública. Además, en su interior, junto a la cabina de sonido del establecimiento, el local contaba con un monitor de visionado de los campos visuales captados por las ocho cámaras, estando las imágenes al alcance de los clientes del establecimiento.

La inspección de la AEPD requirió el informe de la situación del sistema de videovigilancia de este establecimiento, después que se recibiera denuncia de un ciudadano al comprobar que una cámara enfocaba hacia la vía pública, siendo él objeto de grabación sin su consentimiento. Dicho informe fué remitido por el Cuerpo Nacional de Policía, adcritos a la comisaría de La Laguna.

Entre los hechos probados mas relevantes, el procedimiento destaca los siguientes:

1.- El local cuenta con carteles de aviso de zona videovigilada.

2.- El preceptivo fichero estaba inscrito en el RGPD.

3.- El local dispone de un monitor donde se visualizan las imágenes de las cámaras y un sistema de almacenamiento de imágenes todo ello situado en la cabina del encargado de poner la música junto al mando que acciona el movimiento y el zoom de la cámara número dos.

Ante estos hechos, se imputó al titular del establecimiento hostelero, la comisión de dos infracciones de la normativa de protección de datos.

Por un lado, la comisión de infracción del artículo 6.1 de la LOPD, que dispone que:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

En el caso que nos ocupa, tanto de la información facilitada por el Cuerpo Nacional de Policía en fase de actuaciones previas como de las alegaciones del denunciado aportadas a este expediente en trámite de audiencia previa, se deriva que hay un videocámara instalada en el puerta de acceso del local que visualiza la acera (vía pública) y la calzada anexa (tal y como se aprecia en la copia de la imagen captada por esta cámara y visualizada en el monitor), pudiendo captar a los transeúntes que allí se encuentren o por allí pasen. Así pues, se visualiza vía pública sin que conste en el expediente que el denunciado cuenta con el
consentimiento de las personas afectadas. Por esta razón, los hechos expuestos podrían suponer una infracción del artículo 6.1 de la LOPD anteriormente expuesto.

Así el artículo 4.3 de la Instrucción 1/2006 dispone:
“3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.”

El artículo 44.3.b) de la LOPD considera infracción grave:
“Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

No consta que dicho responsable tenga legitimación para el tratamiento de las imágenes captadas en vía
pública, pudiendo realizar un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos. Tampoco consta que cuente con el consentimiento de los afectados cuyos datos personales se tratan por las cámaras instaladas, tal y como establece el artículo 6.1 de la LOPD.

No obstante durante la tramitación de este procedimiento, el denunciado ha aportado copia de la imagen que capta la cámara controvertida en el monitor donde se visualiza para acreditar la reorientación de la misma, de tal forma que ha limitado el enfoque de esta cámara que ahora capta el espacio imprescindible para poder realizar un control o vigilancia de la entrada y acceso al local.

En segundo lugar, se imputa al titular del establecimiento , la comisión de una infracción del artículo 4.1 de la LOPD.

La LOPD regula en su artículo 4 el principio de calidad de datos, que contiene a su vez el principio de proporcionalidad, aplicable al supuesto de hecho que nos ocupa, en lo relativo a la visualización de las imágenes captadas por las ocho cámaras instaladas, en un monitor situado en el cabina de música del establecimiento a la vista del responsable del fichero y de la persona que se ocupa de pinchar la música en el bar que tal y como manifiesta el denunciado, no siempre es la misma, es decir que las imágenes son visibles por un número de personas desconocido.

La LOPD garantiza el cumplimiento del principio de proporcionalidad en todo tratamiento de datos personales, cuando señala en su artículo 4 que:
“1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

El principio de proporcionalidad también aparece recogido en la Instrucción 1/2006, en su artículo 4, cuyo contenido establece que:

«1. De conformidad con el artículo 4 de la Ley Orgánica de Protección de Datos de Carácter Personal, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras
o videocámaras.
2. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.
3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.

El cumplimiento del principio de proporcionalidad, está íntimamente ligado a la finalidad perseguida con el establecimiento de un sistema de videovigilancia, que en todo caso deberá ser legítima y proporcionada.

En este sentido, hemos destacado que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones <<si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es
ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

En el caso que nos ocupa, del escrito de alegaciones del denunciado se deriva que reconoce los hechos, que las imágenes que captan las cámaras se visualizan en un monitor situado en la cabina de música, porque es el único lugar donde siempre hay algún empleado o el propietario de forma habitual, pudiendo por tanto, ser accesibles a todas las personas que lleven a cabo la función de pinchadiscos en el bar denunciado.

En este monitor se recogen las imágenes de las ocho cámaras instaladas en el establecimiento, la cantidad de datos personales que se tratan tanto por el responsable del fichero, como por toda persona que visualice este monitor supone un tratamiento desproporcionado, no pertinente y excesivo en relación con la finalidad de seguridad que se persigue. La situación descrita vulnera de forma directa el principio de proporcionalidad. Tal y como se ha indicado anteriormente, la imagen es un dato personal y el tratamiento de los datos personales exige, en principio el consentimiento de los afectados. La captación de imágenes de personas es un tratamiento de datos y por tanto está sometida a las exigencias de la normativa de protección de datos, entre ellas la proporcionalidad, la adecuación y pertinencia de los datos tratados para la finalidad que se recogen.

El artículo 44.3.c) de la LOPD tipifica como infracción grave:
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”

En este supuesto ha quedado acreditado que el monitor donde se visualizan las imágenes captadas por las cámaras se encuentra situado en un lugar accesible a personas diferentes del denunciado, como es la cabina de música del establecimiento.

Ambos casos, la falta de consentimiento que exige el artículo 6.1, así como el incumplimiento del principio de proporcionalidad que exige el artículo 4 de la LOPD, son constitutivos de infracción grave.

¿Por qué no se sanciona dichas acciones y solo se apercibe?.

Con la reforma del Título VII de la LOPD, apareció en escena la figura del apercibimiento. La disposición final quincuagésima sexta de la Ley 2/2011 de 4 de marzo de EconomíaSostenible (BOE 5-3-2011) (LES), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD en lugar del existente hasta su promulgación del siguiente tenor:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”.

No obstante, en relación con la infracción del artículo 6.1 de la LOPD, debido a que el imputado ha cumplido con la obligación de reorientar la cámara controvertida para que la misma capte únicamente el espacio imprescindible de la vía pública situado en la entrada del local, no se insta por parte de esta Agencia la adopción de una concreta medida correctora en lo que se refiere a la infracción de este artículo.

En relación a la infracción del artículo 4.1 de la LOPD la AEPD insta que acredite en el plazo de un mes desde el acto de notificación:

 cumpla lo previsto en el artículo 4.1 de la LOPD, para lo que se abre expediente de actuaciones previas E/03908/2012, advirtiéndole que en caso contrario se procederá a acordar la apertura de un procedimiento sancionador.
En concreto se insta al denunciado a justificar: la retirada de la zona de la cabina de música, del monitor donde se visualizan las imágenes captadas por las cámaras instaladas en su establecimiento, para que las mismas no sean accesibles a un número indeterminado de personas (los encargados de poner la música en el local); o la limitación del número de las personas que pueden visualizar las imágenes en tiempo real, incluyendo en el documento de seguridad la identificación de las personas que pueden visualizar las imágenes captadas por las ocho cámaras instaladas en el establecimiento.

¿Pueden los hoteles ceder datos de sus huéspedes a la policia?

 Como punto de partida, debe analizarse si el tratamiento y posterior comunicación de los datos se encuentran amparados por lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

 En este sentido, el artículo 11.1 dispone que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante este consentimiento no será necesario ”Cuando la cesión está autorizada en una Ley” (artículo 11.2 a).

 El tratamiento y cesión de datos a los que se refiere la consulta trae su causa de lo establecido en el artículo 45.1 del Convenio de Schengen, ratificado por España en fecha 23 de julio de 1993. Según este precepto:

 “Las Partes contratantes se comprometen a adoptar las medidas necesarias para garantizar que:

 a) El director de un establecimiento de hospedaje o su encargado procuren que los extranjeros alojados, incluidos los nacionales de las demás Partes contratantes y de otros Estados miembros de las Comunidades Europeas, con excepción de los cónyuges o menores que les acompañen o de los miembros de grupos de viaje, cumplimenten y firmen personalmente las fichas de declaración y que justifiquen su identidad mediante la presentación de un documento de identidad vigente.

 b) Las fichas de declaración así cumplimentadas sean conservadas por las autoridades competentes o transmitidas a éstas, siempre que dichas autoridades lo estimen necesario para prevenir peligros, para perseguir delitos o para dilucidar el paradero de personas desaparecidas o víctimas de accidentes, excepto si el Derecho nacional dispusiera otra cosa.”

 En este sentido, es preciso recordar que el artículo 96.1 de la Constitución dispone que “Los tratados internacionales válidamente celebrados, una vez publicados oficialmente en España, formarán parte del ordenamiento interno. Sus disposiciones sólo podrán ser derogadas, modificadas o suspendidas en la forma prevista en los propios tratados o de acuerdo con las normas generales del Derecho internacional”.

 Del mismo modo, el artículo 12 de la Ley Orgánica 1/1992, de 21 de febrero, dispone que “Las personas naturales o jurídicas que desarrollen actividades relevantes para la seguridad ciudadana, como las de hospedaje, el comercio o reparación de objetos usados, el alquiler o el desguace de vehículos de motor, o la compraventa de joyas y metales preciosos, deberán llevar a cabo las actuaciones de registro documental e información previstas en la normativa vigente”, habiendo sido desarrollada esta previsión por la Orden INT/1922/2003, de 3 de julio.

 Por este motivo, el tratamiento de los datos mencionados y su comunicación a las Fuerzas y Cuerpos de Seguridad se encuentra amparado por lo establecido en los artículos 6.1 y 11.2 a) de la Ley Orgánica 15/1999, dado que existe una norma con rango de Ley que da cobertura al tratamiento y cesión de los datos.

Fuente: AEPD

Endesa Energía es sancionada por protección de datos por usar datos personales sin consentimiento para activar un contrato de suministro de energía.

Según informa la AEPD en su PS/00613/2011, Endesa Energía ha sido sancionada por usar sin consentimiento los datos personales y activar un contrato de suministro de energía, cuando en realidad el denunciante tenía el servicio con GAS NATURAL y se le ha impuesto una multa de 50.000€.

Endesa Energía aportó el contrato de suministro, así como las facturas de suministro por el consumo. Consta en su sistema informático la reclamación del denunciante por la disconformidad de la contratación el 27/04/2010; que no abrió ningún expediente por este supuesto; y que la contratación se realizó a través de un distribuidor, ESTRUCTURA DE VENTA DIRECTA SL, quién obtuvo los datos del denunciante mediante el sistema de visita domiciliaria de sus comerciales.

Quedando como hechos probados mas relevante los siguientes:

1.- El denunciante consta como cliente de Endesa Energía.

2.- Los datos del denunciante provienen de un formulario de «Solicitud de suministro» que fue cumplimentado por un agente comercial del distribuidor, en la que se puede constatar la existencia de una firma con el nombre completo del denunciante que no coincide con la firma del denunciante.

3.- En el posterior control de calidad, la grabación de la conversación para verificar la veracidad de la contratación deja en evidencia a Endesa: no consta el número al que se llama, ni el día, ni la hora, ni quien llama, ni quien atiende la llamada, y, desde luego, la voz no es identificable con el denunciante, ni el acento ni el tono.

4.- El denunciante comunicó su disconformidad con el contrato por teléfono a Endesa, indicando que no había firmado ningún contrato y los datos eran erróneos (teléfono y cuenta).

La LOPD establece: “Artículo 6. Consentimiento del afectado
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

Carece de consentimiento Endesa Energía SAU para tratar los datos personales –nombre apellidos DNI y domicilio- de la persona denunciante incorporándolos a su fichero de clientes, emitir contrato de suministro, después facturas y más tarde reclamarle los importes de esa facturas, y encargar su cobro a una entidad especializada. Todo ello sin haber obtenido el consentimiento del denunciante.
Para que el tratamiento de los datos de la persona denunciante resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Sin embargo, nunca hubo consentimiento para el tratamiento de sus datos. Tampoco concurre ninguno de los supuestos exentos de prestar tal consentimiento, de modo que se considera infringido el citado artículo 6.1 de la LOPD.

Endesa Energía SAU dice que los datos del denunciante habían sido proporcionados por la empresa de servicios que tenia contratada para la captación de clientes, que una vez recibidos encargo el control de la calidad de la misma a una tercera empresa que por medio de conversación telefónica grabada obtuvo de la persona denunciante la confirmación de contratación, el buen trato recibido por el comercial, la información escrita completa de la oferta ventajosa y la exactitud de todos los datos proporcionados.

La realidad que se obtiene de la apreciación conjunta de todos los documentos obrantes en el expediente es muy distinta. La verdad es que inmediatamente que tiene conocimiento del contrato que le envían para su firma se pone en contacto con Endesa para manifestar su desacuerdo con la contratación, que él no ha firmado ningún formulario de contratación del gas y mantenimiento. Los mismos empleados de atención de la compañía dicen que ante los documentos de identidad presentados con el escrito de reclamación del denunciante se deduce que no ha firmado el formulario de contratación y le envían la carta para tramitar la baja. No solamente no es la firma del denunciante la que figura en el formulario tampoco lo es el teléfono de contacto y el número de la cuenta bancaria para domiciliación de pagos.

La imputada no ha acreditado que obrara con diligencia suficiente para cumplir su propio procedimiento para tramitar nuevas altas por canales presenciales del gran público. En el texto aportado se han descrito una serie minuciosa de tareas a realizar sobre el material remitido por los captadores para dar el visto bueno a los contratos y las medidas de verificación y control a ejecutar, incluso por personal externo certificador.

La primera reclamación del denunciante a Endesa se produce por teléfono el 27/04/10 la siguiente, escrita, el 30/04/10 y le contestan que tras comprobaciones todo esta correcto, que no hay nada de lo que denuncia. En las grabaciones de los contactos con el cliente, aportados también con las alegaciones al acuerdo de inicio, queda constancia de que él no firmó los contratos –como se hace constar en el hecho 6, pero emitió posteriormente las dos facturas que dice haber anulado y devuelto el importe el 02/03/11.

Ha transcurrido casi un año desde que tuvo el conocimiento de la primera reclamación del denunciante y copia de su DNI. Muy poca diligencia para poner fin a la situación, como exige el apartado 5.b) del artículo 45 de la LOPD, si tenemos en cuenta que las facturas por el suministro se emitieron después de comprobar que no era su firma la de los contratos.

Estas razones ha llevado a que la AEPD imponga una multa de 50.000€ (cincuenta mil euros) a Endesa Energía SLU por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 45.2 y 4 de la citada Ley.

De este procedimiento será interesante extractar la lección que debemos recoger todos, en especial cuando uno cuenta con un departamento comercial, propio o externo:

1.- No basta con contar con un protocolo de calidad (que hay que tener); este debe ser creíble y para ello debe estar alerta para detectar posibles errores y/o fraudes en la contratación.

2.- Es un ejercicio sencillo y elemental el contrastar la firma de los documentos con la firma que aparece en el documento identificativo del cliente (p.e. su DNI, pasaporte, etc..).

3.- De sabio es rectificar: a la primera llamada del denunciante en el que este comunica a Endesa que no ha firmado ningún contrato deberían saltar todas las alarmas, no solo verificar electrónicamente las firmas en ese momento y darle la razón al cliente (parece que así se actuó); sino que que debe actuar con mas dinamismo, ya que se está evidenciando un error/fraude en el contrato. La acción de Endesa fue pasiva, se limitó a enviar a un documento de solicitud de baja… he aquí mi asombro; si la supuesta acción de captación fué presencial, si el denunciante no acudió a Endesa, ¿por qué es ahora el denunciante el que debe esperar a que le envíen el documento de baja y cumplimentarlo y reenviarlo? ¿por qué Endesa, en su departamento de calidad, no envió inmediatamente a un inspector o agente autorizado a verificar los hechos a casa del denunciante y proceder a anular unilateralmente el contrato que nunca debió activar?.

4.- ¡Cuidado con el equipo comercial de campo!. Aquí nos encontramos con otro de los elementos peligrosos: la captación de personal con baja cualificación en los departamentos de ventas; la falta de formación de estos equipos; la falta de concienciación sobre los pasos a dar en las visitas comerciales y en la contratación; la obligación de que los mismos realicen el primer check list de verificación de datos (¿no nos piden el DNI cuando pagamos con tarjeta de crédito? ¿qué impide que miremos y revisemos el DNI o documento identificativo a ver si realmente es la persona que tenemos enfrente?); y por último, la presión que las empresas realizan sobre su fuerza de ventas obligando a esta a cumplir objetivos, ha llevado a algunos comerciales a no prestar la debida diligencia en la acción comercial, ha llevado a otros a entregar contratos cerrados en aquellas situaciones en las que solo realizaron una «propuesta comercial personalizada» falsificando luego la firma, y, por último, y no menos grave, la avaricia de querer cobrar un incentivo o comisión extra por una visita que no se ha cerrado de forma positiva sino en un  «ya veremos» o «ya lo estudiaremos».

Quizás me esté dejando atrás alguna otra lección, pero me ha parecido importante destacar estos aspetos.

Fuente: AEPD