//
Archivos

principio de consentimiento

Esta etiqueta está asociada a 16 entradas

Telefónica es sancionada con 30.000€ por usar sin consentimiento los datos de un cliente de Tenerife

Telefónica Móviles de España SA, en adelante TME, ha sido sancionada por la AEPD por infracción del artículo 6.1 de la LOPD y se le ha impuesto una multa de 30.000€.

Según consta en el procedimiento sancionador abierto por la AEPD, PS/00540/2011, Teléfonica usó sus datos personales para dar de alta una línea de teléfono sin su consentimiento, facturando al denunciado durante varios meses servicios y consumo que no había contratado.

El propio departamento de fraude de la compañía detectó el incidente ante la reclamación presentada por el denunciante, vecino de Santa Cruz de Tenerife, y procedió a la anulación de las facturas emitidas.

TELEFÓNICA MÓVILES ESPAÑA, no aporta documentación que permita comprobar la identificación del cliente que dio de alta la línea y firmó el contrato.

La firma del contrato aportado, no coincide con la firma de la copia del DNI, ni con la de la denuncia presentada ante la Agencia Española de Protección de Datos por el denunciante.

El contrato de la línea fue realizado por el distribuidor HELIO TENERIFE NORTE. S.L. con la que TME suscribió el 01/11/1999 un contrato de promoción comercial.

Se imputa a TELEFÓNICA MÓVILES ESPAÑA  el tratamiento sin consentimiento de los datos personales de la denunciante. El artículo 6 de la LOPD, determina:

 “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

El tratamiento de datos sin consentimiento constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo), “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.

Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y tratamiento de sus datos personales y a saber de los mismos.

En el presente caso el denunciante niega haber contratado con TME el servicio de la línea en consonancia con la actitud mantenida para con ésta y acreditada en el expediente, referente a la no solicitud del servicio:
– Denuncia ante esta Agencia.
– El denunciante niega la contratación.
– El denunciante manifiesta en fase de prueba del procedimiento que las firmas que figuran en el
contrato de la línea no son suyas.

Todas estas circunstancias son indicios que evidencia un tratamiento de datos sin el consentimiento de la denunciante. Conviene reseñar la virtualidad de la prueba indiciaria, cuya admisión en el procedimiento administrativo sancionador se admite en la Sentencia del Tribunal Constitucional núm. 45/1997 (Sala Primera), de 11 de marzo (RTC 1997,45). Así los requisitos necesarios para su admisión vienen desarrollados, con cita de la doctrina del Tribunal Supremo, por la Sentencia del TSJ de Andalucía, núm. 255/2003 de 27 de enero, que dice: “Sobre ella precisar que la jurisprudencia constitucional y la de la Sala 2ª del TS han perfilado los requisitos necesarios para que la prueba indiciaria pueda ser apreciada como tal y que pueden resumirse en los siguientes extremos:
1º- Que el hecho base no se único, pues uno solo podría inducir a error – STC núm. 111/1990 de 18 de junio (RTC1990, 111);
2º- Que estos hechos estén directamente acreditados – SSTS de 18 y24 de enero de 1991 ( RJ 1991,282)- ; y
3º Que la inferencia no quebrante las reglas de la lógica, de otra disciplina o de la experiencia general – STC 107/1989 de 8 de junio y 510/1989 de 10 de marzo ( RTC 1985,510) …………” Para que el tratamiento de los datos del denunciante por parte de TME resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada.

Sin embargo, según manifiesta el denunciante nunca formalizó contrato alguno con TME de la línea, ni consintió el tratamiento de sus datos personales. TME no ha presentado ninguna prueba que pueda evidenciar que contaba con el consentimiento del denunciante o relación contractual que le exima del mismo, ya que el contrato que se ha aportado tiene unas firmas que el denunciante no reconoce como propias.

Este contrato recoge explícitamente la documentación (contrato firmado, copia de DNI, y de documentos acreditativos de los datos de cobro) que el distribuidor debe recabar y remitir a TME en el proceso de formalización de los contrato de abono a los servicios. TME ha aportado a esta Agencia como prueba de la contratación efectuada copia de un contrato con los datos personales del denunciante, sin aportar copia del DNI y documentos acreditativos de los datos de cobro del denunciante a pesar de ser dicha entidad la que exige dichos documentos a los distribuidores en el proceso de alta de sus servicios. Corresponde por tanto a TME desplegar la diligencia debida para comprobar la autenticidad del contrato, es decir, que el consentimiento está obtenido válidamente, a través de la comprobación del cumplimiento de los requisitos de contratación por ella misma exigidos a los distribuidores y que en este caso no se ha producido.

En cuanto al contrato firmado aportado por TME debe reiterarse que los indicios probatorios obrantes en el expediente indican que no fue suscrito por el denunciante.

TME trató los datos personales del denunciante sin su consentimiento por lo que se ha vulnerado el principio del consentimiento previstos en el artículos 6 de la LOPD. La conculcación de este principio supone la comisión de la infracción grave prevista en el transcrito artículo 44.3.b).

Ello ha llevado a la AEPD a imponer a TME por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 30.000€ (treinta mil euros) de acuerdo a lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

Fuente: AGPD.

Sigue leyendo

Mutual Didat Cyclops ha sido sancionada por ceder datos de un exempleado sin consentimiento previo.

La entidad MUTUAL DIDAT CYCLPS (MMC) ha sido sancionada por al AEPD por infracción del artículo 11.1 de la LOPD, al ceder sus datos sin consentimiento, ascendiendo la sanción impuesta a 6.000€.

Según consta en el procedimiento sancionador PS/00539/2011 MMC cedió los datos personales del denunciante a la empresa Sanitas sin su autorización. El denunciante había cesado su relación laboral con MMC con anterioridad a la cesión de sus datos, en abril de 2010.

Al vencer la póliza de seguros que la mutua tenía contratada con ADESLAS, la mutua firmó una nueva póliza de seguro para sus empleados con Sanitas. Esta póliza cubría a los empleados y exempleados en condiciones preferentes con respecto a los clientes individuales.

Según las alegaciones de MMC, se les envió a todos los beneficiarios un escrito  informando de las condiciones de la póliza en las que se le solicitaba autorización para proceder al traspaso de datos. Esta autorización se consideró otorgada tácitamente al no recibir oposición por parte del denunciante. Se aportó copia del escrito aunque no se aportó prueba de su envío y/o recepción.

MMC reconoce el error de comunicar en el listado de personas adjuntos a la póliza, los datos de este extrabajador, contactando con Sanitas para que se procediera a la devolución de cualquier importe que se le hubiera cobrado.

Ante estos hechos, la AEPD inició procedimiento sancionador contra MMC por presunta infracción del artículo 11.1 de la LOPD. “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.”

Entre los hechos probados, queda constancia de la ausencia de consentimiento por parte del denunciante para el tratamiento y cesión de sus datos por parte de MMC.

En el presente caso se ha acreditado que MMC comunicó los datos personales del denunciante, exempleado de la entidad, incluyendo nombre, apellidos, DNI, fecha de nacimiento, sexo, domicilio y cuenta corriente, a un tercero, la entidad SANITAS. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso contar con el consentimiento del afectado o, en su defecto, debe acreditarse que concurre alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento. 

Sin embargo en este caso, MMC cedió los datos de su exempleado sin haber obtenido su consentimiento previo, por lo que debe entenderse vulnerado el artículo 11 de la LOPD.

Por esta razón, se impuso a Mutual Didat Cyclops (MMC), por una infracción del artículo 11.1 de la LOPD, tipificada como grave por el artículo 44.3.k) de dicha norma, una multa de 6.000€.

De este procedimiento merece la pena destacar un hecho relevante, MMC afirma que envió un escrito solicitando la autorización, pero, aunque presentó copia de la carta, no pudo acreditar ni el envío ni la entrega. Aunque MMC invoca el consentimiento tácito para la comunicación de los datos personales a un tercero hay que tener en cuenta que la definición que hace de CONSENTIMIENTO el artículo 3.h de la LOPD dice que este es “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le concierne”.

El adjetivo “inequívoco” que califica al consentimiento, significa según el Diccionario de la Real Academia Española “que no admite duda o equivocación” y, por contraposición a equívoco, lo que no puede entenderse o interpretarse en varios sentidos, o que no puede dar ocasión a juicios diversos.

La exigencia de que sea inequívoco está relacionada con la forma de prestar el consentimiento, pues el precepto comentado no establece ni requiere que tenga que prestarse de forma determinada, ni de forma expresa o por escrito.

En la SAN, Sec. 1ª, 20-9-06 (Rec. 626/2004), respecto al consentimiento tácito, se dice «en nuestra sentencia de 7 de julio de 2000 (recurso número 121/1999), decíamos en el Fundamento de Derecho Tercero: “Este tema del consentimiento tácito ha de ser tratado con una gran delicadeza cuando están en juego derechos constitucionales básicos 8 art. 18-4 C.E.) y a ello tiende toda la regulación legal
contenida en el articulado de la L.O. 5/92 y su explicación y filosofía recogida en la Exposición de Motivos. En la vida de relación es muy posible reconocer formas de tácita aceptación, pero siempre en aspectos no trascendentales o cuando se está operando sobre situaciones consolidadas y que están en la común consideración a modo de valores entendidos. No es el caso cuando lo que está en juego es la privacidad de las personas de ahí todas las cautelas normativas tendentes a proteger esa privacidad, sin que quepan interpretaciones de laxitud del art. 11-1 de la Ley a menos que el titular de la intimidad se haya situado voluntariamente en situación de abandono de la defensa de ese derecho, en cuyo caso sí podría hablarse de una forma de consentimiento tácito….”.

Fuente: AGPD

Me reclaman una deuda y llaman a mis familiares y amigos. También al trabajo, ¿qué puedo hacer?

Todos los responsables de ficheros así como todas aquellas personas que intervienen en el tratamiento de datos de carácter personal están obligados al secreto profesional y por tanto, deben guardar secreto de toda aquella información que conocen por su relación con el responsable del fichero incluso después de finalizar su relación con el mismo. Por tanto, ninguna entidad puede divulgar sus datos personales a terceros sin su consentimiento.

Por otra parte, si usted mantiene una deuda con alguna entidad, ésta puede utilizar los datos personales que le facilitó con la firma del contrato que origina la deuda, para contactar con usted y así dar continuidad a la relación negocial establecida entre ambos en virtud del contrato firmado. En este caso, la entidad que le reclama la deuda intenta recuperarla y por tanto, es lícito que contacte con usted en los teléfonos y direcciones que le facilitó.

Respecto de las llamadas telefónicas a familiares, amigos y/o al trabajo, se trata de una práctica bastante denunciada ante la Agencia de Protección de Datos pero de difícil investigación ya que debe acreditarse, el contenido de las llamadas telefónicas, que sería la prueba indiciaria para iniciar actuaciones de investigación. Sin conocer el contenido de la información que se facilita a terceros durante la conversación no se puede dirimir si se produce o no una vulneración del deber de secreto.

Si la entidad dirige un escrito a terceros (familiares, amigos o al trabajo) informando que usted tiene una deuda y solicitando que se lo hagan saber a usted para que contacte con la citada entidad y saldar una deuda, estaríamos también ante una práctica contraria a la normativa de protección de datos.

Si usted dispone de pruebas suficientes que permitan acreditar que se ha producido una vulneración de deber de secreto, puede ponerlo en conocimiento de esta Agencia mediante escrito de denuncia exponiendo los hechos acaecidos y acompañando de la documentación acreditativa de los mismos.

Dicho escrito deberá contener:

a) Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.

b) Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.

c) Lugar y fecha.

d) Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.

e) Órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).

 Igualmente, las denuncias deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba o indicio que permita corroborar los hechos denunciados.

 Al mismo tiempo debe señalarse que el deudor está obligado a mantener actualizados con la empresa acreedora los datos de contacto según lo previsto en el artículo 6.2 LOPD pudiendo aquella en caso contrario actualizar los mismos.

Fuente: AGPD

¿Qué condiciones debe reunir el consentimiento del interesado para el tratamiento de datos?

 Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado. En particular, la LOPD establece en su artículo 6 lo siguiente:

Artículo 6. Consentimiento del afectado.

  • El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  • No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
  • El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
  • En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”

En cuanto al consentimiento, el artículo 3,h) de la Ley Orgánica 15/1999 define como tal “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. De ello se desprende la necesaria concurrencia para que el consentimiento pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto.

                A juicio de esta Agencia la interpretación que ha de darse a estas cuatro notas características del consentimiento, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa, será las siguientes:

  • Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
  • Específico, es decir, referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999.
  • Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.
  • Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

De lo que se ha indicado se desprende que de las características del consentimiento no se infiere necesariamente su carácter expreso en todo caso, razón por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado expresamente; así sucede en el caso de tratamiento de datos especialmente protegidos, indicando el artículo 7.2 la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.

Por tanto, el consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos (artículo 7.2 y 7.3 de la Ley Orgánica 15/1999) si bien para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento y de la existencia de ese plazo para evitar que se proceda al mismo.

El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.

Cesión de datos

En cuanto a la cesión de datos, si la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, definida en el artículo 3, i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a persona distinta del interesado”.

El régimen de las cesiones de datos se contiene en el artículo 11 de la citada Ley Orgánica:

Artículo 11. Comunicación de datos.

  • Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  • El consentimiento exigido en el apartado anterior no será preciso:

o   Cuando la cesión está autorizada en una Ley.

o   Cuando se trate de datos recogidos de fuentes accesibles al público.

o   Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

o   Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

o   Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

o   Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

  • Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
  • El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
  • Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
  • Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.”

A tenor del art. 44,4,b). de la Ley Orgánica se considera infracción muy grave la cesión de datos de carácter personal sin consentimiento del interesado, fuera de los casos en que estén permitidas.

Fuente: AGPD

Un estudio fotográfico es condenado por el uso de un retrato de un menor

El diario digital http://www.elmundo.es se hizo eco ayer de la resolución que la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó ayer contra un estudio fotográfico que utilizó la imagen de un menor en un retrato y lo colocó en el escaparate como reclamo profesional sin consentimiento.

Esta sentencia viene a confirmar la sanción impuesta por la AEPD en el procedimiento sancionador que esta dictó con el número PS/00197/2010, de fecha 2 de noviembre de 2010.

En dicho expediente, la AEPD abrió procedimiento contra el estudio fotográfico ante la denuncia presentada por la madre del menor, después de que esta hubiera instado al estudio a retirar la misma del escaparate sin recibir contestación o respuesta del mismo.

Ante la apertura del procedimiento sancionador, el estudio fotográfico alegó que la madre llevó al menor para hacer unas fotos pero al no ser de su agrado, no las adquirió, quedando en posesión del estudio, quien, amparándose en el derecho de autor, la expuso como obra de arte como fotógrafo profesional.

Entre los hechos probados está la comprobación de la exposición de la foto en el escaparate y la ausencia de consentimiento de la denunciante, madre y representante legal.

El artículo 6.1 de la LOPD dispone lo siguiente: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

El ESTUDIO. no ha aportado prueba documental que acredite el consentimiento de la denunciante, a la sazón, madre y representante legal, para llevar a cabo el tratamiento de datos personales realizado, antes bien, los documentos que obran en el procedimiento evidencian que aquél no contaba con su consentimiento inequívoco. Cabe decir por tanto que, ante la falta de acreditación por el ESTUDIO del consentimiento inequívoco de los denunciantes para ese tratamiento de datos personales en cuestión, y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima
vulnerado por la entidad imputada el artículo 6.1 de la LOPD.

En el supuesto examinado y según ha quedado indicado, no ha acreditado disponer de ese consentimiento inequívoco. Al contrario, se reitera, consta en el expediente que no disponía del mismo.

En cuanto a la consideración de la imagen como dato de carácter personal, el Tribunal Constitucional, con la salvedad de que la sentencia citada más abajo viene a referirse a una cuestión estrictamente de colisión entre la libertad de información y el derecho a la propia imagen, en su sentencia de 16 abril de 2007 (STC 72/2007) dice:
“Este Tribunal ha tenido ocasión de pronunciarse en relación con quejas sobre vulneraciones del derecho a la propia imagen (art. 18.1 CE) en las SSTC 231/1988, de 2 de diciembre, 99/1994, de 11 de abril, 117/1994, de 17 de abril, 81/2001, de 26 de marzo, 139/2001, de 18 de junio, 156/2001, de 2 de julio, 83/2002, de 22 de abril, 14/2003, de 28 de enero, y 300/2006, de 23 de octubre.

En lo que aquí interesa destacar, de dicha doctrina resulta que, en su dimensión constitucional, el derecho a la propia imagen (art. 18.1 CE) se configura como un derecho de la personalidad, que atribuye a su titular la facultad de disponer de la representación de su aspecto físico que permita su identificación, lo que conlleva tanto el derecho a determinar la información gráfica generada por los rasgos físicos que le hagan Reconocible que puede ser captada o tener difusión pública, como el derecho a impedir la obtención, reproducción o publicación de su propia imagen por un tercero no autorizado (STC 81/2001, de 26 de marzo FJ2).

Resulta, por tanto, que el derecho a la propia imagen (art. 18.1 CE) se encuentra delimitado por la propia voluntad del titular del derecho que es, en principio, a quien corresponde decidir si permite o no la captación o difusión de su imagen por un tercero. No obstante, como ya se ha señalado, existen circunstancias que pueden conllevar que la regla enunciada ceda, lo que ocurrirá en los casos en los que exista un interés público en la captación o difusión de la imagen y este interés público se considere constitucionalmente
prevalente al interés de la persona en evitar la captación o difusión de su imagen. Por ello, cuando este derecho fundamental entre en colisión con otros bienes o derechos constitucionalmente protegidos, deberán ponderarse los distintos intereses enfrentados y, atendiendo a las circunstancias concretas de cada caso, decidir qué interés merece mayor protección, si el interés del titular del derecho a la imagen en que sus rasgos físicos no se capten o difundan sin su consentimiento o el interés público en la captación o difusión de su imagen (STC 156/2001, de 2 de julio, FJ 6)” (el subrayado es de la Agencia Española de
Protección de Datos)..

Cabe rechazar lo alegado por el imputado en cuanto a que los hechos denunciados exceden el ámbito de aplicación de la LOPD, por cuanto, como ya se ha expuesto, la imagen es un dato de carácter personal, y su recogida constituye un tratamiento (automatizado o no reza la LOPD). Asimismo se alude a la inexistencia de fichero cuando, tratándose de imágenes (fotografías), el imputado, la localización de una en concreto responderá a algún tipo de estructuración de fichero adoptada por el imputado. Respecto a los precedentes aludidos, en los mismos no se acreditó la existencia de fichero y por la propia naturaleza de los hechos probados no cabía inferir la necesaria existencia del mismo.

En vista de estos hechos, la AEPD sancionó a este ESTUDIO por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de la norma con una multa de 1.500€.

Aunque la misma fue recurrida, ahora la Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha venido a confirmar esta sentencia.

Leer más en: http://www.elmundo.es/elmundo/2012/06/05/espana/1338892911.html

Fuente: AEPD y http://www.elmundo.es

El sistema SIGO de la Guardia Civil

SIGO son las siglas de Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciudadana. Este sistema  tiene como función fusionar toda la ‘información de interés policial’ en un solo punto. S.I.G.O. o proyecto S.I.G.O es una base de datos de la Benemérita o registro sobre delitos, delincuentes, automóviles y diligencias policiales.

La idea que hay tras esta gran base de datos está la de prevenir delitos o investigarlos. Pero cuando se juega al borde del área existe el peligro cierto de vulnerar derechos fundamentales, en este caso, el derecho fundamental a la protección de nuestros datos personales, tal como recoge la STC 292/2000. Cuando se juega al borde del área hay que recordar que la línea es área y, por tanto, cualquier infracción en esa zona puede ser duramente castigada.

Este sábado, el diario http://www.elconfidencial.com publicaba un interesante artículo donde se hacía eco de las denuncias presentadas por agentes de la benemérita contra el uso y abuso de la incorporación de datos personales al sistema SIGO. Según se informa en el citado medio, nombres, direcciones, teléfonos y actividades han alimentado esta base de datos “sin consentimiento” de los ciudadanos, pasando a formar parte de sus antecedentes penales. Hasta de donde venía uno y a donde se dirigía, son campos que se han incorporado a estos ficheros.

La Unión de Guardias Civiles ha denunciado esta práctica que considera ilegal, además de las presiones que están recibiendo los agentes para “engordar artificialmente” esta base de datos. Además, se incentiva esta práctica con complementos salariales.

¿Qué dice la LOPD al respecto?.

Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad
1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley.
2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.

4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

Además, el artículo 4 de la LOPD establece lo siguiente:

Artículo 4. Calidad de los datos
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.

¿Son pertinentes, son necesarios, los datos que se están incluyendo en SIGO, tal como establece el artículo 4? Para los miembros de este sindicato la respuesta es NO, no son pertinentes, “son innecearios sin relevancia policial”.

Siguiendo esta información, tal como cita el diario, decido buscar mas información y entro en los foros que hay en internet integrados por miembros de la benemérita, y cuanto mas leo, mas perplejo de quedo de los comentarios que realizan los “agentes” que participan en esos foros, que van en la línea de lo que comenta el diario.

La AEPD ha abierto varios expedientes recibió diez reclamaciones en 2011, según El Confidencial, pero siempre a instancia de parte, seis de las cuales fueron tramitadas. ¿Para cuándo una acción de oficio de la propia AEPD? Aunque solo un 10% de la información que es objeto de la denuncia fuera cierta, ¿no debería la AEPD actuar como tutor o garante del derecho a la protección de datos personales de todos los ciudadanos de este país?. Solo pensar que los datos de los españoles que han silo parados en cualquier control, por la Guardia Civil en los últimos tres años, puedan haber sido incorporados de pleno a SIGO sin su consentimiento es para ponernos la piel de gallina.

Si el consentimiento es el eje vertebral de esta norma y su incumplimiento es sancionado económicamente por parte de la AEPD cuando se trata de entes privados y no públicos; si este aspecto central es de obligado cumplimiento por parte de los entes privados y, además, debemos acreditar su obtención para el tratamiento de los datos personales, esas mismas obligaciones también recaen en los ficheros que manejan los entes públicos, como lo es el fichero SIGO de la Guardia Civil, que se encuentra sujeto a la LOPD, tal como establece el artículo 22.1. Si la Guardia Civil, en un control, quiere tomar esos datos e incorporarlos al fichero SIGO, antes deberá recabar nuestro consentimiento, lo contrario sería contrario a derecho. Sin ese consentimiento, ningún ente podrá almacenar o tratar nuestros datos personales, incluido, la Guardia Civil o cualquier otro cuerpo o fuerza de seguridad del Estado.

Claro está, para recabar ese consentimiento, antes deberán cumplir con el obligado principio de información que esboza el artículo 5 de la LOPD. La información en la recogida de datos personales constituye uno de los principios de la protección de datos, un derecho del afectado y un complemento previo de la prestación del consentimiento, cuya omisión puede determinar un vicio del consentimiento para el posterior tratamiento, que origine la nulidad del mismo. Así lo ha entendido también el TC en la Sentencia 292/2000 señalando que “sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (artículo 5 de la LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.” Tanto es así que sería nulo, en caso contrarío, el consentimiento prestado cuando la información facilitada no permita al interesado conocer la finalidad a la que se destinarán los datos (STS de 26 de octubre de 2006 y STS, Sala 3ª, Sección 6ª, de 4 de abril e 2000).

¿Que os parece?

Fuente: http://www.elconfidencial.com

http://www.elconfidencial.com/espana/2012/05/27/la-guardia-civil-ficha-a-miles-de-ciudadanos-inocentes-en-un-registro-sin-su-conocimiento-98792/

 

Estadística del blog

  • 165.825 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: