//
Archivos

publicación sin consentimiento de datos personales

Esta etiqueta está asociada a 10 entradas

EEUU accede ilegalmente a datos de pasajeros que sobrevolarán su espacio aéreo hacia Cuba, México y Canadá

FACUA reclama a España y la CE que abandonen su escandalosa complacencia ante estas prácticas, que atentan contra derechos fundamentales. Denuncia a Iberia, Air Europa, Aeroméxico y Air Transat ante la AEPD.

EEUU accede ilegalmente a datos de los pasajeros que pretenden sobrevolar su espacio aéreo con destino a Cuba, México y Canadá, aunque no hagan escala en ninguno de sus aeropuertos. Incluso bloquea las tarjetas de embarque de los pasajeros que no quiere que realicen esas rutas, con la excusa de ser sospechosos de posibles actos terroristas.

FACUA-Consumidores en Acción reclama al Gobierno de España y a la Comisión Europea (CE) que abandonen su escandalosa complacencia ante estas prácticas de EEUU que atentan contra derechos fundamentales.

La privacidad y la libre circulación, reconocidos por los artículos 12 y 13 de la Declaración Universal de los Derechos Humanos, están siendo cercenados mientras las autoridades españolas y comunitarias no hacen nada ante el chantaje de EEUU.

EEUU cuenta desde marzo con una base de datos de pasajeros europeos que le permite conocer cuántas veces y con quién viajan a distintas ciudades de los citados países, en el marco de su programa Secure flight Overflight.

Denuncia ante Protección de Datos

Este lunes, FACUA ha denunciado ante la Agencia Española de Protección de Datos (AEPD) la filtración ilegal de datos en la que incurren las aerolíneas españolas Iberia y Air Europa, la mexicana Aeroméxico y la canadiense Air Transat en vuelos con origen en aeropuertos españoles y destinos a Toronto, Montreal, México DF, y La Habana.

Además, ninguna de las cuatro compañías informa a los pasajeros que sus datos serán suministrados a EEUU en el momento de la contratación y solo la canadiense tiene un apartado en su web donde lo indica.

No hay norma ni tratado internacional que permita estas prácticas

FACUA advierte que no existe ninguna norma ni tratado internacional que autorice al Gobierno estadounidense a acceder a los datos de los pasajeros que viajan rumbo a países del continente americano sin escala en EEUU, pero las compañías aéreas le suministran la información desde marzo siempre que los vuelos atraviesen el país, aunque sea durante unos minutos.

En diciembre de 2011, EEUU y la CE suscribieron un acuerdo, que aprobó en abril el Parlamento Europeo, que obliga a las aerolíneas europeas a suministrar al Departamento de Seguridad del Territorio Nacional estadounidense datos de pasajeros de vuelos con origen o destino en ese país, pero no en ningún otro.

Está ocurriendo desde marzo

Pero desde hace seis meses, EEUU obliga a las compañías aéreas europeas que antes del despegue le suministren el nombre, fecha de nacimiento y sexo de los pasajeros de aviones que vayan a sobrevolar su espacio aéreo con el fin de decidir si vuelan o no.

Fuente: Facua

Anuncios

¿Qué condiciones debe reunir el consentimiento del interesado para el tratamiento de datos?

 Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado. En particular, la LOPD establece en su artículo 6 lo siguiente:

Artículo 6. Consentimiento del afectado.

  • El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  • No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
  • El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
  • En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”

En cuanto al consentimiento, el artículo 3,h) de la Ley Orgánica 15/1999 define como tal “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. De ello se desprende la necesaria concurrencia para que el consentimiento pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto.

                A juicio de esta Agencia la interpretación que ha de darse a estas cuatro notas características del consentimiento, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa, será las siguientes:

  • Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
  • Específico, es decir, referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999.
  • Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.
  • Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

De lo que se ha indicado se desprende que de las características del consentimiento no se infiere necesariamente su carácter expreso en todo caso, razón por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado expresamente; así sucede en el caso de tratamiento de datos especialmente protegidos, indicando el artículo 7.2 la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.

Por tanto, el consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos (artículo 7.2 y 7.3 de la Ley Orgánica 15/1999) si bien para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento y de la existencia de ese plazo para evitar que se proceda al mismo.

El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.

Cesión de datos

En cuanto a la cesión de datos, si la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, definida en el artículo 3, i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a persona distinta del interesado”.

El régimen de las cesiones de datos se contiene en el artículo 11 de la citada Ley Orgánica:

Artículo 11. Comunicación de datos.

  • Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  • El consentimiento exigido en el apartado anterior no será preciso:

o   Cuando la cesión está autorizada en una Ley.

o   Cuando se trate de datos recogidos de fuentes accesibles al público.

o   Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

o   Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

o   Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

o   Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

  • Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
  • El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
  • Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
  • Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.”

A tenor del art. 44,4,b). de la Ley Orgánica se considera infracción muy grave la cesión de datos de carácter personal sin consentimiento del interesado, fuera de los casos en que estén permitidas.

Fuente: AGPD

Un estudio fotográfico es condenado por el uso de un retrato de un menor

El diario digital http://www.elmundo.es se hizo eco ayer de la resolución que la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó ayer contra un estudio fotográfico que utilizó la imagen de un menor en un retrato y lo colocó en el escaparate como reclamo profesional sin consentimiento.

Esta sentencia viene a confirmar la sanción impuesta por la AEPD en el procedimiento sancionador que esta dictó con el número PS/00197/2010, de fecha 2 de noviembre de 2010.

En dicho expediente, la AEPD abrió procedimiento contra el estudio fotográfico ante la denuncia presentada por la madre del menor, después de que esta hubiera instado al estudio a retirar la misma del escaparate sin recibir contestación o respuesta del mismo.

Ante la apertura del procedimiento sancionador, el estudio fotográfico alegó que la madre llevó al menor para hacer unas fotos pero al no ser de su agrado, no las adquirió, quedando en posesión del estudio, quien, amparándose en el derecho de autor, la expuso como obra de arte como fotógrafo profesional.

Entre los hechos probados está la comprobación de la exposición de la foto en el escaparate y la ausencia de consentimiento de la denunciante, madre y representante legal.

El artículo 6.1 de la LOPD dispone lo siguiente: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

El ESTUDIO. no ha aportado prueba documental que acredite el consentimiento de la denunciante, a la sazón, madre y representante legal, para llevar a cabo el tratamiento de datos personales realizado, antes bien, los documentos que obran en el procedimiento evidencian que aquél no contaba con su consentimiento inequívoco. Cabe decir por tanto que, ante la falta de acreditación por el ESTUDIO del consentimiento inequívoco de los denunciantes para ese tratamiento de datos personales en cuestión, y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima
vulnerado por la entidad imputada el artículo 6.1 de la LOPD.

En el supuesto examinado y según ha quedado indicado, no ha acreditado disponer de ese consentimiento inequívoco. Al contrario, se reitera, consta en el expediente que no disponía del mismo.

En cuanto a la consideración de la imagen como dato de carácter personal, el Tribunal Constitucional, con la salvedad de que la sentencia citada más abajo viene a referirse a una cuestión estrictamente de colisión entre la libertad de información y el derecho a la propia imagen, en su sentencia de 16 abril de 2007 (STC 72/2007) dice:
“Este Tribunal ha tenido ocasión de pronunciarse en relación con quejas sobre vulneraciones del derecho a la propia imagen (art. 18.1 CE) en las SSTC 231/1988, de 2 de diciembre, 99/1994, de 11 de abril, 117/1994, de 17 de abril, 81/2001, de 26 de marzo, 139/2001, de 18 de junio, 156/2001, de 2 de julio, 83/2002, de 22 de abril, 14/2003, de 28 de enero, y 300/2006, de 23 de octubre.

En lo que aquí interesa destacar, de dicha doctrina resulta que, en su dimensión constitucional, el derecho a la propia imagen (art. 18.1 CE) se configura como un derecho de la personalidad, que atribuye a su titular la facultad de disponer de la representación de su aspecto físico que permita su identificación, lo que conlleva tanto el derecho a determinar la información gráfica generada por los rasgos físicos que le hagan Reconocible que puede ser captada o tener difusión pública, como el derecho a impedir la obtención, reproducción o publicación de su propia imagen por un tercero no autorizado (STC 81/2001, de 26 de marzo FJ2).

Resulta, por tanto, que el derecho a la propia imagen (art. 18.1 CE) se encuentra delimitado por la propia voluntad del titular del derecho que es, en principio, a quien corresponde decidir si permite o no la captación o difusión de su imagen por un tercero. No obstante, como ya se ha señalado, existen circunstancias que pueden conllevar que la regla enunciada ceda, lo que ocurrirá en los casos en los que exista un interés público en la captación o difusión de la imagen y este interés público se considere constitucionalmente
prevalente al interés de la persona en evitar la captación o difusión de su imagen. Por ello, cuando este derecho fundamental entre en colisión con otros bienes o derechos constitucionalmente protegidos, deberán ponderarse los distintos intereses enfrentados y, atendiendo a las circunstancias concretas de cada caso, decidir qué interés merece mayor protección, si el interés del titular del derecho a la imagen en que sus rasgos físicos no se capten o difundan sin su consentimiento o el interés público en la captación o difusión de su imagen (STC 156/2001, de 2 de julio, FJ 6)” (el subrayado es de la Agencia Española de
Protección de Datos)..

Cabe rechazar lo alegado por el imputado en cuanto a que los hechos denunciados exceden el ámbito de aplicación de la LOPD, por cuanto, como ya se ha expuesto, la imagen es un dato de carácter personal, y su recogida constituye un tratamiento (automatizado o no reza la LOPD). Asimismo se alude a la inexistencia de fichero cuando, tratándose de imágenes (fotografías), el imputado, la localización de una en concreto responderá a algún tipo de estructuración de fichero adoptada por el imputado. Respecto a los precedentes aludidos, en los mismos no se acreditó la existencia de fichero y por la propia naturaleza de los hechos probados no cabía inferir la necesaria existencia del mismo.

En vista de estos hechos, la AEPD sancionó a este ESTUDIO por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de la norma con una multa de 1.500€.

Aunque la misma fue recurrida, ahora la Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha venido a confirmar esta sentencia.

Leer más en: http://www.elmundo.es/elmundo/2012/06/05/espana/1338892911.html

Fuente: AEPD y http://www.elmundo.es

El sistema SIGO de la Guardia Civil

SIGO son las siglas de Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciudadana. Este sistema  tiene como función fusionar toda la ‘información de interés policial’ en un solo punto. S.I.G.O. o proyecto S.I.G.O es una base de datos de la Benemérita o registro sobre delitos, delincuentes, automóviles y diligencias policiales.

La idea que hay tras esta gran base de datos está la de prevenir delitos o investigarlos. Pero cuando se juega al borde del área existe el peligro cierto de vulnerar derechos fundamentales, en este caso, el derecho fundamental a la protección de nuestros datos personales, tal como recoge la STC 292/2000. Cuando se juega al borde del área hay que recordar que la línea es área y, por tanto, cualquier infracción en esa zona puede ser duramente castigada.

Este sábado, el diario http://www.elconfidencial.com publicaba un interesante artículo donde se hacía eco de las denuncias presentadas por agentes de la benemérita contra el uso y abuso de la incorporación de datos personales al sistema SIGO. Según se informa en el citado medio, nombres, direcciones, teléfonos y actividades han alimentado esta base de datos “sin consentimiento” de los ciudadanos, pasando a formar parte de sus antecedentes penales. Hasta de donde venía uno y a donde se dirigía, son campos que se han incorporado a estos ficheros.

La Unión de Guardias Civiles ha denunciado esta práctica que considera ilegal, además de las presiones que están recibiendo los agentes para “engordar artificialmente” esta base de datos. Además, se incentiva esta práctica con complementos salariales.

¿Qué dice la LOPD al respecto?.

Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad
1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley.
2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.

4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

Además, el artículo 4 de la LOPD establece lo siguiente:

Artículo 4. Calidad de los datos
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.

¿Son pertinentes, son necesarios, los datos que se están incluyendo en SIGO, tal como establece el artículo 4? Para los miembros de este sindicato la respuesta es NO, no son pertinentes, “son innecearios sin relevancia policial”.

Siguiendo esta información, tal como cita el diario, decido buscar mas información y entro en los foros que hay en internet integrados por miembros de la benemérita, y cuanto mas leo, mas perplejo de quedo de los comentarios que realizan los “agentes” que participan en esos foros, que van en la línea de lo que comenta el diario.

La AEPD ha abierto varios expedientes recibió diez reclamaciones en 2011, según El Confidencial, pero siempre a instancia de parte, seis de las cuales fueron tramitadas. ¿Para cuándo una acción de oficio de la propia AEPD? Aunque solo un 10% de la información que es objeto de la denuncia fuera cierta, ¿no debería la AEPD actuar como tutor o garante del derecho a la protección de datos personales de todos los ciudadanos de este país?. Solo pensar que los datos de los españoles que han silo parados en cualquier control, por la Guardia Civil en los últimos tres años, puedan haber sido incorporados de pleno a SIGO sin su consentimiento es para ponernos la piel de gallina.

Si el consentimiento es el eje vertebral de esta norma y su incumplimiento es sancionado económicamente por parte de la AEPD cuando se trata de entes privados y no públicos; si este aspecto central es de obligado cumplimiento por parte de los entes privados y, además, debemos acreditar su obtención para el tratamiento de los datos personales, esas mismas obligaciones también recaen en los ficheros que manejan los entes públicos, como lo es el fichero SIGO de la Guardia Civil, que se encuentra sujeto a la LOPD, tal como establece el artículo 22.1. Si la Guardia Civil, en un control, quiere tomar esos datos e incorporarlos al fichero SIGO, antes deberá recabar nuestro consentimiento, lo contrario sería contrario a derecho. Sin ese consentimiento, ningún ente podrá almacenar o tratar nuestros datos personales, incluido, la Guardia Civil o cualquier otro cuerpo o fuerza de seguridad del Estado.

Claro está, para recabar ese consentimiento, antes deberán cumplir con el obligado principio de información que esboza el artículo 5 de la LOPD. La información en la recogida de datos personales constituye uno de los principios de la protección de datos, un derecho del afectado y un complemento previo de la prestación del consentimiento, cuya omisión puede determinar un vicio del consentimiento para el posterior tratamiento, que origine la nulidad del mismo. Así lo ha entendido también el TC en la Sentencia 292/2000 señalando que “sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (artículo 5 de la LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.” Tanto es así que sería nulo, en caso contrarío, el consentimiento prestado cuando la información facilitada no permita al interesado conocer la finalidad a la que se destinarán los datos (STS de 26 de octubre de 2006 y STS, Sala 3ª, Sección 6ª, de 4 de abril e 2000).

¿Que os parece?

Fuente: http://www.elconfidencial.com

http://www.elconfidencial.com/espana/2012/05/27/la-guardia-civil-ficha-a-miles-de-ciudadanos-inocentes-en-un-registro-sin-su-conocimiento-98792/

 

Publicación de parte médico de incapacidad de una trabajadora en el perfil de facebook de su empresa..

La AEPD inició un procedimiento sancionador (PS/00434/2011) contra LITTE CUP SL (LA TAZZINA) por producirse la publicación en la red social Facebook de un parte médico de incapacidad temporal a su nombre, manteniéndose durante un período de entre 24 y 48 horas, apareciendo expuestos distintos datos personales referentes a la denunciante.

Constan como hechos probados mas relevantes, los siguientes: Que la empresa denunciada publicó en Facebook un parte médico de incapacidad temporal a nombre de la denunciante, manteniéndose el mismo visible entre 24 y 48 horas, apareciendo expuestos en el mismo distintos datos personales.

El artículo 6.1 de la LOPD dispone lo siguiente: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La entidad imputada no ha aportado, en consecuencia, prueba documental que acredite el consentimiento de la denunciante para que dicha entidad pudiera llevar a cabo el tratamiento de datos personales realizado. Un tratamiento que ha quedado acreditado en el expediente. 

El documento contiene el nombre y apellidos de la denunciante, junto con su número de tarjeta sanitaria, número de afiliación a la Seguridad Social, número de DNI y domicilio. Asimismo se incluye el nombre de la empresa: LITTLE CUP, S.L. y datos asociados a la baja médica. Junto a este documento, la denunciante aportó de igual modo copia impresa de los comentarios asociados a la foto, publicados por los usuarios, en particular el publicado por el usuario que administra el perfil.

Por tal razón se consideró que la empresa denunciada había infringido el artículo 6.1 de la LOPD y que es responsable de tal infracción. Teniendo en cuenta los citados criterios, en especial, el apartado b) de ese artículo 45 procede imponer a LITTLE CUP, S.L. (LA TAZZINA) la sanción de 2.000 €.

Fuente: AGPD

Telefónica de España sanciona por incluir datos por deuda inexistente en el registro de morosos

La Agencia Española de Protección de datos ha sancionado a Telefónica de España por incluir los datos personales de un cliente en una lista de morosos por una deuda inexistente y por la facturación de un servicio de telecomunicaciones que no había contratado.

La AEPD inició procedimiento sancionador con Telefónica de España (en adelante Telefónica) (PS/00451/2011) ante la denuncia presentada por un ciudadano por la inclusión de sus datos en el fichero de ASNEF. El denunciante se puso en contacto con Telefónica para indicarles que hacía mas de 14 años que no era cliente de esa empresa. Nunca había contratado dicho servicio y nunca había residido en Pontevedra (donde se había realizado la gestión).

Solicitó acceso al fichero ASNEF y figuraba en el mismo un apunte de una deuda de 449,24€. A través de la OMIC de Santa Lucía (Gran Canaria) realizó una reclamación a Telefónica, contestando esta que iban a solventar el asunto. Pasado unos meses, se vuelve a instar a Telefónica, quien después de varias reclamaciones le indica que no existe ninguna deuda registrada en el fichero de impagados.

Nuevamente tiene conocimiento de que se ha incluido una nueva deuda en el ASNEF de 357,42€, volviendo a aparecer una dirección de Pontevedra en el apunte. Presenta nueva reclamación ante Telefónica que hace  caso omiso, y ante ASNEF, quien sí procede a la cancelación del registro.

Esta situación comenzó en el 2006, aunque no tuvo conocimientos de los hechos hasta el 2008, y ha traído como consecuencias la imposibilidad de financiar cualquier producto o servicio por parte del denunciado.

Se consideraron hechos probados mas relevantes, los siguientes:

1.- Telefónica reconoce el error en la facturación reclamada de 449,24€ y procedió a realizar un abono, a fin de anular la deuda.

2.- Tiempo después, consta en el ASNEF una deuda de 357,42€, por una línea que niega haber contratado.

3.- Que habiendo solicitado a Telefónica la anulación de esa deuda, ésta afirma que esos datos no figuran en ningún registro de impagados.

4.- Telefónica no aporta el contrato por el servicio que dió lugar a la reclamación.

Por estas razones, la AEPD inició procedimiento sancionador contra Telefónica por:

Se imputa a TELEFONICA el tratamiento sin consentimiento de los datos personales del denunciante. El artículo 6 de la LOPD, determina: “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”

En el presente caso el denunciante niega haber contratado los servicios de TELEFONICA de la línea, y esta no ha aportado prueba alguna que lo acredite más allá de que sus datos personales obran en sus ficheros asociados a dicha línea pero sin dar cuenta de su origen, esto es no ha aportado contrato suscrito por el denunciante, o grabación de voz en el caso de que la contratación se hubiera efectuado telefónicamente. Tampoco ha aportado boletín de instalación de la línea y servicios activados en un domicilio, que por otra parte el denunciante niega que nunca hubiera sido el suyo.

En base a lo expuesto en los fundamentos de derecho anteriores TELEFONICA ha realizado un tratamiento de los datos personales del denunciante sin su consentimiento al haber quedado acreditado que la entidad imputada trató los datos de carácter personal del mismo en sus propios ficheros, de los que la operadora tiene la consideración de responsable, utilizándolos para emisión de nueve facturas de la línea.

El denunciante niega tener relación contractual con TELEFONICA relativa a la línea, y ésta no ha podido acreditar la existencia de la misma, ni dar razón del tratamiento de sus datos personales en sus ficheros sin que medie contrato ni consentimiento de la misma.

El artículo 4 de la LOPD señala en su apartado 3: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado” y en su apartado 4 prescribe: “Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.

La obligación establecida en el artículo 4 transcrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan en todo momento a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

TELEFONICA ha sido responsable del tratamiento de datos en sus propios ficheros, de su comunicación a través de tratamientos automatizados al responsable del fichero común y de que el tratamiento automatizado de la información relativa al denunciante no responda a los principios de calidad de datos recogidos en el artículo 4 de la LOPD (exigencia de que los datos sean exactos y respondan a la situación actual de los afectados).

Conforme a lo expuesto, el imputado no se ha limitado a transmitir la información al responsable del fichero común sobre solvencia patrimonial, sino que ha tratado automatizadamente los datos de solvencia en sus propio.s ficheros, los ha comunicado a través de tratamientos automatizados al fichero común, y, particularmente, ha decidido sobre la finalidad del tratamiento (la calificación en sus ficheros como deudor), el contenido de la información, y el uso del tratamiento (la incorporación a un fichero común de información sobre solvencia patrimonial y crédito al que pueden acceder terceras entidades para realizar una evaluación o perfil económico de las personas incorporadas al mismo).

Todo ello sin que los datos comunicados fueran exactos pues la deuda no era no cierta ni exigible al denunciante. Ello supone una vulneración del principio de calidad de datos de la que debe responder TELEFONICA por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra al fichero de solvencia patrimonial y crédito.

Por estas razones, la AEPD ha impuesto dos sanciones a Telefónica, la primera por infracción del principio de consentimiento, artículo 6.1 por importe de 50.000€; y la segunda, por infracción del principio de calidad de los datos, artículo 4.3, por importe de 50.000€.

Fuente: AGPD

Tus datos personales en internet

La Agencia Española de Protección de Datos ha incluido una nueva sección en su sitio web. Esta nueva sección tiene como objeto concienciar a los usuarios en el uso de internet y en el uso que damos en la red a nuestros datos personales.

Tres apartados servirán a este propósito:

1.- Datos aportados voluntariamente en internet.

2.- Datos personales publicados por terceros en internet.

3.- Datos de navegación y comportamiento en la red.

Fuente: AGPD

Nueva sección con recomendaciones para usuarios de Internet 

 

Usurpan su identidad e incluyen sus datos en el registro de morosos.

La AEPD instruyó en su procedimiento sancionador PS/00290/2008 contra Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA, VODAFONE ESPAÑA SA, por la inclusión de los datos personales de un vecino de Lanzarote (según publica www.diariodelanzarote.com ) en un fichero de morosos.

Según consta en el citado procedimiento sancionador, este vecino fue objeto de una sustracción de sus efectos personales, entre los que se encontraban su DNI y carnet de conducir, así como tarjeta de Caixa Cataluña y Visa electrón de Argentaria. Dicha sustracción fue denunciada el 29/11/1997 en la Comisaría. Con fecha 25 y 27 de febrero del 2004 interpuso denuncias por los requerimientos de pago de UNO-E BANK que requería el cobro de una cantidad y de La Caixa por la apertura de una cuenta; hechos susceptibles de haberse realizado con los documentos usurpados en el año 1997.

Abiertas diligencias por la AEPD y requerida la documentación a las partes, según consta en dicho procedimiento, quedaron probados los siguientes hechos más relevantes:

1.- El denunciante presentó la denuncia por la sustracción de los documentos así como las denuncias interpuestas.

2.-  Que continuó recibiendo llamadas de reclamación de pago de deudas y que explicando lo sucedido, algunas entidades dejaron de reclamar pero otras siguieron insistiendo. Y se registraron dichas deudas en ASNEF y Badexcug.

3.- Que figuran en el registro de ASNEF al menos 10 notificaciones realizadas al denunciante. Mismas notificaciones también fueron realizadas por Badexcug.

Entre los fundamentos de derechos expuestos en el citado procedimiento, se imputa:

1.- En primer lugar, a Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA en el presente procedimiento una infracción del artículo 6.1 de la LOPD que dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. En el presente caso, ha quedado acreditado que las entidades imputadas trataron los datos del denunciante sin su consentimiento para darle de alta, y efectuar los tratamientos posteriores, en sus ficheros de clientes como titular de contratos de diferente tipo en función de la actividad de cada una.

Ninguna de dichas entidades ha acreditado que el denunciante consintiera el tratamiento de sus datos personales, y el denunciante niega tal contratación. Ninguna de ellas dispone de documentos que acrediten la identidad de la persona con la que dicen haber contratado. Una copia del DNI o del pasaporte u otro documento que acredite la identidad, documentaria una actuación con diligencia suficiente para evitar el tratamiento de los datos sin el consentimiento del titular de los datos. No siempre es posible detectar la falsedad de los documentos pero si es posible y necesario comprobar la identidad y documentarla. Cuando se emiten las facturas y los diversos escritos de reclamación de deuda son devueltos impagados o las envíos por correos devueltos un mínimo de diligencia en la gestión obligaría a establecer actuaciones de verificación de identidad –primero- y de domicilio –después- para tener la certeza de que los datos personales del cliente son exactos. Actuaciones que en todo caso deben ser previas a la anotación en los ficheros de solvencia patrimonial y crédito. Al no haberlo hecho así, debe considerarse vulnerado el principio de consentimiento, recogido en el artículo 6 de la LOPD, por cuanto dicho tratamiento se realizó sin el consentimiento del denunciante y no concurre en los supuestos examinados alguna de las circunstancias previstas en el artículo 6.2 de la LOPD que permitirían tratar los datos del denunciante sin su consentimiento.

 2.- En segundo lugar, se imputa a Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA una infracción del artículo 4.3 de la LOPD, que señala que “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

La obligación establecida en el artículo 4.3 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito, establece en su Norma Primera, punto 1, los requisitos imprescindibles para registrar los datos relativos al cumplimiento o incumplimiento de obligaciones exigiendo que “ La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992” –artículo 29 LOPD-,”deberá efectuarse solamente cuando concurran los siguientes requisitos: a) Existencia de una deuda cierta, vencida y exigible que haya resultado impagada. b) Requerimiento previo de pago a que corresponda, en su caso, el cumplimiento de la obligación” (el subrayado es de la Agencia Española de Protección de Datos).

En este caso, Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA incluyeron en el fichero Asnef y Badexcug, respectivamente, los datos del denunciante por la falta de pago de unas cuotas mensuales de financiación de compras o de prestación de servicios que no habían sido contratados por el denunciante.

Ha de considerarse, que en el momento de la anotación en Asnef y en Badexcug, los datos no eran exactos, pues el denunciante no tenía ninguna deuda con las entidades que comunican los datos a los ficheros de morosos. Ni se le había notificado la deuda ni se le había efectuado el requerimiento previo a su inclusión en los ficheros de morosos. Todos los domicilios que han incorporado a sus ficheros y a los que han dirigido sus notificaciones y han hecho constar en el fichero de morosos son distintos al del denunciante. El denunciante reside en la (……….) y los que obran en poder de las entidades imputadas están en (………).

No consta que por las entidades imputadas se haya realizado actuación con diligencia suficiente, una vez conocida la irregularidad de los datos recabados.

Por tanto, el tratamiento de datos como cliente –sin consentimiento- y la anotación de los datos –inexactos– en el fichero de morosos, son dos hechos claramente diferenciados y cada uno de ellos supone una infracción distinta.

Cada una de estas entidades han sido sancionadas por estas dos infracciones, infracción del artículo 6.1 y del 4.3 de la LOPD, con un importe de 60.101,21€ cada una de las mismas, alcanzando un montante el expediente de 480.809,68€, 120.202,42€ por cada entidad denunciada.

Esta resolución fué recurrida por los denunciados. Y, según informa http://www.diariodelanzarote.com, “la Audiencia Nacional ha venido dictando sentencias, la última reciente a favor de Finandia, en la que anula las sanciones. Argumenta que no fue posible detectar el uso “fraudulento” de la identidad del afectado y pone como ejemplo una adquisición en una casa de subastas, donde se utilizó documentación falsa. “Nada hacía sospechar” que quien compraba “no era quien aparentaba ser”. “

 Fuente: http://www.agpd.es

http://www.diariodelanzarote.com/2012/05/07/lanzarote06.htm

Una residencia de ancianos es sancionada por facilitar datos de ancianos a una farmacia.

El Tribunal Supremo confirma la sanción de la Agencia Española de Protección de Datos a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.

Tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.

El titular de la farmacia reconoció que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.

El listado aportado por la residencia de ancianos contenía los siguientes campos de información de sus residentes: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.

En los contratos suscritos entre la residencia y los residentes, tal y como quedó probado, no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Por su parte, la residencia de ancianos argumentó que presta a los residentes un servicio de atención integral, que permita cubrir todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añadiendo que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.

La Sala del Tribunal Supremos, mantiene que no está en condiciones de determinar el modo en que se debería proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.

El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico. Por todo ello, se desestima el recurso de casación interpuesto por la Residencia, contra sentencia de la Audiencia Nacional, que confirma la sanción de la Agencia Española de Protección de Datos de 300.506 euros. (TS 08/10/2010, Rº 4353/06).

Fuente: http://www.dlcarballo.com/2012/04/sancion-por-facilitar-datos-de-ancianos-a-una-farmacia/

 

Sanción por la publicación en un blog de datos de carácter personal sin consentimiento de los afectados.

La Agencia de Protección de datos ha sancionado con 2.000€ al titular de un blog por publicar en el mismo datos personales sin consentimiento de los afectados, lo que constituye una infracción del artículo 6.1 de la Ley 15/1999.

Según se expone en el procedimiento sancionador PS/00337/2011 incoado por la AEPD, quedan probados los siguientes hechos:

*.- Que la denunciante ha obtenido un enlace a una página de dicho blog al buscar en Google por su nombre y apellidos. En el mismo se reproduce una lista de antigüos alumnos supuestamente obtenidos de Facebook. La denunciante había solicitado la cancelación de sus datos y el ejercicio del derecho de cancelación, pero el denunciado le requirió que lo formulara en catalán. Y que el blog tiene ánimo de lucro pues promueve la venta de un libro de su autor.

*.- La inspección comprobó que efectivamente en la búsqueda en Google aparecía los datos personales en dicho blog.

*.- Que en dicho blog aparece una entrada en el foro de la denunciante solicitando la cancelación de sus datos.

*.- Que en la red Facebook aparece un grupo de ex alumnos en el que está incluida la denunciada, y en la descripción de la configuración de privacidad del grupo se señala que el mismo es CERRADO: el contenido público, está limitado, pero los miembros del grupo pueden ver todo el contenido.

*.-  No se ha obtenido constancia de que el autor del blog disponga del consentimiento de las 159 personas cuyo nombre, aparecía en el grupo de Facebook.

*.- Que con fecha 21/12/2011, la situación en el blog ha sido regularizado por el dununciante.

Por todo ello, la AEPD impuso una sanción de 2000€ (dos mil euros) por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, de conformidad con lo establecido en el artículo 45.2 y 5 de la LOPD.

Fuente: http://www.agpd.es

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2012/common/pdfs/PS-00337-2011_Resolucion-de-fecha-11-01-2012_Art-ii-culo-6.1-LOPD.pdf

 

Estadística del blog

  • 113,136 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: