sanción

Un vecino de Las Palmas de GC denuncia a Jazztel (Orange) por un alta fraudulenta y le imponen dos multas de 35.000€ a la operadora

Un vecino de Las Palmas de Gran Canaria interpuso una denuncia ante la AEPD contra la compañía Jazztel. El motivo de dicha denuncia vino motivada por estar incluido en un fichero de moroso del cuál tuvo conocimiento cuando estaba en trámites de solicitar un préstamo para la adquisición de una vivienda.

Según Jazztel (ahora Orange), el vecino tenía una deuda con la compañía que ascendía a 341,04€ y procedió a registrarla en ASNEF. Según la propia investigación de la AEPD, la operadora realizó un tratamiento de los datos personales de la persona denunciante sin tener en cuenta los principios de consentimiento al tratamiento y de calidad de los datos. Sin el consentimiento inequívoco del denunciante incorpora sus datos personales a su fichero de clientes como titular de una línea de telefonía móvil; posteriormente, y siguiendo con la gestión de esos servicios, emite facturas a su nombre y –sin notificación de requerimiento de pago previo- incluye sus datos personales en Asnef y Badexcug asociados a una deuda que no le corresponde. Dicha acción ha resultado en la imposición de una sanción por vulneración del artículo 6.1 de la LOPD por la que se ha impuesto 35.000€ de multa y una segunda sanción por vulneración del artículo 4.3 de la LOPD por la que se ha impuesto otros 35.000€ de multa, para un total de 70.000€.

«Según la investigación, la persona denunciante no ha contratado con Jazztel servicios de telefonía y por razones no acreditadas fue dada de alta en su base de datos de clientes como titular de al menos una línea de teléfono. Orange no ha aportado contrato alguno suscrito por la persona denunciante. »

«Hay grabaciones sonoras donde la única persona que se identifica es la que dice ser el solicitante de contratación, no se identifica la voz femenina y no hace constar el nombre de la empresa de servicios contratada por Jazztel para dicha verificación, que trata de grabar la contratación y luego la verificación de esa contratación. Tampoco Orange ha aportado documento que acredite la contratación de una empresa de servicio para ese fin.»

«Orange no ha acreditado que remitiera el contrato para su firma o desistimiento, o la nueva tarjeta SIM que debió recibir la persona solicitante para poder usar el teléfono ni la dirección postal donde fue remitida.»

«Como consecuencia de dichos servicios emitió facturas que no fueron pagadas y que más tarde fueron el motivo de la inclusión de los datos personales de la persona denunciante en los ficheros de morosos. No consta que le fueran notificados los requerimientos de pago previos a la inclusión.»

«En este caso, consta documentado que en los ficheros de Jazztel se encuentran registrados los datos de la persona denunciante, asociados a unos servicios de telefonía no solicitados por ella. Tales datos personales fueron registrados en los ficheros de la empresa y tratado para la emisión de comunicaciones, facturas, gestiones de cobro e inclusión en ficheros de solvencia patrimonial y crédito.»

«El tratamiento realizado por parte de Jazztel no se ajusta a lo establecido en la LOPD. Para que dicho tratamiento resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Por tanto, corresponde a Orange acreditar que cuenta con el consentimiento de la denunciante para el tratamiento de sus datos personales y no consta que el operador lo tuviera con posterioridad. Resulta, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados por parte de dicha operadora, que trató los datos de la denunciante sin su consentimiento.

La falta de pruebas (el contrato firmado -que en la grabación dicen enviar para devolver firmado o desistir en siete días- acompañado de copia de DNI o cualquier documento acreditativo de la identidad, o el recibí del envió del contrato y la tarjeta SIM con identificación del receptor y documentación de dicha identificación) que acrediten que la persona denunciante otorgó su consentimiento efectivo a la entidad denunciada en el tratamiento pone de manifiesto que esta operadora no ajustó su comportamiento, en el presente caso, a la diligencia de la actividad profesional que desarrolla exige a fin de garantizar el respeto al derecho fundamental a la protección de los datos personales.

Es requisito indispensable para que los datos del deudor puedan ser incluidos en un fichero de los creados al amparo del artículo 29.2, que quede acreditada la existencia de una deuda cierta vencida y exigible, y que ésta haya sido requerida previamente de pago antes de comunicar los datos del deudor al responsable del fichero común. Además, la obligación establecida en el artículo 4.3 de la Ley Orgánica 15/1999, implica que los datos que se incorporen a cualquier fichero deberán ser exactos y responder en todo momento a la situación actual de los afectados. La exigencia de que la deuda sea “cierta”, (artículo 38.1.a) del R.D. 1720/2007) responde al principio de calidad de los datos plasmado en el artículo 4.3 de la LOPD.

En este caso, Jazztel ha emitido facturas asociadas a los datos personales de la persona denunciante por servicios que no había contratado, asociándolos a una deuda que no le correspondía y, sin haberle requerido previamente, aquella entidad instó el alta de sus datos personales en ficheros de morosos, según el detalle que consta en los Hechos Probados.

En consecuencia, la persona denunciante fue tratada como deudora de una cantidad que no le corresponde, resultando que Jazztel hizo uso de unos datos inexactos.

Esta incidencia se produjo porque no efectuó las oportunas comprobaciones en los datos personales recogidos, y las consiguientes subsanaciones, que hubiesen evitado que se produjeran los hechos que sirven de causa al presente procedimiento sancionador.»

Fuente. AEPD.

Procedimiento por infracción del art. 12.2 contra el Ayuntamiento de Telde por cesión de datos a VALORA GESTIÓN TRIBUTARIA

Un ciudadano de la ciudad de Telde presentó en agosto y octubre de 2014 denuncia ante la AEPD contra el Ayuntamiento de Telde por haber cedido sus datos personales sin su consentimiento al organismo VALORA GESTIÓN TRIBUTARIA para la gestión de cobro de la tasa de basura.

El Ayuntamiento de Telde presentó como alegación que con fecha 26/11/2013 y posteriormente con fecha 3/06/2013 se acordó en el pleno municipal delegar la gestión de recaudación en Valora.

Dicha delegación de los servicios de recaudación no nació de un contrato o cualquier otra negocio jurídico sino en virtud de una delegación de funciones.

El Ayuntamiento facilitó los datos a Valora (facilitó las cuentas bancarias) el resto de los datos ya los tenía Valora al gestionar los datos del IBI y afirmó haber notificado a los contribuyentes sobre este cambio en la gestión recaudatoria.

El artículo 12 de la LOPD estipula lo siguiente: “Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

De la lectura del citado artículo 12 se deduce que, para que concurra la figura del “acceso a los datos por cuenta de tercero”, la relación deberá estar regulada en un contrato que deberá constar por escrito o en alguna forma que permita acreditar su celebración y contenido. El citado contrato permite que el responsable del fichero habilite el acceso material a datos de carácter personal por parte de la entidad que va a prestarle un servicio –encargado del tratamiento- sin que, por mandato expreso de la ley, pueda considerarse dicho acceso como una cesión de datos. Sin embargo, ese acceso o tratamiento por parte del que presta el servicio aparece rodeado de un abanico de garantías para los afectados que el propio artículo 12 impone. La primera de ellas estriba en que haya una constancia expresa de que el responsable del fichero ha encargado el tratamiento de los datos, para lo cual se exige que conste en un contrato. A este respecto, el artículo 12 impone un requisito formal por cuanto el contrato debe constar escrito o, en todo caso, debe acreditarse formalmente su celebración. Es decir, la norma impone que siempre exista una relación jurídica de naturaleza contractual entre el responsable y el tercero al que encarga el tratamiento y, además, exige una constancia formal de dicha relación, que conste por escrito o en cualquier otra forma que permita acreditar su celebración y contenido, que deberá especificar las circunstancias previstas por los apartados 2 y 3 del citado precepto.

En este caso, la delegación de facultades de gestión y recaudación tributaria por parte de la entidad Ayuntamiento de Telde al Cabildo de Gran Canaria, que las ejerce a través del organismo autónomo Valora Gestión Tributaria, se encuadra en la situación prevista en el referido artículo 12 de la LOPD y, por tanto, esta actuación encaja en la figura del encargado del tratamiento. Conforme a la citada normativa, el organismo Valora Gestión Tributaria interviene en los hechos en su condición de encargado de tratamiento, por virtud de la citada delegación del Ayuntamiento de Telde, siendo ésta última entidad la responsable del fichero o tratamientos, por cuanto tiene el poder de decisión sobre la finalidad, contenido y uso del tratamiento.

Conforme a lo dispuesto en el artículo 12 de la LOPD y en el artículo 20 del Reglamento de desarrollo de dicha Ley Orgánica, el acceso a los datos por parte de un encargado del tratamiento que resulte necesario para el desarrollo de las tareas encomendadas por el responsable no se considerará comunicación de datos, siempre y cuando se cumpla lo establecido en la citadas normas salvo que el acceso “tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.

En este caso, la entidad Valora Gestión Tributaria se encarga de la gestión y recaudación de la Tasa de Recogida de Residuos Sólidos Urbanos establecida por el Ayuntamiento de Telde y lo hace en representación de esta entidad, sin que de ello resulte una relación que vincule a Valora Gestión Tributaria con los contribuyentes. El citado Ayuntamiento es quien ostenta la condición de responsable del fichero, no pudiendo ser la entidad colaboradora Valora Gestión Tributaria más que una encargada del tratamiento que accede a los datos de las personas obligadas al pago de la tasa con la única finalidad de ejercer la potestad que le ha sido delegada por el Ayuntamiento, que no puede utilizarlos para ninguna otra actividad y debe tratarlos conforme a las instrucciones del responsable del tratamiento. Asimismo, deberá devolver los datos a los que accede una vez concluida la prestación del servicio.

eEn consecuencia, la relación jurídica que vincula al Ayuntamiento de Telde y al organismo Valora Gestión Tributaria para la gestión de aquella tasa deberá constar por escrito y cumplir las exigencias formales previstas en el artículo 12 de la LOPD antes reseñadas, aunque en este caso no se trate de un contrato en el sentido de acuerdo de voluntades. El contenido de ese encargo del tratamiento regulado en el apartado 2 del citado artículo puede incorporarse en los actos de la delegación de facultades o constar por separado en un documento elaborado con esta concreta finalidad.

En el presente caso, existe constancia formal sobre la relación jurídica que vincula al Ayuntamiento de Telde y a Valora Gestión Tributaria, que ampara el acceso por parte de ésta a los datos personales de los sujetos obligados al pago de la Tasa de Recogida de Residuos Sólidos Urbanos, por virtud de la delegación de competencias formalizada al amparo de la normativa aplicable, pero la documentación formalizada no contiene ninguna referencia al artículo 12 de la LOPD, incumpliendo las obligaciones establecidas en relación al contenido del contrato de encargado del tratamiento. A este respecto, la Sentencia del Tribunal Supremo de 17/04/2007 declaró lo siguiente:

“… lo que necesariamente exige una forma que refleje y deje constancia no sólo de su celebración sino de su contenido, que incluso se especifica en sus cláusulas imprescindibles en el propio precepto. Tal exigencia responde a la finalidad de la norma de garantizar que el acceso de terceros a los datos de carácter personal, objeto de tratamiento automatizado, se produzca únicamente en los casos y con las limitaciones legalmente establecidas, plasmándose las condiciones, finalidad y alcance de la cesión de forma que resulte controlable en su desarrollo y cumplimiento”.

Este planteamiento, que resulta de la aplicación de la normativa reguladora de la protección de datos de carácter personal, no se modifica por el hecho de que los encargos que se realicen a la entidad Valora Gestión Tributaria se lleven a cabo mediante acuerdos de delegación de facultados adoptados de conformidad con la normativa que el Ayuntamiento de Telde cita en sus alegaciones. Y tampoco el hecho de que Valora Gestión Tributaria esté configurado como un ente instrumental creado por el Cabildo de Gran Canaria para la gestión y recaudación de ingresos de derecho público y para prestar asistencia y apoyo técnico a los Municipios de la Isla supone que aquellas delegaciones de facultades queden fuera del ámbito de aplicación de la LOPD y sus normas de desarrollo, con el alcance que en cada caso corresponda.

El artículo 44.2.d) de la LOPD en su vigente redacción aprobada por Ley 2/2011, considera infracción leve: “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.”

En el presente procedimiento se imputa a la entidad Ayuntamiento de Telde una infracción del artículo 12.2 de la LOPD, que aparece tipificado como infracción leve en el mencionado artículo 44.2.d), que resulta de la falta de instrucciones a Valora Gestión Tributaria sobre las circunstancias previstas en aquel artículo, en relación con la delegación de las facultades de gestión, liquidación, inspección y recaudación de tributos e ingresos, en la tasa de recogida de residuos sólidos urbanos en cuanto a los apartados a) de gestión tributaria y b) de recaudación voluntaria, acordada por dicho Ayuntamiento en el Pleno celebrado en fecha 03/06/2013.

En el presente caso, la entidad Ayuntamiento de Telde, aunque se ha mostrado dispuesta, no ha justificado ante esta Agencia haber adoptado ningún acuerdo dirigido a subsanar las deficiencias formales que han motivado el procedimiento. Por tanto, procede requerir la adopción de medidas para impedir que en el futuro pueda producirse de nuevo una infracción de lo dispuesto en el artículo 12.2 de la LOPD.

Fuente. AEPD. PS-AAPP-0050-2015

Procedimiento sancionador a VALORA GESTIÓN TRIBUTARIA por infracción grave al vulnerar el artículo 9 de la LOPD

La entidad VALORA GESTIÓN TRIBUTARIA, organismo autónomo local de carácter administrativo creado por el Cabildo de Gran Canaria, ha sido sancionada por incumplimiento del artículo 9 de la LOPD, en relación con el artículo 92 del RD 1720/2007, de 21 de diciembre.

Los hechos se remontan al 26/02/2016 cuando un ciudadano presentó la denuncia ante la AEPD al recibir en su domicilio, una notificación de VALORA mediante carta certificada en la que el frontal de la misma constaba, junto a sus datos personales, el motivo de la comunicación: «Notificación de embargo de cuentas corrientes» y «Providencia de embargo trabajador«, siendo esa información accesible a terceras personas.

 En la primera carta: NOTIFICACIÓN DE EMBARGO DE CUENTA CORRIENTE NOTIFICACIÓN Nº: *********1 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

 Y en la segunda: EMBSAL: PROVIDENCIA EMBARGO TRABAJADOR NOTIFICACIÓN Nº: *********2 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

Se imputa a la entidad VALORA GESTIÓN TRIBUTARIA. el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

El Artículo 92.3 del reglamento, bajo el epígrafe, Gestión de soportes y documentos dice: En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

«Así, VALORA GESTIÓN TRIBUTARIA. está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de los embargos correspondientes a los ciudadanos, que no impide de manera fidedigna que los datos personales de éstos: nombre, apellidos y domicilio completo, puedan ser accesibles por terceros, asociados a su situación de «embargado».»

«VALORA GESTIÓN TRIBUTARIA manifestó en su escrito de 31 de agosto de 2016, que en los sobres en cuestión sólo constan los datos del titular a efectos de notificación, nombre del procedimiento administrativo seguido en cada caso e identificación numérica del mismo, no considerando que con ello se esté facilitando ningún dato que deba estar protegido a efectos de la LOPD, y todo ello en base a identificar cada notificación remitida, así como informar al ciudadano del procedimiento seguido en que es parte interesada.

Sin embargo, tal alegato no puede ser aceptado.

En primer lugar, lo que es objeto de valoración en el presente caso es la vinculación de las expresiones que figuran en las cartas (notificación en embargo de cuenta corriente y providencia de embargo trabajador) con los datos del denunciante. La indicación en los frontales de las cartas del nombre del procedimiento del que se trata, o sobre el asunto que versa el mismo, lo que unido a los datos del denunciante, nombre, apellidos y domicilio, permite la asociación de ambas informaciones y la posibilidad de que terceras personas puedan acceder a ellos. Esta forma de comunicación impide salvaguardar la confidencialidad de la correspondencia, pues asocia las expresiones cuestionadas con los datos personales del destinatario, y en el caso que nos ocupa, permite conocer que el denunciante está en inmerso en un proceso de embargo.»

«El artículo 44.3.h) de la LOPD, considera infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. En el caso examinado, de las actuaciones practicadas ha quedado acreditado que VALORA GESTIÓN TRIBUTARIA vulneró el artículo 9 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar dos cartas certificadas con la expresión “notificación en embargo de cuenta corriente”, en una y “providencia de embargo trabajador” de manera visible, permitiendo la vinculación de esta información con los datos personales del denunciante.»

Visto este procedimiento sancionador AAPP-00065/2016 se puede percibir claramente la actitud nada diligente de este organismo a la hora de comunicar a la ciudadanía las notificaciones, poniendo a disposición pública de terceros información que es de carácter confidencial.

Nueva sanción a Vodafone por incluir ilegalmente a un socio de FACUA en un fichero de morosos

Es la segunda multa de 50.000 euros que recibe la operadora en menos de tres meses tras las reclamaciones de la asociación en Málaga.

FACUA-Consumidores en Acción ha logrado que Vodafone reciba una nueva sanción de 50.000 euros de la Agencia Española de Protección de Datos (AEPD) por incluir ilegalmente a la usuaria Pilar Bermúdez en el fichero de morosos de Asnef.

Esta socia de FACUA Málaga solicitó la baja de la operadora y sin embargo siguió recibiendo cobros en su entidad sin que le llegasen las facturas ni en papel ni online. Pilar reclamó a Vodafone que le remitiera copia de las mismas, indicándoles que en el momento que dispusiera de ellas procedería a realizar el abono.“Queríamos revisar que las facturas estaban bien, nosotros no nos negábamos a pagar”, añade la afectada.

Tras la reclamación la compañía remitió a la usuaria las facturas, sin embargo ese mismo día también recibió una notificación del fichero de solvencia patrimonial Asnef-Equifax, donde se le informaba de la inclusión de sus datos en el mismo por la existencia de una deuda con Vodafone.

Ante esta situación la usuaria acudió a FACUA para denunciar su caso. Desde la asociación estudiaron los hechos y notificaron a la Agencia Española de Protección de Datos la irregularidad. Este organismo indicó que no se formuló requerimiento previo de pago a la inclusión de la usuaria en el mencionado fichero, lo que supone una vulneración de la normativa vigente en materia de protección de datos.

Debido a estos hechos la AEPD ha sancionado a Vodafone con 50.000 euros por la infracción grave cometida tras vulnerar los derechos que asisten en estos casos a los consumidores.

Es la segunda multa de 50.000 euros que recibe la operadora en menos de tres meses tras las reclamaciones de FACUA Málaga por incumplimientos de la normativa de protección de datos personales.

FACUA recuerda que los usuarios tienen derecho a recibir las facturas en papel o vía telemática si han elegido esta segunda opción. Así lo determina el Real Decreto 1619/2012, de 30 de noviembre que detalla claramente que “para la expedición de la factura electrónica es necesario siempre que previamente el destinatario haya manifestado expresamente su consentimiento a recibirlas a través de este medio”.

La asociación advierte que se pueden reclamar los recibos en papel si han dejado de llegar por este medio sin previo aviso; y que en ningún caso se puede cobrar al usuario por la emisión de este formato de facturación.

Por otra parte FACUA lleva a cabo la campaña #yonosoymoroso en la que anima a los usuarios a denunciar a las empresas que reclamen el pago de deudas fraudulentas. Los consumidores tienen a su disposición un formulario de reclamación para exigir a las autoridades sanciones ante este tipo de prácticas.

La Agencia Española de Protección de Datos indica que tal y como la ley señala los datos de un cliente sólo podrán ser incluidos en ficheros de morosos si hay «existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada».

Fuente: Facua

https://www.facua.org/es/noticia.php?Id=8403

Sanción por envío de email a múltiples destinatarios sin copia oculta

La AEPD ha sancionado a la entidad Fundación Santa María la Real por el envío de un correo electrónico realizado el pasado 31 de mayo de 2012 sin copia oculta, figurando en el mismo la dirección electrónica de unos 1.000 destinatarios distintos.

La entidad sancionada reconoció los hechos que se le imputan a fin de atenuar la graduación de la sanción que fue tipificada como GRAVE. En las diligencias abiertas quedó acreditado como hecho probado la realización del envío del correo electrónico objeto de la denuncia con los datos de múltiples destinatarios a la vista.

El artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

En el presente caso, ha quedado acreditado en el expediente que el denunciante recibió un correo electrónico remitido por el denunciado, donde se visualizaban datos personales de múltiples personas, (direcciones de correo electrónico) (incluido el suyo propio) por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.

Teniendo en cuenta los criterios de graduación de las sanciones recogidos en el citado artículo 45.4 y el contenido del art. 45.5.d) de la LOPD, al haber reconocido el denunciado su culpabilidad y en especial la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento procede aplicar lo dispuesto en el art. 45.5 de la LOPD e imponer la sanción dentro del intervalo de las calificadas como
leve.

Tomando en consideración la obtención licita de los datos de correo electrónico del denunciado, el número de destinatarios (más de mil), así como el tipo de información a la que hacía referencia el correo (información sobre la presencia de la misma en la Feria del Libro), por todo ello procede la imposición de la sanción en el importe de 2000 €.

Sanción de 6.000€ a UGT por incumplir las medidas de seguridad y del deber de secreto al compartir un fichero con datos de afiliados a través de eMule

La FEDERACIÓN ESTATAL DE INDUSTRIAS AFINES DE LA UNIÓN GENERAL DE TRABAJADORES, fué denunciado ante la AEPD por el AYUNTAMIENTO DE OURENSE motivado por la entrada de un correo electrónico de la Policía Local de Ourense que manifiesta que ha encontrado y descargado un archivo de un usuario de Internet, en un entorno compartido en Emule, siendo el nombre del archivo “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”.

Se verifica dicho archivo y consta lo siguiente:

– Se verifica que se encuentra un fichero denominado “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”, el cual contiene una base de datos en formato de Microsoft Access.
– Se verifica que al abrir la base de datos se encuentra un formulario en cuyo encabezamiento figura el texto: “F.I.A.- U.G.T. BIERZO”, obteniéndose impresión de pantalla del mismo.
– Desde dicho formulario se selecciona el botón “Afiliado” verificando que se encuentran 1.295 registros y que entre los mismos se encuentra uno a nombre de D.D.D.D. en el que el campo “CARGO SINDICAL” toma el valor “ E.E.E.”, obteniéndose impresión de dicho registro.

– Desde dicho formulario se seleccionan también los botones “Lista Afiliados”, “Lista Bajas” obteniéndose impresión de pantalla en cada caso, verificando que en el primer caso el número de registros existentes es de 1.187 y en el segundo 1.594; desde el mismo formulario y desde el botón “Informes” se obtiene impresión del informe “Listado General de Afiliados”.

– Se verifica que la base de datos se compone de diferentes tablas entre las que se encuentran las denominadas “AFILIADO” y “EMPRESAS”, verificando que la primera se compone de 2.890 registros y obteniendo impresión de pantalla resultado de ordenar los registros por el campo “FECHA ACTUALIZACION” en la que se obtiene información como una de las últimas fechas el 25/10/06, de uno de los afiliados, por fallecimiento accidente. Se verifica que en la primera tabla se encuentra un registro a nombre de D. D.D.D., obteniéndose impresión del contenido íntegro del registro. Se obtiene también
impresión parcial del contenido de la tabla “EMPRESAS” verificando que se compone de 126 registros.

Según se pudo comprobar ese archivo“corresponde a una aplicación informática utilizada para la gestión del fichero denominado “BASE DE DATOS AFILIADOS BIERZO”, en el que se recogen los datos personales de los afiliados a FIA-UGT en la comarca del Bierzo”. Y que el usuario autorizado a acceder al mismo en el sindicato también podía hacer una copia en la que podía seguir trabajando en la misma.

Esa copia la instaló en un portátil en su domicilio con el resultado de que la misma fue compartida con otros usuarios a través del eMule, «aunque no está probado que el mismo lo hiciera conscientemente y con la intención de dar a conocer o difundir este archivo, ni que con ello pretendiera perjudicar a los afiliados o a la organización sindical FIA-UGT de la comarca del Bierzo…>>

Hay que tener presentes en este caso, de que además de los datos personales incluidos en el archivo, los mismos venían asociados a su condición de asociados al sindicato.

El artículo 7 de la LOPD regula como datos especialmente protegidos:
“1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado…”

El artículo 9 de la LOPD, dispone:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Para completar el sistema de protección en lo que a la seguridad afecta, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros “…que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Los artículos 23 al 26 del citado RD 994/1999 concretaba las medidas de seguridad de nivel alto, como el cifrado de los datos para la distribución de los soportes y su transmisión a través de redes de telecomunicaciones, el registro de accesos y la conservación de copias de respaldo y recuperación en lugar diferente en que se encuentren los equipos informáticos que tratan los datos.

FIA-UGT estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que FIA-UGT incumplió esta obligación.

Dado que ha existido vulneración del “principio de seguridad de los datos”, se considera que FIA-UGT ha incurrido en la infracción grave descrita.

Por tanto, el Director de la AEPD ha impuesto una sanción por infracción del artículo 9.1 de la LOPD, tipificada como grave, con una multa de 6.000€ (seis mil euros).

Sanción por incumplimiento de requerimiento de retirada de cámaras de videovigilancia ficticias.

El 17 de mayo el Director de la AEPD acordó APERCIBIR a un ciudadano con arreglo a lo dispuesto en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, con relación a la denuncia por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de la citada Ley Orgánica por la instalación de una videocámara de seguridad que el denunciado afirmó ser ficticia.

En el mismo acuerdo el Director resolvió REQUERIR de acuerdo con lo establecido en el apartado 6 del artículo 45 de la Ley 15/1999 para que acreditase en el plazo de un mes el cumplimiento de lo previsto en el artículo 6.1 de la LOPD, debiendo aportando a esta Agencia justificación documental de que las cámaras instaladas no captan zonas comunes del inmueble. En caso de no atender este requerimiento, se le advirtió que se procedería a acordar la apertura de un procedimiento sancionador.

Pasado ese tiempo el Director de la AEPD abre un Expediente de Actuaciones Previas de investigación del cual se desprende que  no consta que se hayan adoptado las medidas correctoras solicitadas y no consta que se haya atendido el requerimiento efectuado.

El hecho constatado de la falta de atención al requerimiento del Director de esta Agencia Española de Protección de Datos al imputado en este procedimiento, establece la base de facto para fundamentar la imputación de la infracción del artículo 37.1.a).

El artículo 44.3.i) de la LOPD considera que es infracción grave “no atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.”

En el presente caso ha quedado acreditado que no se ha atendido el requerimiento efectuado en la resolución de apercibimiento notificada al denunciado.

Por tanto, ante la falta de atención al requerimiento el Director de la AEPD ha impuesto una sanción de 1.500€, por una infracción del artículo 37.1 de la LOPD, tipificada como grave en el artículo 44.3.i de dicha norma.

Hay que tener presente el criterio mantenido hasta la fecha por la AEPD sobre la instalación de cámaras de seguridad ficticias, o sobre carcasas de cámaras colocadas en el exterior de las fachadas de los edificios para dar la impresión de que existe un CCTV o sistema de circuito cerrado de televisión o sistema de videovigilancia. En todos ellos, la AEPD ha instado a la retirada de los mismos. Por tanto, recordamos que la instalación de estos «supuestos dispositivos de captación de imágenes» no están autorizados, no cuentan con amparo legal, a criterio de la AEPD.

Por otro lado, hay que tener en cuenta siempre que los procedimientos de apercibimiento conlleva siempre una resolución en la que es insta al denunciado a enmendar o corregir la situación que ha causado la denuncia y la apertura del procedimiento administrativo que ha concluido con un APERCIBIR. Por tanto, siempre habrá que corregir la situación objeto de denuncia. Ya que de lo contrario, cuando pase el plazo concedido de treinta días, se abrirá un Expediente de Actuaciones Previas de Investigación que podría dar lugar a la imposición de una multa.

Sancionan a Google con 18,3 millones de euros por violar la privacidad de los usuarios de Apple

Google pagará una multa de 22,5 millones de dólares (18,3 millones de euros) para resolver el caso de acusación de que violó la configuración de privacidad de los usuarios del navegador Safari de Apple, según informó una de las fuentes, que habló en privado para resguardar relaciones.

La multa será la sanción más elevada impuesta a una única compañía por la Comisión Federal de Comercio de Estados Unidos (FTC por sus siglas en inglés), dijo el periódico Wall Street Journal, que reportó la resolución del caso a última hora del lunes.

La máxima multa hasta la actualidad es la de 15 millones de dólares pagados por ChoicePoint Inc en el 2006 tras una violación de información, según indicó una tercera fuente.

 Los cargos afectan al uso, por parte del principal motor de búsqueda de la red, de un código informático especial, o «cookies», para engañar al navegador Safari de Apple y así poder controlar a los usuarios que habían bloqueado este rastreo.

Google deshabilitó el código tras ser contactado por el periódico. Google ha dicho que el fallo fue involuntario y que no se recolectó información personal como nombres, direcciones o datos de tarjetas de crédito.

Sin embargo, el rastreo se realizó a pesar de garantías acerca de que Safari podía ser configurado para proteger la privacidad de usuarios y desató una investigación de la FTC sobre si Google violó un decreto de común acuerdo firmado el año pasado.

«La FTC está centrada en una página del centro de ayuda de 2009. Ahora hemos cambiado esa página y tomamos medidas para retirar las ‘cookies'», dijo Google al Journal.

«Ahora hemos cambiado esa página y dimos pasos para quitar los anuncios breves de información, que no recolectan información personal de los navegadores de Apple», agregó.

Google también se enfrenta a potenciales sanciones de otros gobiernos. La firma está siendo investigada por la Unión Europea para determinar si cumple con las estrictas leyes de privacidad europeas.

El regulador de protección de datos francés dijo que probablemente concluirá en septiembre la investigación sobre la nueva política de privacidad de Google, que está llevando a cabo en nombre de los reguladores europeos.

El motor de búsqueda también es objeto de una investigación antimonopolios de largo alcance realizada por la FTC tras acusaciones sobre que la empresa manipuló resultados de búsquedas para favorecer sus propios productos.

Fuente: Facua

Sigue leyendo →

Abre una perfumería y le sancionan por enviar un email a su lista de contactos en hotmail.

Un empresario abre una perfumería y, con toda la buena intención del mundo, pone en conocimiento de su lista de contactos su nueva actividad a fin de que puedan estar informado de ello.

El envío del email lo realizó solo a 17 direcciones de correo entre las que se encontraba la dirección del denunciante; además, las direcciones estaban incluidas en el campo «Para», por lo que todas ellas resultaban visibles a todos los contactos.

Entre los hechos probados en este procedimiento sancionador que abrió la AEPD constan los siguientes:

1.- Que se envió un email desde la cuenta de correo del denunciado a la del denunciante.

2.- Que el contenido del mensaje es de carácter comercial.

3.- Queda acreditado el envío a 17 contactos sin ocultar la identidad o dirección de los mismos.

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico.

Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española, tanto por la LSSI (a consecuencia de la transposición de la Directiva 2000/31/CE, de 8 de junio) como por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD).

La LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra la excepción en el segundo párrafo del citado artículo, que autoriza el envío cuando “el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación”. De este modo, el envío de comunicaciones comerciales no solicitadas, fuera del supuesto excepcional del art. 21,2 de la LSSI, puede constituir una infracción leve o grave de la LSSI.

Como ya se ha señalado, la LSSI prohíbe las comunicaciones comerciales no solicitadas, partiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:

“f) Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad  comercial, industrial, artesanal o profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica”.

En el presente supuesto, ha quedado acreditado que el denunciante recibió en su buzón de correo electrónico una comunicación comercial por medios electrónicos sin autorización expresa y sin que concurriera alguna relación comercial previa de productos similares que pudiera legitimar el envío.

En cuanto al ámbito de la LOPD, el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

En el presente caso se ha acreditado la vulneración del deber de secreto que incumbe a todo aquel que intervenga en el tratamiento, como la denunciante, pues de la comunicación comercial enviada por ésta y analizada se desprende que más de 15 destinatarios de dicha comunicación conocieron datos personales de aquellos que también eran destinatarios y viceversa, quedando a disposición de éstos y sustrayendo
el control a sus titulares.

Es por ello, que la AEPD ha sancionado a este empresario con dos sanciones, una por infracción del artículo 21.1 de la LSSI, una multa de 1.200€; y por una infracción del artículo 10 de la LOPD a una multa de 900€.

Fuente: AEPD

EASY JET HANDLING SPAIN es apercibida por la AEPD por utilización excesiva de videovigilancia en el entorno laboral

EASY JET HANDLING SPAIN ha sido apercibida por la Agencia Española de Protección de Datos por la utilización excesiva de cámaras de seguridad para videovigilancia en el entorno laboral.

Según consta en el procedimiento A/00029/2012 Easy Jet ha instalado tres cámaras de seguridad, dos en zona de trabajo y otra en la zona de descanso del personal.

La empresa ha informado del alcance del tratamiento de datos al comité de empresa y ha procedido, con carácter previo, al registro del fichero ante la AEPD, aunque, no se han instalado los preceptivos carteles informativos ni se ha informado de la existencia de los formularios informativos y de derechos, tal como recoge la Instrucción 1/2006.

La finalidad del uso de las cámaras, según notifica Easy Jet, es «la protección de los activos y bienes de la empresa son derivadas de la existencia de objetos de valor en dichas ubicaciones, y la necesidad de incorporar mecanismos de control y vigilancia a este respecto”.

Hay que recordar que la utilización de un sistema de video vigilancia requiere que exista una legitimación para ello, esto ocurre cuando:

– Se cuente con el consentimiento del titular de los datos
– Una norma con rango de Ley exima del consentimiento
– Se de alguna de las circunstancias previstas por el art. 6.2 de la LOPD.
Además de esta legitimación necesaria, el uso de un sistema de video vigilancia debe seguir ciertas reglas que deben cumplirse por el responsable del sistema. Entre ellas merece destacarse por su aplicación al presente caso las siguientes:
– Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en el que se traten los datos.
– Debe informarse sobre la captación y/o grabación de las imágenes.
– El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un medio menos invasivo.
– Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos. Sólo Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.
– En cualquier caso el uso de sistemas de videovigilancia deberá ser respetuoso con los derechos de las personas y el resto del Ordenamiento jurídico.
– Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron.

Debe tenerse en cuenta que el artículo 20.3 del Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad.

Ahora bien, estas medidas se encuentran plenamente sometidos a la LOPD y la Instrucción 1/2006 y deben cumplir, además de los generales, una serie de requisitos específicos:
– El tratamiento se limitará a las finalidades previstas por el Estatuto de los Trabajadores, y/o en todo caso a finalidades legítimas reconocidas por la normativa vigente, debiendo cumplir en este último caso adicionalmente las previsiones específicas que sean de aplicación.
– Respetarán de modo riguroso el principio de proporcionalidad:
– Se adoptará esta medida cuando no exista otra más idónea.
– Las instalaciones, en caso de utilizarse, se limitarán a los usos estrictamente necesarios captando imágenes en los espacios indispensables para satisfacer las finalidades de control laboral.
– No podrán utilizarse estos medios para fines distintos de los propios del control laboral salvo que se trate de fines legítimos y se adopten las medidas pertinentes para el cumplimiento de la normativa que les sea de aplicación.
– Tendrán en cuenta los derechos específicos de los trabajadores respetando:
* Los derechos a la intimidad y el derecho fundamental a la protección de datos en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso. El derecho a la propia imagen de los trabajadores.
* La vida privada en el entorno laboral no registrando en particular las conversaciones privadas.
* Se garantizará el derecho a la información en la recogida de las imágenes. Con información específica a la representación sindical.

– Dicha información puede realizarse:
Mediante el cartel anunciador y el impreso establecidos por la Instrucción 1/2006.Y/o Mediante información personalizada.

– Se procederá en su caso a la creación y/o inscripción del correspondiente fichero.
-Se garantizará la cancelación de las imágenes en el plazo máximo de 30 días y únicamente
podrán conservarse aquellas que registren una infracción o incumplimiento de los deberes laborales.
– Deben garantizarse los derechos de acceso y cancelación.
– Se adoptarán las correspondientes medidas de seguridad.

La entidad denunciada se remitió escrito de alegaciones con documentación fotográfica y croquis de las cámaras instaladas, deduciéndose que una de ellas capta la zona de descanso y las otros dos enfocan en interior de dos oficinas. Todas las cámaras instaladas cuentan con posibilidad de zoom movimiento.

Debe considerarse que la finalidad con que se ha instalado la Cámara en la Sala de Descanso “la de los activos y bienes de la empresa y la seguridad de las personas”, supone un tratamiento excesivo y no proporcional al tratarse de un espacio destinado a la zona de descanso de los trabajadores en que debe primar el derecho a la propia imagen de los trabajadores, por tanto no hay fundamento para que en dicha zona se encuentre videovigilada.

Por ello, la AEPD apercibe a EASY JET HANDLING SPAIN con arreglo a lo dispuesto en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, con relación a la denuncia por infracción del artículo 4 de la LOPD, tipificada como GRAVE en el artículo 44.3.C de la citada Ley Orgánica.

– El cumplimiento de lo previsto en el artículo 4, procediendo a retirar o modificar el ángulo de visión de la cámara que capta imágenes del área de descanso de los trabajadores con objeto que dicha zona quede fuera del alcance de cualquier tratamiento de imágenes por medio de un sistema de videovigilancia.

Fuente: AEPD