//
Archivos

sanción

Esta etiqueta está asociada a 31 entradas

Endesa Energía es sancionada por protección de datos por usar datos personales sin consentimiento para activar un contrato de suministro de energía.

Según informa la AEPD en su PS/00613/2011, Endesa Energía ha sido sancionada por usar sin consentimiento los datos personales y activar un contrato de suministro de energía, cuando en realidad el denunciante tenía el servicio con GAS NATURAL y se le ha impuesto una multa de 50.000€.

Endesa Energía aportó el contrato de suministro, así como las facturas de suministro por el consumo. Consta en su sistema informático la reclamación del denunciante por la disconformidad de la contratación el 27/04/2010; que no abrió ningún expediente por este supuesto; y que la contratación se realizó a través de un distribuidor, ESTRUCTURA DE VENTA DIRECTA SL, quién obtuvo los datos del denunciante mediante el sistema de visita domiciliaria de sus comerciales.

Quedando como hechos probados mas relevante los siguientes:

1.- El denunciante consta como cliente de Endesa Energía.

2.- Los datos del denunciante provienen de un formulario de “Solicitud de suministro” que fue cumplimentado por un agente comercial del distribuidor, en la que se puede constatar la existencia de una firma con el nombre completo del denunciante que no coincide con la firma del denunciante.

3.- En el posterior control de calidad, la grabación de la conversación para verificar la veracidad de la contratación deja en evidencia a Endesa: no consta el número al que se llama, ni el día, ni la hora, ni quien llama, ni quien atiende la llamada, y, desde luego, la voz no es identificable con el denunciante, ni el acento ni el tono.

4.- El denunciante comunicó su disconformidad con el contrato por teléfono a Endesa, indicando que no había firmado ningún contrato y los datos eran erróneos (teléfono y cuenta).

La LOPD establece: “Artículo 6. Consentimiento del afectado
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

Carece de consentimiento Endesa Energía SAU para tratar los datos personales –nombre apellidos DNI y domicilio- de la persona denunciante incorporándolos a su fichero de clientes, emitir contrato de suministro, después facturas y más tarde reclamarle los importes de esa facturas, y encargar su cobro a una entidad especializada. Todo ello sin haber obtenido el consentimiento del denunciante.
Para que el tratamiento de los datos de la persona denunciante resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Sin embargo, nunca hubo consentimiento para el tratamiento de sus datos. Tampoco concurre ninguno de los supuestos exentos de prestar tal consentimiento, de modo que se considera infringido el citado artículo 6.1 de la LOPD.

Endesa Energía SAU dice que los datos del denunciante habían sido proporcionados por la empresa de servicios que tenia contratada para la captación de clientes, que una vez recibidos encargo el control de la calidad de la misma a una tercera empresa que por medio de conversación telefónica grabada obtuvo de la persona denunciante la confirmación de contratación, el buen trato recibido por el comercial, la información escrita completa de la oferta ventajosa y la exactitud de todos los datos proporcionados.

La realidad que se obtiene de la apreciación conjunta de todos los documentos obrantes en el expediente es muy distinta. La verdad es que inmediatamente que tiene conocimiento del contrato que le envían para su firma se pone en contacto con Endesa para manifestar su desacuerdo con la contratación, que él no ha firmado ningún formulario de contratación del gas y mantenimiento. Los mismos empleados de atención de la compañía dicen que ante los documentos de identidad presentados con el escrito de reclamación del denunciante se deduce que no ha firmado el formulario de contratación y le envían la carta para tramitar la baja. No solamente no es la firma del denunciante la que figura en el formulario tampoco lo es el teléfono de contacto y el número de la cuenta bancaria para domiciliación de pagos.

La imputada no ha acreditado que obrara con diligencia suficiente para cumplir su propio procedimiento para tramitar nuevas altas por canales presenciales del gran público. En el texto aportado se han descrito una serie minuciosa de tareas a realizar sobre el material remitido por los captadores para dar el visto bueno a los contratos y las medidas de verificación y control a ejecutar, incluso por personal externo certificador.

La primera reclamación del denunciante a Endesa se produce por teléfono el 27/04/10 la siguiente, escrita, el 30/04/10 y le contestan que tras comprobaciones todo esta correcto, que no hay nada de lo que denuncia. En las grabaciones de los contactos con el cliente, aportados también con las alegaciones al acuerdo de inicio, queda constancia de que él no firmó los contratos –como se hace constar en el hecho 6, pero emitió posteriormente las dos facturas que dice haber anulado y devuelto el importe el 02/03/11.

Ha transcurrido casi un año desde que tuvo el conocimiento de la primera reclamación del denunciante y copia de su DNI. Muy poca diligencia para poner fin a la situación, como exige el apartado 5.b) del artículo 45 de la LOPD, si tenemos en cuenta que las facturas por el suministro se emitieron después de comprobar que no era su firma la de los contratos.

Estas razones ha llevado a que la AEPD imponga una multa de 50.000€ (cincuenta mil euros) a Endesa Energía SLU por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 45.2 y 4 de la citada Ley.

De este procedimiento será interesante extractar la lección que debemos recoger todos, en especial cuando uno cuenta con un departamento comercial, propio o externo:

1.- No basta con contar con un protocolo de calidad (que hay que tener); este debe ser creíble y para ello debe estar alerta para detectar posibles errores y/o fraudes en la contratación.

2.- Es un ejercicio sencillo y elemental el contrastar la firma de los documentos con la firma que aparece en el documento identificativo del cliente (p.e. su DNI, pasaporte, etc..).

3.- De sabio es rectificar: a la primera llamada del denunciante en el que este comunica a Endesa que no ha firmado ningún contrato deberían saltar todas las alarmas, no solo verificar electrónicamente las firmas en ese momento y darle la razón al cliente (parece que así se actuó); sino que que debe actuar con mas dinamismo, ya que se está evidenciando un error/fraude en el contrato. La acción de Endesa fue pasiva, se limitó a enviar a un documento de solicitud de baja… he aquí mi asombro; si la supuesta acción de captación fué presencial, si el denunciante no acudió a Endesa, ¿por qué es ahora el denunciante el que debe esperar a que le envíen el documento de baja y cumplimentarlo y reenviarlo? ¿por qué Endesa, en su departamento de calidad, no envió inmediatamente a un inspector o agente autorizado a verificar los hechos a casa del denunciante y proceder a anular unilateralmente el contrato que nunca debió activar?.

4.- ¡Cuidado con el equipo comercial de campo!. Aquí nos encontramos con otro de los elementos peligrosos: la captación de personal con baja cualificación en los departamentos de ventas; la falta de formación de estos equipos; la falta de concienciación sobre los pasos a dar en las visitas comerciales y en la contratación; la obligación de que los mismos realicen el primer check list de verificación de datos (¿no nos piden el DNI cuando pagamos con tarjeta de crédito? ¿qué impide que miremos y revisemos el DNI o documento identificativo a ver si realmente es la persona que tenemos enfrente?); y por último, la presión que las empresas realizan sobre su fuerza de ventas obligando a esta a cumplir objetivos, ha llevado a algunos comerciales a no prestar la debida diligencia en la acción comercial, ha llevado a otros a entregar contratos cerrados en aquellas situaciones en las que solo realizaron una “propuesta comercial personalizada” falsificando luego la firma, y, por último, y no menos grave, la avaricia de querer cobrar un incentivo o comisión extra por una visita que no se ha cerrado de forma positiva sino en un  “ya veremos” o “ya lo estudiaremos”.

Quizás me esté dejando atrás alguna otra lección, pero me ha parecido importante destacar estos aspetos.

Fuente: AEPD

Telefónica es sancionada con 30.000€ por usar sin consentimiento los datos de un cliente de Tenerife

Telefónica Móviles de España SA, en adelante TME, ha sido sancionada por la AEPD por infracción del artículo 6.1 de la LOPD y se le ha impuesto una multa de 30.000€.

Según consta en el procedimiento sancionador abierto por la AEPD, PS/00540/2011, Teléfonica usó sus datos personales para dar de alta una línea de teléfono sin su consentimiento, facturando al denunciado durante varios meses servicios y consumo que no había contratado.

El propio departamento de fraude de la compañía detectó el incidente ante la reclamación presentada por el denunciante, vecino de Santa Cruz de Tenerife, y procedió a la anulación de las facturas emitidas.

TELEFÓNICA MÓVILES ESPAÑA, no aporta documentación que permita comprobar la identificación del cliente que dio de alta la línea y firmó el contrato.

La firma del contrato aportado, no coincide con la firma de la copia del DNI, ni con la de la denuncia presentada ante la Agencia Española de Protección de Datos por el denunciante.

El contrato de la línea fue realizado por el distribuidor HELIO TENERIFE NORTE. S.L. con la que TME suscribió el 01/11/1999 un contrato de promoción comercial.

Se imputa a TELEFÓNICA MÓVILES ESPAÑA  el tratamiento sin consentimiento de los datos personales de la denunciante. El artículo 6 de la LOPD, determina:

 “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

El tratamiento de datos sin consentimiento constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo), “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.

Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y tratamiento de sus datos personales y a saber de los mismos.

En el presente caso el denunciante niega haber contratado con TME el servicio de la línea en consonancia con la actitud mantenida para con ésta y acreditada en el expediente, referente a la no solicitud del servicio:
– Denuncia ante esta Agencia.
– El denunciante niega la contratación.
– El denunciante manifiesta en fase de prueba del procedimiento que las firmas que figuran en el
contrato de la línea no son suyas.

Todas estas circunstancias son indicios que evidencia un tratamiento de datos sin el consentimiento de la denunciante. Conviene reseñar la virtualidad de la prueba indiciaria, cuya admisión en el procedimiento administrativo sancionador se admite en la Sentencia del Tribunal Constitucional núm. 45/1997 (Sala Primera), de 11 de marzo (RTC 1997,45). Así los requisitos necesarios para su admisión vienen desarrollados, con cita de la doctrina del Tribunal Supremo, por la Sentencia del TSJ de Andalucía, núm. 255/2003 de 27 de enero, que dice: “Sobre ella precisar que la jurisprudencia constitucional y la de la Sala 2ª del TS han perfilado los requisitos necesarios para que la prueba indiciaria pueda ser apreciada como tal y que pueden resumirse en los siguientes extremos:
1º- Que el hecho base no se único, pues uno solo podría inducir a error – STC núm. 111/1990 de 18 de junio (RTC1990, 111);
2º- Que estos hechos estén directamente acreditados – SSTS de 18 y24 de enero de 1991 ( RJ 1991,282)- ; y
3º Que la inferencia no quebrante las reglas de la lógica, de otra disciplina o de la experiencia general – STC 107/1989 de 8 de junio y 510/1989 de 10 de marzo ( RTC 1985,510) …………” Para que el tratamiento de los datos del denunciante por parte de TME resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada.

Sin embargo, según manifiesta el denunciante nunca formalizó contrato alguno con TME de la línea, ni consintió el tratamiento de sus datos personales. TME no ha presentado ninguna prueba que pueda evidenciar que contaba con el consentimiento del denunciante o relación contractual que le exima del mismo, ya que el contrato que se ha aportado tiene unas firmas que el denunciante no reconoce como propias.

Este contrato recoge explícitamente la documentación (contrato firmado, copia de DNI, y de documentos acreditativos de los datos de cobro) que el distribuidor debe recabar y remitir a TME en el proceso de formalización de los contrato de abono a los servicios. TME ha aportado a esta Agencia como prueba de la contratación efectuada copia de un contrato con los datos personales del denunciante, sin aportar copia del DNI y documentos acreditativos de los datos de cobro del denunciante a pesar de ser dicha entidad la que exige dichos documentos a los distribuidores en el proceso de alta de sus servicios. Corresponde por tanto a TME desplegar la diligencia debida para comprobar la autenticidad del contrato, es decir, que el consentimiento está obtenido válidamente, a través de la comprobación del cumplimiento de los requisitos de contratación por ella misma exigidos a los distribuidores y que en este caso no se ha producido.

En cuanto al contrato firmado aportado por TME debe reiterarse que los indicios probatorios obrantes en el expediente indican que no fue suscrito por el denunciante.

TME trató los datos personales del denunciante sin su consentimiento por lo que se ha vulnerado el principio del consentimiento previstos en el artículos 6 de la LOPD. La conculcación de este principio supone la comisión de la infracción grave prevista en el transcrito artículo 44.3.b).

Ello ha llevado a la AEPD a imponer a TME por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 30.000€ (treinta mil euros) de acuerdo a lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

Fuente: AGPD.

Sigue leyendo

Mutual Didat Cyclops ha sido sancionada por ceder datos de un exempleado sin consentimiento previo.

La entidad MUTUAL DIDAT CYCLPS (MMC) ha sido sancionada por al AEPD por infracción del artículo 11.1 de la LOPD, al ceder sus datos sin consentimiento, ascendiendo la sanción impuesta a 6.000€.

Según consta en el procedimiento sancionador PS/00539/2011 MMC cedió los datos personales del denunciante a la empresa Sanitas sin su autorización. El denunciante había cesado su relación laboral con MMC con anterioridad a la cesión de sus datos, en abril de 2010.

Al vencer la póliza de seguros que la mutua tenía contratada con ADESLAS, la mutua firmó una nueva póliza de seguro para sus empleados con Sanitas. Esta póliza cubría a los empleados y exempleados en condiciones preferentes con respecto a los clientes individuales.

Según las alegaciones de MMC, se les envió a todos los beneficiarios un escrito  informando de las condiciones de la póliza en las que se le solicitaba autorización para proceder al traspaso de datos. Esta autorización se consideró otorgada tácitamente al no recibir oposición por parte del denunciante. Se aportó copia del escrito aunque no se aportó prueba de su envío y/o recepción.

MMC reconoce el error de comunicar en el listado de personas adjuntos a la póliza, los datos de este extrabajador, contactando con Sanitas para que se procediera a la devolución de cualquier importe que se le hubiera cobrado.

Ante estos hechos, la AEPD inició procedimiento sancionador contra MMC por presunta infracción del artículo 11.1 de la LOPD. “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.”

Entre los hechos probados, queda constancia de la ausencia de consentimiento por parte del denunciante para el tratamiento y cesión de sus datos por parte de MMC.

En el presente caso se ha acreditado que MMC comunicó los datos personales del denunciante, exempleado de la entidad, incluyendo nombre, apellidos, DNI, fecha de nacimiento, sexo, domicilio y cuenta corriente, a un tercero, la entidad SANITAS. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso contar con el consentimiento del afectado o, en su defecto, debe acreditarse que concurre alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento. 

Sin embargo en este caso, MMC cedió los datos de su exempleado sin haber obtenido su consentimiento previo, por lo que debe entenderse vulnerado el artículo 11 de la LOPD.

Por esta razón, se impuso a Mutual Didat Cyclops (MMC), por una infracción del artículo 11.1 de la LOPD, tipificada como grave por el artículo 44.3.k) de dicha norma, una multa de 6.000€.

De este procedimiento merece la pena destacar un hecho relevante, MMC afirma que envió un escrito solicitando la autorización, pero, aunque presentó copia de la carta, no pudo acreditar ni el envío ni la entrega. Aunque MMC invoca el consentimiento tácito para la comunicación de los datos personales a un tercero hay que tener en cuenta que la definición que hace de CONSENTIMIENTO el artículo 3.h de la LOPD dice que este es “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le concierne”.

El adjetivo “inequívoco” que califica al consentimiento, significa según el Diccionario de la Real Academia Española “que no admite duda o equivocación” y, por contraposición a equívoco, lo que no puede entenderse o interpretarse en varios sentidos, o que no puede dar ocasión a juicios diversos.

La exigencia de que sea inequívoco está relacionada con la forma de prestar el consentimiento, pues el precepto comentado no establece ni requiere que tenga que prestarse de forma determinada, ni de forma expresa o por escrito.

En la SAN, Sec. 1ª, 20-9-06 (Rec. 626/2004), respecto al consentimiento tácito, se dice «en nuestra sentencia de 7 de julio de 2000 (recurso número 121/1999), decíamos en el Fundamento de Derecho Tercero: “Este tema del consentimiento tácito ha de ser tratado con una gran delicadeza cuando están en juego derechos constitucionales básicos 8 art. 18-4 C.E.) y a ello tiende toda la regulación legal
contenida en el articulado de la L.O. 5/92 y su explicación y filosofía recogida en la Exposición de Motivos. En la vida de relación es muy posible reconocer formas de tácita aceptación, pero siempre en aspectos no trascendentales o cuando se está operando sobre situaciones consolidadas y que están en la común consideración a modo de valores entendidos. No es el caso cuando lo que está en juego es la privacidad de las personas de ahí todas las cautelas normativas tendentes a proteger esa privacidad, sin que quepan interpretaciones de laxitud del art. 11-1 de la Ley a menos que el titular de la intimidad se haya situado voluntariamente en situación de abandono de la defensa de ese derecho, en cuyo caso sí podría hablarse de una forma de consentimiento tácito….”.

Fuente: AGPD

Un estudio fotográfico es condenado por el uso de un retrato de un menor

El diario digital http://www.elmundo.es se hizo eco ayer de la resolución que la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó ayer contra un estudio fotográfico que utilizó la imagen de un menor en un retrato y lo colocó en el escaparate como reclamo profesional sin consentimiento.

Esta sentencia viene a confirmar la sanción impuesta por la AEPD en el procedimiento sancionador que esta dictó con el número PS/00197/2010, de fecha 2 de noviembre de 2010.

En dicho expediente, la AEPD abrió procedimiento contra el estudio fotográfico ante la denuncia presentada por la madre del menor, después de que esta hubiera instado al estudio a retirar la misma del escaparate sin recibir contestación o respuesta del mismo.

Ante la apertura del procedimiento sancionador, el estudio fotográfico alegó que la madre llevó al menor para hacer unas fotos pero al no ser de su agrado, no las adquirió, quedando en posesión del estudio, quien, amparándose en el derecho de autor, la expuso como obra de arte como fotógrafo profesional.

Entre los hechos probados está la comprobación de la exposición de la foto en el escaparate y la ausencia de consentimiento de la denunciante, madre y representante legal.

El artículo 6.1 de la LOPD dispone lo siguiente: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

El ESTUDIO. no ha aportado prueba documental que acredite el consentimiento de la denunciante, a la sazón, madre y representante legal, para llevar a cabo el tratamiento de datos personales realizado, antes bien, los documentos que obran en el procedimiento evidencian que aquél no contaba con su consentimiento inequívoco. Cabe decir por tanto que, ante la falta de acreditación por el ESTUDIO del consentimiento inequívoco de los denunciantes para ese tratamiento de datos personales en cuestión, y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima
vulnerado por la entidad imputada el artículo 6.1 de la LOPD.

En el supuesto examinado y según ha quedado indicado, no ha acreditado disponer de ese consentimiento inequívoco. Al contrario, se reitera, consta en el expediente que no disponía del mismo.

En cuanto a la consideración de la imagen como dato de carácter personal, el Tribunal Constitucional, con la salvedad de que la sentencia citada más abajo viene a referirse a una cuestión estrictamente de colisión entre la libertad de información y el derecho a la propia imagen, en su sentencia de 16 abril de 2007 (STC 72/2007) dice:
“Este Tribunal ha tenido ocasión de pronunciarse en relación con quejas sobre vulneraciones del derecho a la propia imagen (art. 18.1 CE) en las SSTC 231/1988, de 2 de diciembre, 99/1994, de 11 de abril, 117/1994, de 17 de abril, 81/2001, de 26 de marzo, 139/2001, de 18 de junio, 156/2001, de 2 de julio, 83/2002, de 22 de abril, 14/2003, de 28 de enero, y 300/2006, de 23 de octubre.

En lo que aquí interesa destacar, de dicha doctrina resulta que, en su dimensión constitucional, el derecho a la propia imagen (art. 18.1 CE) se configura como un derecho de la personalidad, que atribuye a su titular la facultad de disponer de la representación de su aspecto físico que permita su identificación, lo que conlleva tanto el derecho a determinar la información gráfica generada por los rasgos físicos que le hagan Reconocible que puede ser captada o tener difusión pública, como el derecho a impedir la obtención, reproducción o publicación de su propia imagen por un tercero no autorizado (STC 81/2001, de 26 de marzo FJ2).

Resulta, por tanto, que el derecho a la propia imagen (art. 18.1 CE) se encuentra delimitado por la propia voluntad del titular del derecho que es, en principio, a quien corresponde decidir si permite o no la captación o difusión de su imagen por un tercero. No obstante, como ya se ha señalado, existen circunstancias que pueden conllevar que la regla enunciada ceda, lo que ocurrirá en los casos en los que exista un interés público en la captación o difusión de la imagen y este interés público se considere constitucionalmente
prevalente al interés de la persona en evitar la captación o difusión de su imagen. Por ello, cuando este derecho fundamental entre en colisión con otros bienes o derechos constitucionalmente protegidos, deberán ponderarse los distintos intereses enfrentados y, atendiendo a las circunstancias concretas de cada caso, decidir qué interés merece mayor protección, si el interés del titular del derecho a la imagen en que sus rasgos físicos no se capten o difundan sin su consentimiento o el interés público en la captación o difusión de su imagen (STC 156/2001, de 2 de julio, FJ 6)” (el subrayado es de la Agencia Española de
Protección de Datos)..

Cabe rechazar lo alegado por el imputado en cuanto a que los hechos denunciados exceden el ámbito de aplicación de la LOPD, por cuanto, como ya se ha expuesto, la imagen es un dato de carácter personal, y su recogida constituye un tratamiento (automatizado o no reza la LOPD). Asimismo se alude a la inexistencia de fichero cuando, tratándose de imágenes (fotografías), el imputado, la localización de una en concreto responderá a algún tipo de estructuración de fichero adoptada por el imputado. Respecto a los precedentes aludidos, en los mismos no se acreditó la existencia de fichero y por la propia naturaleza de los hechos probados no cabía inferir la necesaria existencia del mismo.

En vista de estos hechos, la AEPD sancionó a este ESTUDIO por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de la norma con una multa de 1.500€.

Aunque la misma fue recurrida, ahora la Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha venido a confirmar esta sentencia.

Leer más en: http://www.elmundo.es/elmundo/2012/06/05/espana/1338892911.html

Fuente: AEPD y http://www.elmundo.es

Sanción de la AEPD a CANAL+ de 40.001€ por incluir erróneamente el DNI de un cliente en el ASNEF

La AEPD ha sancionado a DTS DISTRIBUIDORA DE TELEVISION DIGITAL, S.A. (Canal +) por incluir el DNI del denunciante con el de un cliente con el que la citada entidad mantenía una deuda de 55,90€, incluyendo dicho dato en el ASNEF (registro de morosos e insolventes), a pesar de haber sido advertido no le han excluido de dicho fichero ni han procedido al envío de escrito de rectificación.

Según consta en el procedimiento sancionador PS/00522/2011, quedan probados los siguientes hechos  mas relevantes:

1.- Que el denunciante manifiesta que DTS ha asignado su número de DNI (Documento Nacional de Identidad) a un cliente de la entidad que mantiene una deuda con la misma. Como consecuencia, es el denunciante quién aparece en al fichero ASNEF y no el verdadero deudor.

2.- El denunciante solicitó a DTS la rectificación, que queda en espera de resolución por la entidad y no se produce la rectificación.

3.- Que en el registro creado por motivo de la deuda, en ASNEF aparece el DNI del denunciante. Aunque el registro de deuda fue cancelado, exponiendo el motivo como “amistoso”.

4.- DTS no tenía facturas pendientes ni reclamadas al denunciante.

Por tanto, ante estos hechos la AEPD recuerda en el procedimiento lo siguiente:

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, dispone en su artículo 4, bajo la rúbrica “calidad de los datos”:
“3. Los datos de carácter personal serán exactos y puestos al día de forma que responsan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaren ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.

Por otra parte, el artículo 29 de la citada Ley Orgánica establece en sus apartados 2 y 4, respectivamente:

“Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el creedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley”.

Por su parte, el Real Decreto 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, (en lo sucesivo RLOPD), dispone en el artículo 38:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada (….)

Se imputa a DTS en el presente expediente sancionador la vulneración del principio de exactitud y veracidad en relación con los datos personales que han sido informados por ella a un fichero de solvencia patrimonial y crédito, (artículo 4.3 en relación con el 29.4 de la LOPD).

Los hechos probados acreditan que DTS comunicó a ASNEF el DNI del denunciante, vinculado al nombre y apellidos de otra persona, que era el verdadero deudor de la entidad.

Resulta necesario advertir que el denunciante, cuyo número de DNI fue asociado por DTS al nombre, apellidos y domicilio de otra persona, su verdadero deudor, e informado al fichero ASNEF, no mantenía deuda alguna con la entidad informante.

Es evidente que en el presente caso DTS no ajustó su conducta a las exigencias impuestas en el precepto mencionado; condición esencial a la que la LOPD (artículo 44.3.c,) supedita la legalidad de la inclusión de los datos personales en ficheros de morosidad; toda vez que el dato relativo al DNI comunicado a ASNEF era titularidad del denunciante, quien no tenía la condición de deudor, de forma que, respecto a él, la deuda informada al fichero no era cierta, ni vencida, ni exigible.

De este modo el afectado, quien no era deudor de DTS, fue fichado como moroso erróneamente, permaneciendo incluido en el fichero ASNEF sin justificación para ello durante más de seis meses. La conducta que es contraria al principio de calidad del dato consagrado en el artículo 4.3 de la LOPD en relación con el 29.4. de la misma norma.

En esa misma línea debe destacarse la diligencia demostrada por el afectado, que con gran rapidez puso en conocimiento de la entidad los hechos acaecidos a fin de que ésta procediera a rectificar el dato inexacto y, paralelamente la lentitud de DTS en adoptar las medidas pertinentes.

Tampoco se aprecia en el asunto que nos ocupa, -no obstante la pretensión de la denunciada en tal sentido recogida en su escrito de alegaciones al acuerdo de inicio-, una actuación diligente que se haya traducido en una regularización, en un tiempo prudencial, de la situación creada.

Por ello, la AEPD ha impuesto a DTS por infracción del artículo 4.3, en relación con el artículo 29.4 de la LOPD, tipificada como grave, con una multa de 40.001€.

Fuente: AGPD.

* Cursivas: literal del procedimiento.

 

Sanción a un gimnasio por enviar un fichero adjunto al correo con datos de 9.293 personas

La AEPD ha sancionado a un gimnasio (O2 CENTRO WELLNESS PLENILUNIO, S.L.) por enviar un correo electrónico enviado a 334 destinatarios con un fichero adjunto que contenía los datos personales de 9.293 personas, incluidos los datos del denunciante.

El fichero contenía el nombre y apellidos, domicilio, teléfono (línea fija y móvil o celular), dirección email, NIF y sexo.

El gimnasio, una vez detectado el error, realizó un envío de un correo pidiendo disculpas por el error producido e indicando que la empresa cumple con la ley de protección de datos personales.

Aunque la empresa tenía establecido una política de confidencialidad y protección de datos, una empleada de la misma, que tenía firmado el compromiso de confidencialidad, realizó el envío de la comunicación como parte de una campaña de marketing contra la BBDD de clientes del gimnasio, que previamente habían consentido en ceder sus datos de contactos con estos fines.

La AEPD abrió procedimiento sancionador por vulneración del deber de secreto, y, según consta en el PS/00559/2011, son hechos probados los siguientes:

* Mayo del 2011 se realizó una campaña de marketing.

* Dentro de esa campaña, se realizó el envío del correo con el fichero adjunto que ha motivado la denuncia.

* La denunciante está incluida en el listado adjunto en ese correo.

* Que el gimnasio envió un correo de disculpas por el error en el envío.

* Que la empresa tiene establecida una política de confidencialidad y que la trabajadora que realizó el envío tenía firmado el parte de confidencialidad.

El artículo 10 de la LOPD dispone:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

La disposición final quincuagésima sexta “cuatro” de la Ley 2/2011, de 4 de marzo, de Economía Sostenible (BOE 5-3-2011), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD, en lugar del existente hasta su entrada en vigor, del siguiente tenor:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

No obstante, en el presente caso, atendida la naturaleza de los hechos, no se estima aplicable la previsión contenida en el mismo, considerando el número de afectados incluidos en el listado de abonados (9293 afectados) y la difusión realizada del mismo (334 destinatarios del correo electrónico que adjuntó el fichero en cuestión).

En vista de estos hechos probados, la AEPD impone sanciona por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d. de dicha norma, una multa de 3.000€.

Este procedimiento sancionador pone sobre la mesa la realidad del riesgo que corre toda entidad o responsable de ficheros que traten datos de carácter personal. No solo es necesario establecer una política de protección de datos correcta o legal, sino que es necesario ir mas allá, es decir, es necesario analizar adecuadamente los riesgos que el tratamiento de la información comporta: cuáles son las amenazas, cuáles las vulnerabilidades del sistema, cuales serían los impactos y, a partir de aquí, establecer las medidas de seguridad y las contramedidas suficientes para garantizar la integridad, disponibilidad y confidencialidad de la información de la cuál somo garantes por imperativo legal.

No hay que olvidar que la mayor parte de los errores o incidencias de seguridad, son producidas conscientes o inconcientemente por los usuarios del sistema. Por tanto, el factor humano es el principal causante de estos incidentes de seguridad. ¿Qué nos dice esto?

1.- Que no es suficiente con establecer medidas de seguridad físicas o perimetral, siendo estas obligatorias.

2.- No es suficiente con formar al personal en materia de seguridad de la información y protección de datos. Aunque esta sea una obligación que el legislador imponga al responsable del fichero sobre los usuarios que traten datos personales, en el supuesto de que se hubiera realizado las acciones formativas precisas.

3.- Es vital, no solo realizar los pasos anteriores, aspectos previstos en la Ley 15/1999 y su reglamento de desarrollo RD 1720/20007, sino ir mas allá. En esto la norma ISO 27001 lo encontramos en el punto de control 8.2, en especial el 8.2.2., ya que este punto de control establece que durante el empleo hay que concienciar, formar y entrenar sobre la seguridad de la información. Es evidente que este control no se puede limitar a una sola acción formativa, en el caso que se hubiera hecho en el caso comentado de este gimnasio. Tampoco se puede limitar a la simple firma de un protocolo o pacto de confidencialidad, en el que  el responsable del fichero comunique al usuario que hay establecida una política de seguridad y que éste deberá cumplirla.

Este punto de control va mas allá, habla de la concienciación, formación y entrenamiento. Para entender bien lo que en el fondo se quiere controlar, hay un refrán popular que dice que “la repetición es la madre de la retención”, este es el espíritu de este control. No puede haber concienciación si no hay repetición. No hay formación sin repetición. No hay entrenamiento válido sin repetición. Dicho en otras palabras, la concienciación, formación y entrenamiento deberá ser una medida de seguridad continuada en el tiempo, mantenida en el espacio, porque desde el momento en que esa repetición cese, estaremos exponiendo nuestros activos de información a la mayor de las amenazas, el factor humano.

Moraleja: Hay que concienciar, formar y entrenar… “la repetición es la madre de la retención”.

Fuente: AGPD.

Publicación de parte médico de incapacidad de una trabajadora en el perfil de facebook de su empresa..

La AEPD inició un procedimiento sancionador (PS/00434/2011) contra LITTE CUP SL (LA TAZZINA) por producirse la publicación en la red social Facebook de un parte médico de incapacidad temporal a su nombre, manteniéndose durante un período de entre 24 y 48 horas, apareciendo expuestos distintos datos personales referentes a la denunciante.

Constan como hechos probados mas relevantes, los siguientes: Que la empresa denunciada publicó en Facebook un parte médico de incapacidad temporal a nombre de la denunciante, manteniéndose el mismo visible entre 24 y 48 horas, apareciendo expuestos en el mismo distintos datos personales.

El artículo 6.1 de la LOPD dispone lo siguiente: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La entidad imputada no ha aportado, en consecuencia, prueba documental que acredite el consentimiento de la denunciante para que dicha entidad pudiera llevar a cabo el tratamiento de datos personales realizado. Un tratamiento que ha quedado acreditado en el expediente. 

El documento contiene el nombre y apellidos de la denunciante, junto con su número de tarjeta sanitaria, número de afiliación a la Seguridad Social, número de DNI y domicilio. Asimismo se incluye el nombre de la empresa: LITTLE CUP, S.L. y datos asociados a la baja médica. Junto a este documento, la denunciante aportó de igual modo copia impresa de los comentarios asociados a la foto, publicados por los usuarios, en particular el publicado por el usuario que administra el perfil.

Por tal razón se consideró que la empresa denunciada había infringido el artículo 6.1 de la LOPD y que es responsable de tal infracción. Teniendo en cuenta los citados criterios, en especial, el apartado b) de ese artículo 45 procede imponer a LITTLE CUP, S.L. (LA TAZZINA) la sanción de 2.000 €.

Fuente: AGPD

Orange multada con 50.000 euros por emitir y cobrar facturas a un menor de diez años

La Agencia Española de Protección de Datos ha afirmado que la operadora no se preocupó de comprobar la autenticidad de los datos bancarios y personales.

Orange, filial de France Telecom, ha sido multada con 50.000 euros por emitir cargos a un menor de 10 años.

La Agencia Española de Protección de Datos (AEPD) ha realizado las investigaciones pertinentes tras la denuncia presentada por la madre del menor. En las pesquisas se comprobó que Orange había emitido hasta seis facturas al menor, entre julio de 2010 y marzo de 2012, “por no cumplir la permanencia asociada”.

La AEPD ha afirmado que la operadora no se preocupó de comprobar la autenticidad de los datos bancarios y personales. La Agencia considera que France Telecom debería haber realizado las acciones necesarias para evitar dar de alta a un menor.

La sentencia afirma que “en modo alguno, France Telecom ha acreditado que comprobara la edad de la denunciante, ni ha aportado documento alguno que lo acredite, como pudiera ser la solicitud del DNI, o incluso el propio DNI, sino que se apuntó el número del DNI (también erróneo) y comenzó a facturar un servicio a la cuenta ancaria proporcionada, sin realizar ninguna comprobación”.

La Ley General de Consumidores y Usuarios señala que es la entidad de telecomunicaciones la que debe asumir los riesgos de la contratación a distancia, minimizando los riesgos de altas fraudulentas, implantando los protocolos necesarios para ello.
Fuente: Facua
https://www.facua.org/es/noticia.php?Id=6841

 

El Cabildo Insular de Lanzarote infringe el deber de secreto al filtrar datos personales en un comunicado de prensa

Según consta en el expediente sancionador AAPP/00045/2011, la Agencia Española de Protección de Datos ha sancionado al Cabildo Insular de Lanzarote por una infracción del artículo 10 de la LOPD relativo al incumplimiento por parte de esa administración pública del deber de secreto.

Según consta en el citado expediente, el Cabildo de Lanzarote hizo entrega de un documento en pdf que contenía un listado de todos los abogados que habían trabajado para esta administración pública y los honorarios percibidos desde 1997 a 2010. Este documento fue distribuido por el Gabinete de Prensa del Cabildo a distintos medios, entre ellos a “La voz de Lanzarote” y otros siete. Este documento incluía los nombres y apellidos de los profesionales así como cantidades percibidas por los mismos.

Ante la denuncia presentado por uno de los abogados afectados ante la AEPD, esta inició las actuaciones previas. Llama poderosamente la atención la dejación que hace el Cabildo al requerimiento que hace la propia AEPD, tanto al del 11 de mayo como al del 8 de julio.

Quedando como hechos probados, según el expediente sancionador, los siguientes hechos mas relevantes:

1.- Que para refutar una denuncia, el Cabildo aporta una lista en pdf con los nombres y apellidos, así como los emolumentos percibidos por los abogados desde 1997 a 2010.

2.- Que el documento en pdf fue recepcionado por los medios informativos y quedó accesible a toda persona que leyó la noticia en los medios digitales, al incluir estos un enlace al documento.

3.- En la citada relación, aparecen los datos del denunciante.

4.- Que el Gabinete de Prensa del Cabildo hizo difusión de ese documento a distintos medios informativos.

5.- Que el motivo que llevó al Cabildo a dicha difusión de ese documento fue desmentir unas manifestaciones previas del Grupo Socialista del Cabildo, en relación con el pago de emolumentos a un abogado con un montante de mas 300.000€.

Según establece la propia redacción del artículo 10 de la Ley 15/1999, de 13 de diciembre, “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.

Dado el contenido del citado artículo 10 de la LOPD, ha de entenderse que el mismo tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos.

El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la protección de datos y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

No obstante existen límites al no secreto de los datos como los que pueden entrar por el artículo 11 de la LOPD al señalar: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

Señalando el apartado 2 de dicho artículo que el consentimiento exigido en el apartado anterior no será preciso: “ a) Cuando la cesión esté autorizada por una ley”.

En el supuesto analizado no existe Ley alguna que permita trasladar los datos personales del denunciante referidos a las cuantías que anualmente ha percibido por parte del Cabildo a la Prensa, ni se exige en norma alguna la publica difusión de ambos datos unidos, máxime teniendo en cuenta que la noticia publicada no hacía referencia alguna ni estaba a debate sus emolumentos ni su persona. En tal sentido conviene destacar el principio de calidad en el tratamiento de datos de la pertinencia y adecuación señalado en el artículo 4 de la LOPD que señala:”1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” En este caso el hecho de ceder toda una relación de datos personales entre los que se incluían los del denunciante para desmentir lo referido a un aludido, no es proporcional, adecuado ni pertinente.

No existiendo Ley alguna que ampare la comunicación de datos, en este caso indiscriminada a la Prensa, para desmentir un comunicado anterior supone una infracción del deber de secreto a la custodia y conservación de los datos de que se dispone.

Esto motiva que la AEPD, sancione al Cabildo Insular de Lanzarote, por una infracción del artículo 10 de la LOPD, tipificado como leve en el artículo 44.2.e.

Fuente: AGPD

Leer mas sobre esta noticia: http://www.canariasahora.es/noticia/219126/

Usurpan su identidad e incluyen sus datos en el registro de morosos.

La AEPD instruyó en su procedimiento sancionador PS/00290/2008 contra Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA, VODAFONE ESPAÑA SA, por la inclusión de los datos personales de un vecino de Lanzarote (según publica www.diariodelanzarote.com ) en un fichero de morosos.

Según consta en el citado procedimiento sancionador, este vecino fue objeto de una sustracción de sus efectos personales, entre los que se encontraban su DNI y carnet de conducir, así como tarjeta de Caixa Cataluña y Visa electrón de Argentaria. Dicha sustracción fue denunciada el 29/11/1997 en la Comisaría. Con fecha 25 y 27 de febrero del 2004 interpuso denuncias por los requerimientos de pago de UNO-E BANK que requería el cobro de una cantidad y de La Caixa por la apertura de una cuenta; hechos susceptibles de haberse realizado con los documentos usurpados en el año 1997.

Abiertas diligencias por la AEPD y requerida la documentación a las partes, según consta en dicho procedimiento, quedaron probados los siguientes hechos más relevantes:

1.- El denunciante presentó la denuncia por la sustracción de los documentos así como las denuncias interpuestas.

2.-  Que continuó recibiendo llamadas de reclamación de pago de deudas y que explicando lo sucedido, algunas entidades dejaron de reclamar pero otras siguieron insistiendo. Y se registraron dichas deudas en ASNEF y Badexcug.

3.- Que figuran en el registro de ASNEF al menos 10 notificaciones realizadas al denunciante. Mismas notificaciones también fueron realizadas por Badexcug.

Entre los fundamentos de derechos expuestos en el citado procedimiento, se imputa:

1.- En primer lugar, a Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA en el presente procedimiento una infracción del artículo 6.1 de la LOPD que dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. En el presente caso, ha quedado acreditado que las entidades imputadas trataron los datos del denunciante sin su consentimiento para darle de alta, y efectuar los tratamientos posteriores, en sus ficheros de clientes como titular de contratos de diferente tipo en función de la actividad de cada una.

Ninguna de dichas entidades ha acreditado que el denunciante consintiera el tratamiento de sus datos personales, y el denunciante niega tal contratación. Ninguna de ellas dispone de documentos que acrediten la identidad de la persona con la que dicen haber contratado. Una copia del DNI o del pasaporte u otro documento que acredite la identidad, documentaria una actuación con diligencia suficiente para evitar el tratamiento de los datos sin el consentimiento del titular de los datos. No siempre es posible detectar la falsedad de los documentos pero si es posible y necesario comprobar la identidad y documentarla. Cuando se emiten las facturas y los diversos escritos de reclamación de deuda son devueltos impagados o las envíos por correos devueltos un mínimo de diligencia en la gestión obligaría a establecer actuaciones de verificación de identidad –primero- y de domicilio –después- para tener la certeza de que los datos personales del cliente son exactos. Actuaciones que en todo caso deben ser previas a la anotación en los ficheros de solvencia patrimonial y crédito. Al no haberlo hecho así, debe considerarse vulnerado el principio de consentimiento, recogido en el artículo 6 de la LOPD, por cuanto dicho tratamiento se realizó sin el consentimiento del denunciante y no concurre en los supuestos examinados alguna de las circunstancias previstas en el artículo 6.2 de la LOPD que permitirían tratar los datos del denunciante sin su consentimiento.

 2.- En segundo lugar, se imputa a Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA una infracción del artículo 4.3 de la LOPD, que señala que “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

La obligación establecida en el artículo 4.3 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito, establece en su Norma Primera, punto 1, los requisitos imprescindibles para registrar los datos relativos al cumplimiento o incumplimiento de obligaciones exigiendo que “ La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992” –artículo 29 LOPD-,”deberá efectuarse solamente cuando concurran los siguientes requisitos: a) Existencia de una deuda cierta, vencida y exigible que haya resultado impagada. b) Requerimiento previo de pago a que corresponda, en su caso, el cumplimiento de la obligación” (el subrayado es de la Agencia Española de Protección de Datos).

En este caso, Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA incluyeron en el fichero Asnef y Badexcug, respectivamente, los datos del denunciante por la falta de pago de unas cuotas mensuales de financiación de compras o de prestación de servicios que no habían sido contratados por el denunciante.

Ha de considerarse, que en el momento de la anotación en Asnef y en Badexcug, los datos no eran exactos, pues el denunciante no tenía ninguna deuda con las entidades que comunican los datos a los ficheros de morosos. Ni se le había notificado la deuda ni se le había efectuado el requerimiento previo a su inclusión en los ficheros de morosos. Todos los domicilios que han incorporado a sus ficheros y a los que han dirigido sus notificaciones y han hecho constar en el fichero de morosos son distintos al del denunciante. El denunciante reside en la (……….) y los que obran en poder de las entidades imputadas están en (………).

No consta que por las entidades imputadas se haya realizado actuación con diligencia suficiente, una vez conocida la irregularidad de los datos recabados.

Por tanto, el tratamiento de datos como cliente –sin consentimiento- y la anotación de los datos –inexactos– en el fichero de morosos, son dos hechos claramente diferenciados y cada uno de ellos supone una infracción distinta.

Cada una de estas entidades han sido sancionadas por estas dos infracciones, infracción del artículo 6.1 y del 4.3 de la LOPD, con un importe de 60.101,21€ cada una de las mismas, alcanzando un montante el expediente de 480.809,68€, 120.202,42€ por cada entidad denunciada.

Esta resolución fué recurrida por los denunciados. Y, según informa http://www.diariodelanzarote.com, “la Audiencia Nacional ha venido dictando sentencias, la última reciente a favor de Finandia, en la que anula las sanciones. Argumenta que no fue posible detectar el uso “fraudulento” de la identidad del afectado y pone como ejemplo una adquisición en una casa de subastas, donde se utilizó documentación falsa. “Nada hacía sospechar” que quien compraba “no era quien aparentaba ser”. “

 Fuente: http://www.agpd.es

http://www.diariodelanzarote.com/2012/05/07/lanzarote06.htm

Estadística del blog

  • 165.825 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: