sancionada protección de datos

Nueva sanción doble a Vodafone por incluir una deuda inexistente en un fichero de morosos

Nuevamente Vodafone ha sido sancionada por al AEPD por infracción del artículo 11.1 en relación con el artículo 6.1 de la LOPD tipificada como grave y del artículo 4.3 de la LOPD tipificada como grave, ambas sanciones ascendieron a 20.000€ cada una.

En su procedimiento sancionador y, previa inspección en la sede de la empresa Vodafone, quedaron acreditados los siguientes hechos:

1.- Vodafone vendió la deuda a Salus Inversiones.

2.- El cliente denunciante constaba en sus ficheros como titular de una línea que fué dada de baja por impago.

3.- Vodafone reconoce que no tiene grabación que acredite la contratación del servicio.

4.- Que en los ficheros de Vodafone consta la existencia de una deuda de 195,38€ que vende a Salus Inversiones.

5.- Que los datos del titular fueron incluidos en el fichero Asnef así como en el fichero Badexcug por Vodafone y posteriormente se produce una cesión de la deuda a Salus Inversiones.

El procedimiento incide en los siguientes argumentos:

a) Como Vodafone ha reconocido, no ha aportado ninguna prueba a tal fin – esto es, que recabó y obtuvo del afectado su consentimiento para la contratación de dicha línea vinculado a sus datos personales -; tampoco que hubiera adoptado las medidas a las que le obliga la diligencia mínima que debe observar en el tratamiento de los datos delas personas en relación con los productos de telecomunicaciones que comercializa. Es esta falta de diligencia es lo que hace recaer sobre la denunciada la responsabilidad por los hechos enjuiciados.

b)  Las normas jurídicas  ponen de manifiesto que la comunicación de los datos de un tercero a un fichero de solvencia patrimonial exige, por una parte, que la deuda sea cierta, vencida, exigible y que haya resultado impagada, y por otra, que se haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión del fichero. Conviene recordar, además, que es el acreedor el responsable de comprobar que los datos que se comunican se ajustan a los requisitos establecidos en el artículo 4 de la LOPD y su normativa de desarrollo.

En el asunto que nos ocupa resulta probado que Vodafone incorporó a sus sistemas informáticos datos personales del denunciante asociados a una línea de telefonía móvil de la que no era titular; pues la operadora, tal como expusimos, no ha probado que el afectado hubiera prestado el consentimiento inequívoco que la Ley exige para el tratamiento de sus datos. Por ello, el tratamiento posterior de esos datos, materializado además en la emisión de facturas por unos servicios que el denunciante no contrató, determinó que la operadora le imputara una deuda que, respecto del denunciante, no era cierta, ni vencida ni exigible. Posteriormente, ante el impago de la deuda generada Vodafone comunicó a los ficheros Asnef y Badexcug los datos personales del denunciante.

En el presente caso, los datos personales del denunciante fueron incluidos por Vodafone en los ficheros de solvencia Asnef y Badexcug vinculados a una deuda que era ajena al denunciante; deuda que no era cierta, ni vencida ni exigible desde la perspectiva del afectado, por cuanto no tenía la condición de deudor ya que no había prestado su consentimiento para el alta de la línea controvertida. Por ello la información comunicada por Vodafone a los ficheros Asnef y Badexcug no se ajustó al principio de exactitud y veracidad, corolario del principio de calidad del dato que proclama el artículo 4.3 de la LOPD.

Por estos motivos el Director de la AEPD resolvió sancionar con sendas multas de 20.000€ cada una de las dos infracciones cometidas.

Fuente. AGPD.

PS/00292/2014

Nueva sanción a Vodafone por incluir ilegalmente a un socio de FACUA en un fichero de morosos

Es la segunda multa de 50.000 euros que recibe la operadora en menos de tres meses tras las reclamaciones de la asociación en Málaga.

FACUA-Consumidores en Acción ha logrado que Vodafone reciba una nueva sanción de 50.000 euros de la Agencia Española de Protección de Datos (AEPD) por incluir ilegalmente a la usuaria Pilar Bermúdez en el fichero de morosos de Asnef.

Esta socia de FACUA Málaga solicitó la baja de la operadora y sin embargo siguió recibiendo cobros en su entidad sin que le llegasen las facturas ni en papel ni online. Pilar reclamó a Vodafone que le remitiera copia de las mismas, indicándoles que en el momento que dispusiera de ellas procedería a realizar el abono.“Queríamos revisar que las facturas estaban bien, nosotros no nos negábamos a pagar”, añade la afectada.

Tras la reclamación la compañía remitió a la usuaria las facturas, sin embargo ese mismo día también recibió una notificación del fichero de solvencia patrimonial Asnef-Equifax, donde se le informaba de la inclusión de sus datos en el mismo por la existencia de una deuda con Vodafone.

Ante esta situación la usuaria acudió a FACUA para denunciar su caso. Desde la asociación estudiaron los hechos y notificaron a la Agencia Española de Protección de Datos la irregularidad. Este organismo indicó que no se formuló requerimiento previo de pago a la inclusión de la usuaria en el mencionado fichero, lo que supone una vulneración de la normativa vigente en materia de protección de datos.

Debido a estos hechos la AEPD ha sancionado a Vodafone con 50.000 euros por la infracción grave cometida tras vulnerar los derechos que asisten en estos casos a los consumidores.

Es la segunda multa de 50.000 euros que recibe la operadora en menos de tres meses tras las reclamaciones de FACUA Málaga por incumplimientos de la normativa de protección de datos personales.

FACUA recuerda que los usuarios tienen derecho a recibir las facturas en papel o vía telemática si han elegido esta segunda opción. Así lo determina el Real Decreto 1619/2012, de 30 de noviembre que detalla claramente que “para la expedición de la factura electrónica es necesario siempre que previamente el destinatario haya manifestado expresamente su consentimiento a recibirlas a través de este medio”.

La asociación advierte que se pueden reclamar los recibos en papel si han dejado de llegar por este medio sin previo aviso; y que en ningún caso se puede cobrar al usuario por la emisión de este formato de facturación.

Por otra parte FACUA lleva a cabo la campaña #yonosoymoroso en la que anima a los usuarios a denunciar a las empresas que reclamen el pago de deudas fraudulentas. Los consumidores tienen a su disposición un formulario de reclamación para exigir a las autoridades sanciones ante este tipo de prácticas.

La Agencia Española de Protección de Datos indica que tal y como la ley señala los datos de un cliente sólo podrán ser incluidos en ficheros de morosos si hay «existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada».

Fuente: Facua

https://www.facua.org/es/noticia.php?Id=8403

Sanción de 6.000€ por indicar en la ventanilla del sobre «COBRO DE MOROSOS» en la reclamación de una deuda cierta.

La AEPD ha sancionado a una entidad de recobro de deudas por una infracción del artículo 9.1 de la LOPD con una multa de 6.000€.

Según se desprenden del procedimiento sancionador la empresa Seguridad en la Gestión SL recibió el encargo de la gestión de recobro de una deuda cierta que ascendía a 436,85€.

En la gestión de recobro, la entidad Seguridad en la Gestión, envío varios escritos, cinco en una primera fase, en la que la empresa de recobro intenta gestionar el recobro, en todas ellas y, siempre según el denunciante, en la tercera carta aparece en el anverso del sobre en color azul la expresión VÍA JUDICIAL, dejando patente cuál es el contenido del mismo. En la cuarta y quinta carta, el sobre ventanilla en cuyo interior se encuentra la carta, tiene estampado en el reverso en gran tamaño y color rojo “COBRO DE MOROSOS”, dejando claro ante cualquiera que pueda ver el sobre cuál es el contenido de la carta.

En el inicio de las actuaciones previas de la AEPD, la misma recibió de la empresa denunciada, escrito en el que entre otras cuestiones se venía a afirmar que:

Que una vez comprobados los registros de sus gestiones y a la vista de los sobres adjuntados al requerimiento de la Inspección de Datos comunican que “no podemos reconocerlos de ninguna manera como enviados por Seguridad en la Gestión”, ya que no existe indicación en los sobres adjuntados de que los mismos vayan dirigidos a la persona física o jurídica relacionada con la empresa o que tengan relación con el denunciante.

No es práctica habitual de Seguridad en la Gestión el envío de sobres con las indicaciones “VÍA JUDICIAL” y “COBRO DE MOROSOS”.

Nuevamente, el denunciante informa a la AEPD de los siguientes hechos:

El 28 de junio de 2011, recibe el afectado una nueva carta de Seguridad en la Gestión advirtiendo de la interposición de una demanda judicial por la cantidad adeudada, que evidentemente es su derecho. El sobre de la remisión está dentro de la más absoluta normalidad, se remite original del sobre ventanilla y de la carta. En la parte superior Izquierda del sobre consta el remitente “GRUPO SEGESTIÓN” y las direcciones de la sede central y de las siete delegaciones.

El 11 de julio de 2011, recibe el afectado una nueva en los mismos términos que las anteriores. En el sobre ventanilla de la remisión se encuentra en la parte inferior Izquierda el texto “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”, se adjunta original del sobre ventanilla y de la carta.

También se adjuntan otras cartas, de fecha agosto y septiembre de 2011, y dos sobres de ventanilla originales en los que en el anverso consta “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”.

Ante estos hechos, la AEPD se imputa a Seguridad en la Gestión SL el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Así, Seguridad en la Gestión SL está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de sus reclamaciones y requerimientos de deuda a sus clientes que no impidió de manera fidedigna que por parte de terceros se pudiera acceder a datos personales de los mismos, como es la situación de deudor moroso asociado a su nombre apellidos y domicilio completo.

El artículo 44.3.h) de la LOPD, considera infracción grave:
“Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Dado que ha existido vulneración del “principio de seguridad de los datos”, recogido en el artículo 9 de la LOPD, se considera que Seguridad en la Gestión SL ha incurrido en la infracción grave descrita.

En el caso examinado, ha quedado acreditado que Seguridad en la Gestión SL vulneró el artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar sobres con la indicación “COBRO DE MOROSOS” y “VIA JUDICIAL” en grandes caracteres que permitía su asociación con los datos personales del denunciante.

Valorados los criterios de graduación de las sanciones, establecidos en el artículo 45.4, en particular el carácter continuado de la infracción y la vinculación de la actividad de la entidad denunciada con la realización de tratamientos de datos de carácter personal, se establece la imposición de multa de 6.000 € por la infracción del artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de la LOPD, de la que Seguridad en la Gestión SL es responsable.

La AEPD sanciona con 3.900€ a un vecino de Las Palmas de G.C. por instalar 9 cámaras de videovigilancia

La AEPD ha sancionado a un vecino de Las Palmas de Gran Canaria por la instalación de nueve cámaras de videovigilancia. Según la denunciante y el informe de atestados de la Policía Local, una de las cámaras apunta directamente a su vivienda y graba a toda persona que transita por la vía pública.

La AEPD ha impuesto tres sanciones a dicho vecino por un montante de 3.900€: 2000€ por infracción del artículo 6.1; 900€ por infracción del artículo 5.1 y 1.000€ por infracción del artículo 26.1, todos ellos de la LOPD.

La AEPD se dirigió inicialmente al vecino denunciado para que aportara documentación sobre la instalación de las cámaras, pero este no contestó al requerimiento. Con posterioridad, la AEPD instó a la Policía Local a que abriera atestado sobre dicha instalación. Del citado informe se desprenden los siguientes hechos mas relevantes:

* Se identifica al responsable de la instalación.

* Se identifica a la empresa instaladora de la instalación y puesta en marcha del sistema de grabación.

* Se informa del total de cámaras instaladadas, 9 en total, así como de la ubicación de las mismas así como del hecho de contar con zoom en las mismas.

* Adjunta fotografía de la cámara así como de la ubicación de la cámara objeto de la denuncia.

* Que el denunciado no aporta croquis de instalación ni fotografías de los campos objeto de grabación de las cámaras, aunque éste afirma que solo graba su propiedad y la vía pública.

* Ausencia de inscripción del fichero en la AEPD.

Según el Procedimiento Sancionador se indica lo siguiente:

Resulta importante señalar que el sistema de seguridad que nos ocupa no se limita a la videovigilancia de entornos privados, sino que también capta imágenes de la C/…………………3 y de una vía conocida como C/……………….4. Así se desprende del análisis de las imágenes de fecha 19/04/2012 contenidas en el archivo ************, el cual fue aportado por el denunciado en el trámite de práctica de pruebas del expediente, ya que éstas muestran como dos de las cámaras ubicadas en el inmueble sito en la C/…………………1 recogen, a partes iguales, zona de parcela del denunciante como terreno del C/……………….4, mientras que una tercera cámara ubicada en dicha parcela enfoca hacia el solar sito en la C/…………………3, para lo cual capta la anchura total de la calzada de dicha vía a la altura de las parcelas propiedad del denunciado.

También ha quedado justificado que las cámaras de videovigilancia permiten la captación, grabación e identificación de las personas que acceden a las inmediaciones del solar sito en la C/…………………3, tal y como acredita la presentación por parte del denunciado de imágenes procedentes del mencionado sistema de seguridad como medio de prueba en un procedimiento judicial y se ha razonado con anterioridad.

Así, lo relevante a los efectos presentes, es que el denunciado ni cuenta con habilitación legal para captar imágenes procedentes de los reseñados espacios públicos, los cuales se encuentran fuera del ámbito de las propiedades objeto de la instalación, ni el tratamiento que se realiza de dichos espacios se considera proporcionado con la finalidad de videovigilancia dado el terreno circundante ajeno a sus propiedades que captan las tres cámaras mencionadas.

En consecuencia, al tratarse los reseñados lugares de espacios de acceso público, circunstancia relevante a los efectos presentes, resulta de aplicación lo manifestado en el Fundamento Jurídico Cuarto de la Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo, sección primera, de 20 de mayo de 2010, relativa al recurso 0000655/2009, que señalaba: “ …ello no se puede amparar en el carácter “casero” de la Instalación cuando resulta que permite grabar zonas de acceso público (independientemente de la consideración jurídica que tenga el acceso a los garajes de la Comunidad recurrente).

Atendidas las consideraciones precedentes, debe tenerse en cuenta que el tratamiento de imágenes en lugares públicos se rige por de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, cuyo artículo 1 establece: “La presente Ley regula la utilización por las Fuerzas y Cuerpos de Seguridad de videocámaras para grabar imágenes y sonidos en lugares públicos abiertos o cerrados, y su posterior tratamiento, a fin de contribuir a asegurar la convivencia ciudadana, la erradicación de la violencia y la utilización pacífica de las vías y espacios públicos, así como de prevenir la comisión de delitos, faltas e infracciones relacionados con la seguridad pública”.

En virtud de todo lo expuesto, podemos destacar que la instalación de videocámaras en lugares públicos es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad, de ahí que la legitimación para el tratamiento de dichas imágenes se complete en la Ley Orgánica 4/1997, señalándose en su artículo 2.2, en lo que hace mención a su ámbito de aplicación que “2.2. Sin perjuicio de las disposiciones específicas contenidas en la presente Ley, el tratamiento automatizado de las imágenes y sonidos se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizados de los Datos de Carácter Personal.”

Partiendo de las normativas citadas, la legitimación para el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados, mientras que la prevención del delito y la garantía de la seguridad en las vías públicas corresponden en exclusiva a las Fuerzas y Cuerpos de Seguridad. Por tanto, la regla general es la prohibición de captar imágenes de vías públicas o de la calle desde instalaciones privadas, al ser competencia de los Cuerpos y Fuerzas de Seguridad.

Por lo tanto el denunciado ha tratado y trata datos de carácter personal procedentes de las imágenes de espacios públicos captadas por las cámaras ubicadas en una de sus propiedades, sin contar con el consentimiento inequívoco de los afectados que transitan por esas zonas de la vía pública, y sin disponer de cobertura legal para ello por cuanto, como ya ha sido desarrollado, el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados.

Esta visualización y grabación de imágenes de la vía pública en un espacio superior al que se estima adecuado no encuentra justificación alguna en la normativa específica, toda vez que la seguridad demandada podría igualmente obtenerse por medios menos intrusivos para la intimidad de las personas afectadas. Es decir, estamos ante un tratamiento no proporcional y excesivo en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se obtienen las imágenes de videovigilancia, ya que la captación de varios metros de calle no resulta imprescindible para la función de vigilancia y control de bienes y propiedades y supone un tratamiento inconsentido de datos por los motivos expuestos.

Además, y en relación con la exigencia recogida en el artículo 5.1 de la LOPD, quedó acreditado la ausencia de cartel informativo con las exigencias detalladas en la Instrucción 1/2006 así como de las preceptivas hojas de información.

Y, por último, se imputa al denunciado la infracción del artículo 26 de la LOPD que dispone lo siguiente:

“1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

Por todo lo anteriormente expuesto la AEPD ha sancionado a este vecino de Las Palmas de GC con tres sanciones cuyo montante asciende a 3.900€.

Sanción de la AEPD a CANAL+ de 40.001€ por incluir erróneamente el DNI de un cliente en el ASNEF

La AEPD ha sancionado a DTS DISTRIBUIDORA DE TELEVISION DIGITAL, S.A. (Canal +) por incluir el DNI del denunciante con el de un cliente con el que la citada entidad mantenía una deuda de 55,90€, incluyendo dicho dato en el ASNEF (registro de morosos e insolventes), a pesar de haber sido advertido no le han excluido de dicho fichero ni han procedido al envío de escrito de rectificación.

Según consta en el procedimiento sancionador PS/00522/2011, quedan probados los siguientes hechos  mas relevantes:

1.- Que el denunciante manifiesta que DTS ha asignado su número de DNI (Documento Nacional de Identidad) a un cliente de la entidad que mantiene una deuda con la misma. Como consecuencia, es el denunciante quién aparece en al fichero ASNEF y no el verdadero deudor.

2.- El denunciante solicitó a DTS la rectificación, que queda en espera de resolución por la entidad y no se produce la rectificación.

3.- Que en el registro creado por motivo de la deuda, en ASNEF aparece el DNI del denunciante. Aunque el registro de deuda fue cancelado, exponiendo el motivo como «amistoso».

4.- DTS no tenía facturas pendientes ni reclamadas al denunciante.

Por tanto, ante estos hechos la AEPD recuerda en el procedimiento lo siguiente:

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, dispone en su artículo 4, bajo la rúbrica “calidad de los datos”:
“3. Los datos de carácter personal serán exactos y puestos al día de forma que responsan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaren ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.

Por otra parte, el artículo 29 de la citada Ley Orgánica establece en sus apartados 2 y 4, respectivamente:

“Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el creedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley”.

Por su parte, el Real Decreto 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, (en lo sucesivo RLOPD), dispone en el artículo 38:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada (….)

Se imputa a DTS en el presente expediente sancionador la vulneración del principio de exactitud y veracidad en relación con los datos personales que han sido informados por ella a un fichero de solvencia patrimonial y crédito, (artículo 4.3 en relación con el 29.4 de la LOPD).

Los hechos probados acreditan que DTS comunicó a ASNEF el DNI del denunciante, vinculado al nombre y apellidos de otra persona, que era el verdadero deudor de la entidad.

Resulta necesario advertir que el denunciante, cuyo número de DNI fue asociado por DTS al nombre, apellidos y domicilio de otra persona, su verdadero deudor, e informado al fichero ASNEF, no mantenía deuda alguna con la entidad informante.

Es evidente que en el presente caso DTS no ajustó su conducta a las exigencias impuestas en el precepto mencionado; condición esencial a la que la LOPD (artículo 44.3.c,) supedita la legalidad de la inclusión de los datos personales en ficheros de morosidad; toda vez que el dato relativo al DNI comunicado a ASNEF era titularidad del denunciante, quien no tenía la condición de deudor, de forma que, respecto a él, la deuda informada al fichero no era cierta, ni vencida, ni exigible.

De este modo el afectado, quien no era deudor de DTS, fue fichado como moroso erróneamente, permaneciendo incluido en el fichero ASNEF sin justificación para ello durante más de seis meses. La conducta que es contraria al principio de calidad del dato consagrado en el artículo 4.3 de la LOPD en relación con el 29.4. de la misma norma.

En esa misma línea debe destacarse la diligencia demostrada por el afectado, que con gran rapidez puso en conocimiento de la entidad los hechos acaecidos a fin de que ésta procediera a rectificar el dato inexacto y, paralelamente la lentitud de DTS en adoptar las medidas pertinentes.

Tampoco se aprecia en el asunto que nos ocupa, -no obstante la pretensión de la denunciada en tal sentido recogida en su escrito de alegaciones al acuerdo de inicio-, una actuación diligente que se haya traducido en una regularización, en un tiempo prudencial, de la situación creada.

Por ello, la AEPD ha impuesto a DTS por infracción del artículo 4.3, en relación con el artículo 29.4 de la LOPD, tipificada como grave, con una multa de 40.001€.

Fuente: AGPD.

* Cursivas: literal del procedimiento.

Sanción a un gimnasio por enviar un fichero adjunto al correo con datos de 9.293 personas

La AEPD ha sancionado a un gimnasio (O2 CENTRO WELLNESS PLENILUNIO, S.L.) por enviar un correo electrónico enviado a 334 destinatarios con un fichero adjunto que contenía los datos personales de 9.293 personas, incluidos los datos del denunciante.

El fichero contenía el nombre y apellidos, domicilio, teléfono (línea fija y móvil o celular), dirección email, NIF y sexo.

El gimnasio, una vez detectado el error, realizó un envío de un correo pidiendo disculpas por el error producido e indicando que la empresa cumple con la ley de protección de datos personales.

Aunque la empresa tenía establecido una política de confidencialidad y protección de datos, una empleada de la misma, que tenía firmado el compromiso de confidencialidad, realizó el envío de la comunicación como parte de una campaña de marketing contra la BBDD de clientes del gimnasio, que previamente habían consentido en ceder sus datos de contactos con estos fines.

La AEPD abrió procedimiento sancionador por vulneración del deber de secreto, y, según consta en el PS/00559/2011, son hechos probados los siguientes:

* Mayo del 2011 se realizó una campaña de marketing.

* Dentro de esa campaña, se realizó el envío del correo con el fichero adjunto que ha motivado la denuncia.

* La denunciante está incluida en el listado adjunto en ese correo.

* Que el gimnasio envió un correo de disculpas por el error en el envío.

* Que la empresa tiene establecida una política de confidencialidad y que la trabajadora que realizó el envío tenía firmado el parte de confidencialidad.

El artículo 10 de la LOPD dispone:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

La disposición final quincuagésima sexta “cuatro” de la Ley 2/2011, de 4 de marzo, de Economía Sostenible (BOE 5-3-2011), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD, en lugar del existente hasta su entrada en vigor, del siguiente tenor:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

No obstante, en el presente caso, atendida la naturaleza de los hechos, no se estima aplicable la previsión contenida en el mismo, considerando el número de afectados incluidos en el listado de abonados (9293 afectados) y la difusión realizada del mismo (334 destinatarios del correo electrónico que adjuntó el fichero en cuestión).

En vista de estos hechos probados, la AEPD impone sanciona por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d. de dicha norma, una multa de 3.000€.

Este procedimiento sancionador pone sobre la mesa la realidad del riesgo que corre toda entidad o responsable de ficheros que traten datos de carácter personal. No solo es necesario establecer una política de protección de datos correcta o legal, sino que es necesario ir mas allá, es decir, es necesario analizar adecuadamente los riesgos que el tratamiento de la información comporta: cuáles son las amenazas, cuáles las vulnerabilidades del sistema, cuales serían los impactos y, a partir de aquí, establecer las medidas de seguridad y las contramedidas suficientes para garantizar la integridad, disponibilidad y confidencialidad de la información de la cuál somo garantes por imperativo legal.

No hay que olvidar que la mayor parte de los errores o incidencias de seguridad, son producidas conscientes o inconcientemente por los usuarios del sistema. Por tanto, el factor humano es el principal causante de estos incidentes de seguridad. ¿Qué nos dice esto?

1.- Que no es suficiente con establecer medidas de seguridad físicas o perimetral, siendo estas obligatorias.

2.- No es suficiente con formar al personal en materia de seguridad de la información y protección de datos. Aunque esta sea una obligación que el legislador imponga al responsable del fichero sobre los usuarios que traten datos personales, en el supuesto de que se hubiera realizado las acciones formativas precisas.

3.- Es vital, no solo realizar los pasos anteriores, aspectos previstos en la Ley 15/1999 y su reglamento de desarrollo RD 1720/20007, sino ir mas allá. En esto la norma ISO 27001 lo encontramos en el punto de control 8.2, en especial el 8.2.2., ya que este punto de control establece que durante el empleo hay que concienciar, formar y entrenar sobre la seguridad de la información. Es evidente que este control no se puede limitar a una sola acción formativa, en el caso que se hubiera hecho en el caso comentado de este gimnasio. Tampoco se puede limitar a la simple firma de un protocolo o pacto de confidencialidad, en el que  el responsable del fichero comunique al usuario que hay establecida una política de seguridad y que éste deberá cumplirla.

Este punto de control va mas allá, habla de la concienciación, formación y entrenamiento. Para entender bien lo que en el fondo se quiere controlar, hay un refrán popular que dice que «la repetición es la madre de la retención», este es el espíritu de este control. No puede haber concienciación si no hay repetición. No hay formación sin repetición. No hay entrenamiento válido sin repetición. Dicho en otras palabras, la concienciación, formación y entrenamiento deberá ser una medida de seguridad continuada en el tiempo, mantenida en el espacio, porque desde el momento en que esa repetición cese, estaremos exponiendo nuestros activos de información a la mayor de las amenazas, el factor humano.

Moraleja: Hay que concienciar, formar y entrenar… «la repetición es la madre de la retención».

Fuente: AGPD.

Publicación de parte médico de incapacidad de una trabajadora en el perfil de facebook de su empresa..

La AEPD inició un procedimiento sancionador (PS/00434/2011) contra LITTE CUP SL (LA TAZZINA) por producirse la publicación en la red social Facebook de un parte médico de incapacidad temporal a su nombre, manteniéndose durante un período de entre 24 y 48 horas, apareciendo expuestos distintos datos personales referentes a la denunciante.

Constan como hechos probados mas relevantes, los siguientes: Que la empresa denunciada publicó en Facebook un parte médico de incapacidad temporal a nombre de la denunciante, manteniéndose el mismo visible entre 24 y 48 horas, apareciendo expuestos en el mismo distintos datos personales.

El artículo 6.1 de la LOPD dispone lo siguiente: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La entidad imputada no ha aportado, en consecuencia, prueba documental que acredite el consentimiento de la denunciante para que dicha entidad pudiera llevar a cabo el tratamiento de datos personales realizado. Un tratamiento que ha quedado acreditado en el expediente. 

El documento contiene el nombre y apellidos de la denunciante, junto con su número de tarjeta sanitaria, número de afiliación a la Seguridad Social, número de DNI y domicilio. Asimismo se incluye el nombre de la empresa: LITTLE CUP, S.L. y datos asociados a la baja médica. Junto a este documento, la denunciante aportó de igual modo copia impresa de los comentarios asociados a la foto, publicados por los usuarios, en particular el publicado por el usuario que administra el perfil.

Por tal razón se consideró que la empresa denunciada había infringido el artículo 6.1 de la LOPD y que es responsable de tal infracción. Teniendo en cuenta los citados criterios, en especial, el apartado b) de ese artículo 45 procede imponer a LITTLE CUP, S.L. (LA TAZZINA) la sanción de 2.000 €.

Fuente: AGPD

Sanción de 50.000€ a NCG BANCO SA (Caixa Galicia) por reclamar una deuda inexistente.

La AEPD ha sancionado a NCG BANCO, S.A. (CAIXA GALICIA) multa de 50.000 € (cincuenta mil euros) por la infracción del artículo 4.3 de la LOPD, en relación con el artículo 29.4 de la misma norma y en relación también con el artículo 38 del RLOPD. La sanción ha sido tipificada como grave.

Según consta en el procedimiento sancionador, el cliente ha denunciado la inclusión de sus datos de carácter personal en el fichero de solvencia patrimonial y crédito BADEXCUG sin requerimiento previo de pago por deuda inexistente por parte de CAJA DE AHORROS DE GALICIA (en adelante la entidad denunciada o CAIXA GALICIA y en la actualidad NCG BANCO, S.A.).

El importe de la cantidad reclamada por Caixa Galicia ascendía a 1.600,00€ iniciales, que luego ascendió finalmente a 1.613,47€.

Entre los hechos probados destacamos los siguientes:

1.- Inexistencia de la deuda, dado que la compra a financiar fue anulada por desistimiento, con devolución de los enseres previamente objeto de la operación.

2.- Que BADEXCUG atendió inicialmente el derecho de cancelación ejercido por el cliente, pero que con posterioridad, Caixa Galicia volvió a incluir la deuda en el fichero.

3.- No se acredita, por parte de Caixa Galicia, el requerimiento previo de pago a la inclusión de la deuda en el registro que gestiona BADEXCUG.

Esto supone una vulneración del principio de calidad de dato de la que debe responder CAJA DE AHORROS DE GALICIA (CAIXA GALICIA) por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra para que se incluyan y mantengan en el fichero de solvencia patrimonial y crédito.

Aunque Caixa Galicia cuenta con un sistema estandarizado y automático de envío de comunicaciones de cartas y requerimientos de pago, no se ha aportado pruebas suficientes del ejercicio del requerimiento de pago, ya que el registro informático no constituye en sí mismo una prueba del requerimiento de pago.

Fuente: AEPD

Sanción de 50.000€ a la CAM (Caja de Ahorros del Mediterráneo) por incluir como moroso a un cliente sin requerir previamente el pago..

La AEPD ha sancionado a la CAM (Caja de Ahorros del Mediterráneo) por incluir en un fichero de solvencia y crédito a un cliente por una deuda sin requerimiento previo de pago. Este hecho ha sido considerado, a juicio de la AEPD, como un hecho punible al infringirse el artículo 4.3 de la LOPD, en relación con el artículo 29.4 de la misma, y en relación, también, con el artículo 38 del RLOPD. La infracción, tipificada como grave, ha sido sancionada con una multa de 50.000€.

Según consta en el procedimiento sancionador, la CAM incluyó en el fichero de ASNEF y BADEXCUB los datos personales del cliente por una deuda de 1.206,49€ y de 462.50€.

Entre los hechos probados, según el procedimiento sancionador, podemos destacar los siguientes aspectos:

1.- Que el Defensor de Cliente de las Cajas Valencianas resolvió  la reclamación presentada por el CLIENTE contra la CAJA DE AHORROS DEL MEDITERRANEO por incidencias en dicho préstamo, considerando que esta entidad “ha incurrido en una irregular práctica bancaria” (folios 6 a 10). En dicha Resolución se dice que:

“Además la entidad no ha acreditado ante este Defensor que previamente a la inclusión de la reclamante en el fichero BADEXCUG se le notificara esta decisión”, según criterio al respecto del Banco de España y expuesto en sus memorias anuales (folio 8).

2.- Que CAJA DE AHORROS DEL MEDITERRANEO por otra parte no ha aportado a esta Agencia Española de Protección de Datos documentación que acredite que llevara a cabo requerimientos de pago a su cliente por las deudas importes 1.206,49 € y 462,50 €, respectivamente, y con carácter previo a la inclusión de sus datos de carácter personal (en concreto nombre, apellidos, domicilio y núm. de DNI) en los ficheros de solvencia patrimonial y crédito ASNEF Y BADEXCUG.

Los hechos anteriormente relatados son contrarios al principio de calidad de dato consagrado en el artículo 4.3 en relación con el 29.4 de la LOPD y en relación también con el artículo 38 del RLOPD, toda vez que CAJA DE AHORROS DEL MEDITERRANEO mantuvo indebidamente los datos de la denunciante en sus propios ficheros y, posteriormente, los comunicó al fichero de solvencia ASNEF y BADEXCUG, sin que dicha inscripción hubiese respondido a su situación de entonces (“actual”), al no cumplir con los requisitos establecidos en la normativa precitada sobre protección de datos de carácter personal.

Todo ello, sin que los datos mantenidos en el fichero de CAJA DE AHORROS DEL MEDITERRANEO respondiera a la situación actual de la denunciante, pues la caja de ahorros incluyó sus datos personales en ASNEF y BADEXCUG sin el preceptivo requerimiento previo de pago con advertencia efectiva de que podía producirse dicha inclusión como morosa.

Esto supone una vulneración del principio de calidad de dato de la que debe responder CAJA DE AHORROS DEL MEDITERRANEO por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra para que se incluyan y mantengan en el fichero de solvencia patrimonial y crédito.

Hay que recordar que el artículo 29.4 de la LOPD dice:

«Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos.»

Así también, el artículo 38 del RLOPD bajo el epígrafe, «Requisitos para la inclusión de los datos» relativos al cumplimiento o incumplimiento de obligaciones dinerarias, dice lo siguiente:

Artículo 38. Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.