PROTEC-DATOS
Sanciones LOPD Canarias
El Ayuntamiento de San Cristóbal de La Laguna deniega el derecho de acceso a una ciudadana a su historia clínica
La AEPD ha abierto un procedimiento de tutela de derecho ante el M.I. Ayuntamiento de San Cristóbal de La Laguna por la reclamación presentada por una ciudadana que había acudido a la Unidad de la Mujer de los Servicios Sociales del Ayuntamiento de San Cristóbal de la Laguna. La denunciante había solicitado “copia de la información clínica correspondiente a la asistencia psicológica de la que fue beneficiaria en el Centro Asesor de la Mujer (…)”, sin que su solicitud haya recibido la contestación legalmente establecida.
La AEPD trasladó al Ayuntamiento de La Laguna dicha reclamación, y éste argumentó que la no entrega de la copia de la información clínica, se debía a:
Manifiesta que los informes solicitados por la reclamante, entre abril de 2008 y diciembre de 2009, fueron generados por la asociación que en esas fechas gestionaba el servicio, obrando notas manuscritas de las distintas profesionales que la atendieron en ese momento pertenecientes a la mencionada asociación y que en su mayor parte son ininteligibles, sin que éstas puedan tener mayor consideración ya que no se encuentran debidamente suscritas.
El artículo 15 de la LOPD dispone que:
“1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.”
El artículo 27 del RLOPD regula el derecho de acceso en los siguientes términos:
«1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se está realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
2. En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento. No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una realización una relación de todos ellos.
3. El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.»
El artículo 29 del RLOPD dispone lo siguiente en relación al plazo en que el responsable del fichero debe resolver la solicitud de acceso:
“1. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.
El derecho de acceso en relación con la historia clínica se regula específicamente en el artículo 18 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica , cuyo tenor literal expresa:
“1. El paciente tiene derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos.
Queda acreditado que la reclamante ejercitó su derecho de acceso ante la entidad demandada, y que, trascurrido el plazo establecido conforme a las normas antes señaladas, su solicitud no obtuvo la respuesta legalmente exigible.
Por tanto, ante estos hechos la AEPD ESTIMA la reclamación formulada por la denunciante e insta a AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la reclamante certificación en la que se facilite el acceso completo a sus datos, o deniegue motivada y fundamentadamente el acceso solicitado, pudiendo incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD.
La AEPD apercibe a un bar de Santa Cruz de Tenerife por contar con un monitor de videovigilancia que muestra las imágenes captadas a terceros
El pasado mes de junio la AEPD ha procedido a apercibir a un establecimiento hostelero de Santa Cruz de Tenerife que contaba con un sistema de videovigilancia con 8 cámaras, 7 en su interior y otra mas en la entrada del local pero visionando parte de la vía pública. Además, en su interior, junto a la cabina de sonido del establecimiento, el local contaba con un monitor de visionado de los campos visuales captados por las ocho cámaras, estando las imágenes al alcance de los clientes del establecimiento.
La inspección de la AEPD requirió el informe de la situación del sistema de videovigilancia de este establecimiento, después que se recibiera denuncia de un ciudadano al comprobar que una cámara enfocaba hacia la vía pública, siendo él objeto de grabación sin su consentimiento. Dicho informe fué remitido por el Cuerpo Nacional de Policía, adcritos a la comisaría de La Laguna.
Entre los hechos probados mas relevantes, el procedimiento destaca los siguientes:
1.- El local cuenta con carteles de aviso de zona videovigilada.
2.- El preceptivo fichero estaba inscrito en el RGPD.
3.- El local dispone de un monitor donde se visualizan las imágenes de las cámaras y un sistema de almacenamiento de imágenes todo ello situado en la cabina del encargado de poner la música junto al mando que acciona el movimiento y el zoom de la cámara número dos.
Ante estos hechos, se imputó al titular del establecimiento hostelero, la comisión de dos infracciones de la normativa de protección de datos.
Por un lado, la comisión de infracción del artículo 6.1 de la LOPD, que dispone que:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
En el caso que nos ocupa, tanto de la información facilitada por el Cuerpo Nacional de Policía en fase de actuaciones previas como de las alegaciones del denunciado aportadas a este expediente en trámite de audiencia previa, se deriva que hay un videocámara instalada en el puerta de acceso del local que visualiza la acera (vía pública) y la calzada anexa (tal y como se aprecia en la copia de la imagen captada por esta cámara y visualizada en el monitor), pudiendo captar a los transeúntes que allí se encuentren o por allí pasen. Así pues, se visualiza vía pública sin que conste en el expediente que el denunciado cuenta con el
consentimiento de las personas afectadas. Por esta razón, los hechos expuestos podrían suponer una infracción del artículo 6.1 de la LOPD anteriormente expuesto.
Así el artículo 4.3 de la Instrucción 1/2006 dispone:
“3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.”
El artículo 44.3.b) de la LOPD considera infracción grave:
“Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.
No consta que dicho responsable tenga legitimación para el tratamiento de las imágenes captadas en vía
pública, pudiendo realizar un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos. Tampoco consta que cuente con el consentimiento de los afectados cuyos datos personales se tratan por las cámaras instaladas, tal y como establece el artículo 6.1 de la LOPD.
No obstante durante la tramitación de este procedimiento, el denunciado ha aportado copia de la imagen que capta la cámara controvertida en el monitor donde se visualiza para acreditar la reorientación de la misma, de tal forma que ha limitado el enfoque de esta cámara que ahora capta el espacio imprescindible para poder realizar un control o vigilancia de la entrada y acceso al local.
En segundo lugar, se imputa al titular del establecimiento , la comisión de una infracción del artículo 4.1 de la LOPD.
La LOPD regula en su artículo 4 el principio de calidad de datos, que contiene a su vez el principio de proporcionalidad, aplicable al supuesto de hecho que nos ocupa, en lo relativo a la visualización de las imágenes captadas por las ocho cámaras instaladas, en un monitor situado en el cabina de música del establecimiento a la vista del responsable del fichero y de la persona que se ocupa de pinchar la música en el bar que tal y como manifiesta el denunciado, no siempre es la misma, es decir que las imágenes son visibles por un número de personas desconocido.
La LOPD garantiza el cumplimiento del principio de proporcionalidad en todo tratamiento de datos personales, cuando señala en su artículo 4 que:
“1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
El principio de proporcionalidad también aparece recogido en la Instrucción 1/2006, en su artículo 4, cuyo contenido establece que:
«1. De conformidad con el artículo 4 de la Ley Orgánica de Protección de Datos de Carácter Personal, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras
o videocámaras.
2. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.
3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.
El cumplimiento del principio de proporcionalidad, está íntimamente ligado a la finalidad perseguida con el establecimiento de un sistema de videovigilancia, que en todo caso deberá ser legítima y proporcionada.
En este sentido, hemos destacado que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones <<si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es
ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.
En el caso que nos ocupa, del escrito de alegaciones del denunciado se deriva que reconoce los hechos, que las imágenes que captan las cámaras se visualizan en un monitor situado en la cabina de música, porque es el único lugar donde siempre hay algún empleado o el propietario de forma habitual, pudiendo por tanto, ser accesibles a todas las personas que lleven a cabo la función de pinchadiscos en el bar denunciado.
En este monitor se recogen las imágenes de las ocho cámaras instaladas en el establecimiento, la cantidad de datos personales que se tratan tanto por el responsable del fichero, como por toda persona que visualice este monitor supone un tratamiento desproporcionado, no pertinente y excesivo en relación con la finalidad de seguridad que se persigue. La situación descrita vulnera de forma directa el principio de proporcionalidad. Tal y como se ha indicado anteriormente, la imagen es un dato personal y el tratamiento de los datos personales exige, en principio el consentimiento de los afectados. La captación de imágenes de personas es un tratamiento de datos y por tanto está sometida a las exigencias de la normativa de protección de datos, entre ellas la proporcionalidad, la adecuación y pertinencia de los datos tratados para la finalidad que se recogen.
El artículo 44.3.c) de la LOPD tipifica como infracción grave:
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”
En este supuesto ha quedado acreditado que el monitor donde se visualizan las imágenes captadas por las cámaras se encuentra situado en un lugar accesible a personas diferentes del denunciado, como es la cabina de música del establecimiento.
Ambos casos, la falta de consentimiento que exige el artículo 6.1, así como el incumplimiento del principio de proporcionalidad que exige el artículo 4 de la LOPD, son constitutivos de infracción grave.
¿Por qué no se sanciona dichas acciones y solo se apercibe?.
Con la reforma del Título VII de la LOPD, apareció en escena la figura del apercibimiento. La disposición final quincuagésima sexta de la Ley 2/2011 de 4 de marzo de EconomíaSostenible (BOE 5-3-2011) (LES), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD en lugar del existente hasta su promulgación del siguiente tenor:
“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”.
No obstante, en relación con la infracción del artículo 6.1 de la LOPD, debido a que el imputado ha cumplido con la obligación de reorientar la cámara controvertida para que la misma capte únicamente el espacio imprescindible de la vía pública situado en la entrada del local, no se insta por parte de esta Agencia la adopción de una concreta medida correctora en lo que se refiere a la infracción de este artículo.
En relación a la infracción del artículo 4.1 de la LOPD la AEPD insta que acredite en el plazo de un mes desde el acto de notificación:
cumpla lo previsto en el artículo 4.1 de la LOPD, para lo que se abre expediente de actuaciones previas E/03908/2012, advirtiéndole que en caso contrario se procederá a acordar la apertura de un procedimiento sancionador.
En concreto se insta al denunciado a justificar: la retirada de la zona de la cabina de música, del monitor donde se visualizan las imágenes captadas por las cámaras instaladas en su establecimiento, para que las mismas no sean accesibles a un número indeterminado de personas (los encargados de poner la música en el local); o la limitación del número de las personas que pueden visualizar las imágenes en tiempo real, incluyendo en el documento de seguridad la identificación de las personas que pueden visualizar las imágenes captadas por las ocho cámaras instaladas en el establecimiento.
La AEPD sanciona con 3.900€ a un vecino de Las Palmas de G.C. por instalar 9 cámaras de videovigilancia
La AEPD ha sancionado a un vecino de Las Palmas de Gran Canaria por la instalación de nueve cámaras de videovigilancia. Según la denunciante y el informe de atestados de la Policía Local, una de las cámaras apunta directamente a su vivienda y graba a toda persona que transita por la vía pública.
La AEPD ha impuesto tres sanciones a dicho vecino por un montante de 3.900€: 2000€ por infracción del artículo 6.1; 900€ por infracción del artículo 5.1 y 1.000€ por infracción del artículo 26.1, todos ellos de la LOPD.
La AEPD se dirigió inicialmente al vecino denunciado para que aportara documentación sobre la instalación de las cámaras, pero este no contestó al requerimiento. Con posterioridad, la AEPD instó a la Policía Local a que abriera atestado sobre dicha instalación. Del citado informe se desprenden los siguientes hechos mas relevantes:
* Se identifica al responsable de la instalación.
* Se identifica a la empresa instaladora de la instalación y puesta en marcha del sistema de grabación.
* Se informa del total de cámaras instaladadas, 9 en total, así como de la ubicación de las mismas así como del hecho de contar con zoom en las mismas.
* Adjunta fotografía de la cámara así como de la ubicación de la cámara objeto de la denuncia.
* Que el denunciado no aporta croquis de instalación ni fotografías de los campos objeto de grabación de las cámaras, aunque éste afirma que solo graba su propiedad y la vía pública.
* Ausencia de inscripción del fichero en la AEPD.
Según el Procedimiento Sancionador se indica lo siguiente:
Resulta importante señalar que el sistema de seguridad que nos ocupa no se limita a la videovigilancia de entornos privados, sino que también capta imágenes de la C/…………………3 y de una vía conocida como C/……………….4. Así se desprende del análisis de las imágenes de fecha 19/04/2012 contenidas en el archivo ************, el cual fue aportado por el denunciado en el trámite de práctica de pruebas del expediente, ya que éstas muestran como dos de las cámaras ubicadas en el inmueble sito en la C/…………………1 recogen, a partes iguales, zona de parcela del denunciante como terreno del C/……………….4, mientras que una tercera cámara ubicada en dicha parcela enfoca hacia el solar sito en la C/…………………3, para lo cual capta la anchura total de la calzada de dicha vía a la altura de las parcelas propiedad del denunciado.
También ha quedado justificado que las cámaras de videovigilancia permiten la captación, grabación e identificación de las personas que acceden a las inmediaciones del solar sito en la C/…………………3, tal y como acredita la presentación por parte del denunciado de imágenes procedentes del mencionado sistema de seguridad como medio de prueba en un procedimiento judicial y se ha razonado con anterioridad.
Así, lo relevante a los efectos presentes, es que el denunciado ni cuenta con habilitación legal para captar imágenes procedentes de los reseñados espacios públicos, los cuales se encuentran fuera del ámbito de las propiedades objeto de la instalación, ni el tratamiento que se realiza de dichos espacios se considera proporcionado con la finalidad de videovigilancia dado el terreno circundante ajeno a sus propiedades que captan las tres cámaras mencionadas.
En consecuencia, al tratarse los reseñados lugares de espacios de acceso público, circunstancia relevante a los efectos presentes, resulta de aplicación lo manifestado en el Fundamento Jurídico Cuarto de la Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo, sección primera, de 20 de mayo de 2010, relativa al recurso 0000655/2009, que señalaba: “ …ello no se puede amparar en el carácter “casero” de la Instalación cuando resulta que permite grabar zonas de acceso público (independientemente de la consideración jurídica que tenga el acceso a los garajes de la Comunidad recurrente).
Atendidas las consideraciones precedentes, debe tenerse en cuenta que el tratamiento de imágenes en lugares públicos se rige por de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, cuyo artículo 1 establece: “La presente Ley regula la utilización por las Fuerzas y Cuerpos de Seguridad de videocámaras para grabar imágenes y sonidos en lugares públicos abiertos o cerrados, y su posterior tratamiento, a fin de contribuir a asegurar la convivencia ciudadana, la erradicación de la violencia y la utilización pacífica de las vías y espacios públicos, así como de prevenir la comisión de delitos, faltas e infracciones relacionados con la seguridad pública”.
En virtud de todo lo expuesto, podemos destacar que la instalación de videocámaras en lugares públicos es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad, de ahí que la legitimación para el tratamiento de dichas imágenes se complete en la Ley Orgánica 4/1997, señalándose en su artículo 2.2, en lo que hace mención a su ámbito de aplicación que “2.2. Sin perjuicio de las disposiciones específicas contenidas en la presente Ley, el tratamiento automatizado de las imágenes y sonidos se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizados de los Datos de Carácter Personal.”
Partiendo de las normativas citadas, la legitimación para el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados, mientras que la prevención del delito y la garantía de la seguridad en las vías públicas corresponden en exclusiva a las Fuerzas y Cuerpos de Seguridad. Por tanto, la regla general es la prohibición de captar imágenes de vías públicas o de la calle desde instalaciones privadas, al ser competencia de los Cuerpos y Fuerzas de Seguridad.
Por lo tanto el denunciado ha tratado y trata datos de carácter personal procedentes de las imágenes de espacios públicos captadas por las cámaras ubicadas en una de sus propiedades, sin contar con el consentimiento inequívoco de los afectados que transitan por esas zonas de la vía pública, y sin disponer de cobertura legal para ello por cuanto, como ya ha sido desarrollado, el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados.
Esta visualización y grabación de imágenes de la vía pública en un espacio superior al que se estima adecuado no encuentra justificación alguna en la normativa específica, toda vez que la seguridad demandada podría igualmente obtenerse por medios menos intrusivos para la intimidad de las personas afectadas. Es decir, estamos ante un tratamiento no proporcional y excesivo en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se obtienen las imágenes de videovigilancia, ya que la captación de varios metros de calle no resulta imprescindible para la función de vigilancia y control de bienes y propiedades y supone un tratamiento inconsentido de datos por los motivos expuestos.
Además, y en relación con la exigencia recogida en el artículo 5.1 de la LOPD, quedó acreditado la ausencia de cartel informativo con las exigencias detalladas en la Instrucción 1/2006 así como de las preceptivas hojas de información.
Y, por último, se imputa al denunciado la infracción del artículo 26 de la LOPD que dispone lo siguiente:
“1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
Por todo lo anteriormente expuesto la AEPD ha sancionado a este vecino de Las Palmas de GC con tres sanciones cuyo montante asciende a 3.900€.
Telefónica es sancionada con 30.000€ por usar sin consentimiento los datos de un cliente de Tenerife
Telefónica Móviles de España SA, en adelante TME, ha sido sancionada por la AEPD por infracción del artículo 6.1 de la LOPD y se le ha impuesto una multa de 30.000€.
Según consta en el procedimiento sancionador abierto por la AEPD, PS/00540/2011, Teléfonica usó sus datos personales para dar de alta una línea de teléfono sin su consentimiento, facturando al denunciado durante varios meses servicios y consumo que no había contratado.
El propio departamento de fraude de la compañía detectó el incidente ante la reclamación presentada por el denunciante, vecino de Santa Cruz de Tenerife, y procedió a la anulación de las facturas emitidas.
TELEFÓNICA MÓVILES ESPAÑA, no aporta documentación que permita comprobar la identificación del cliente que dio de alta la línea y firmó el contrato.
La firma del contrato aportado, no coincide con la firma de la copia del DNI, ni con la de la denuncia presentada ante la Agencia Española de Protección de Datos por el denunciante.
El contrato de la línea fue realizado por el distribuidor HELIO TENERIFE NORTE. S.L. con la que TME suscribió el 01/11/1999 un contrato de promoción comercial.
Se imputa a TELEFÓNICA MÓVILES ESPAÑA el tratamiento sin consentimiento de los datos personales de la denunciante. El artículo 6 de la LOPD, determina:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
El tratamiento de datos sin consentimiento constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo), “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.
Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y tratamiento de sus datos personales y a saber de los mismos.
En el presente caso el denunciante niega haber contratado con TME el servicio de la línea en consonancia con la actitud mantenida para con ésta y acreditada en el expediente, referente a la no solicitud del servicio:
– Denuncia ante esta Agencia.
– El denunciante niega la contratación.
– El denunciante manifiesta en fase de prueba del procedimiento que las firmas que figuran en el
contrato de la línea no son suyas.
Todas estas circunstancias son indicios que evidencia un tratamiento de datos sin el consentimiento de la denunciante. Conviene reseñar la virtualidad de la prueba indiciaria, cuya admisión en el procedimiento administrativo sancionador se admite en la Sentencia del Tribunal Constitucional núm. 45/1997 (Sala Primera), de 11 de marzo (RTC 1997,45). Así los requisitos necesarios para su admisión vienen desarrollados, con cita de la doctrina del Tribunal Supremo, por la Sentencia del TSJ de Andalucía, núm. 255/2003 de 27 de enero, que dice: “Sobre ella precisar que la jurisprudencia constitucional y la de la Sala 2ª del TS han perfilado los requisitos necesarios para que la prueba indiciaria pueda ser apreciada como tal y que pueden resumirse en los siguientes extremos:
1º- Que el hecho base no se único, pues uno solo podría inducir a error – STC núm. 111/1990 de 18 de junio (RTC1990, 111);
2º- Que estos hechos estén directamente acreditados – SSTS de 18 y24 de enero de 1991 ( RJ 1991,282)- ; y
3º Que la inferencia no quebrante las reglas de la lógica, de otra disciplina o de la experiencia general – STC 107/1989 de 8 de junio y 510/1989 de 10 de marzo ( RTC 1985,510) …………” Para que el tratamiento de los datos del denunciante por parte de TME resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada.
Sin embargo, según manifiesta el denunciante nunca formalizó contrato alguno con TME de la línea, ni consintió el tratamiento de sus datos personales. TME no ha presentado ninguna prueba que pueda evidenciar que contaba con el consentimiento del denunciante o relación contractual que le exima del mismo, ya que el contrato que se ha aportado tiene unas firmas que el denunciante no reconoce como propias.
Este contrato recoge explícitamente la documentación (contrato firmado, copia de DNI, y de documentos acreditativos de los datos de cobro) que el distribuidor debe recabar y remitir a TME en el proceso de formalización de los contrato de abono a los servicios. TME ha aportado a esta Agencia como prueba de la contratación efectuada copia de un contrato con los datos personales del denunciante, sin aportar copia del DNI y documentos acreditativos de los datos de cobro del denunciante a pesar de ser dicha entidad la que exige dichos documentos a los distribuidores en el proceso de alta de sus servicios. Corresponde por tanto a TME desplegar la diligencia debida para comprobar la autenticidad del contrato, es decir, que el consentimiento está obtenido válidamente, a través de la comprobación del cumplimiento de los requisitos de contratación por ella misma exigidos a los distribuidores y que en este caso no se ha producido.
En cuanto al contrato firmado aportado por TME debe reiterarse que los indicios probatorios obrantes en el expediente indican que no fue suscrito por el denunciante.
TME trató los datos personales del denunciante sin su consentimiento por lo que se ha vulnerado el principio del consentimiento previstos en el artículos 6 de la LOPD. La conculcación de este principio supone la comisión de la infracción grave prevista en el transcrito artículo 44.3.b).
Ello ha llevado a la AEPD a imponer a TME por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 30.000€ (treinta mil euros) de acuerdo a lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
Fuente: AGPD.
Telefónica Móviles es sancionada por la AEPD por incluir los datos de una deuda inexistente de una vecina de Las Palmas de G.C. en el registro de morosos.
La Agencia de Protección de Datos ha sancionado a Telefónica Móviles España SA por haber realizado la contratación de un servicio de línea y la postarior facturación de consumo de esa línea a una vecina de Las Palmas de Gran Canaria, por un línea que nunca contrató y por un consumo que no realizó.
Según consta en el procedimiento sancionador (PS/00393/2011), Telefónica reconoce que su departamento de fraude detectó y corrigió la situación denunciada, anulando la deuda que se había generado de 497,23€ y que había trasladado a la denunciante.
No aparece ni constan el contrato (o la grabación de la contratación) de la línea.
Entre los hechos probados, destacan:
1.- Que Telefónica, a través de una asesoría jurídica, reclama a la denunciante la deuda antes citada.
2.- Telefónica emite sendas facturas y envía avisos de pago a la denunciada.
3.- Que ante el arbitraje solicitado ante la Junta Arbitral de Canarias, Telefónica comunica que había procedido a la anulación de las citadas facturas; y se cursa solicitud para su no inclusión en los registros de impagados.
4.- Con posterioridad al arbitraje, los servicios jurídicos contratados por Telefónica requieren nuevamente el pago de la deuda antes de proceder a la vía judicial.
5.- Consta también, con fecha posterior al arbitraje, la inclusión de la deuda en el registro de impagados de EXPERIAN.
Ante estos hechos, el procedimiento sancionador se abrió por infracción del artículo 6.1 por falta de consentimiento del titular del derecho; así como infracción del artículo 4.3..
TELEFONICA no ha acreditado en el procedimiento que cuente con el consentimiento del denunciante para el tratamiento de sus datos personales, materializado en el alta en la línea telefónica asociada al nº, ni que cuente con habilitación legal para ello. Dicho tratamiento de datos vulnera el principio del consentimiento recogido en el artículo 6.1 de la LOPD, por cuanto que el mismo ni se realizó con el consentimiento del denunciante, ni concurre en el supuesto examinado ninguna de las circunstancias previstas en el artículo 6.2 de la LOPD que permitirían a TELEFONICA tratar los datos de la denunciante sin su consentimiento.
El artículo 4.3 de la LOPD, dispone que: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.
La obligación establecida en el artículo 4.3 transcrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.
El artículo 38.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, señala que:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.
b. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.
c. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación”.
Y el artículo 39 del Reglamento de desarrollo de la LOPD establece que:
“El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias”.
En el presente caso, ha quedado acreditado que los datos personales de la denunciante figuraron en los ficheros de solvencia, informados por TELEFONICA, como consecuencia de una deuda cuyo saldo impagado ascendía a 497,23 euros, por una operación de telecomunicaciones y en calidad de titular, sin que la deuda informada fuera cierta, vencida y exigible: en primer lugar, porque consta acreditado que la denunciante no era cliente de la entidad; en segundo lugar, por las propias manifestaciones de la entidad al indicar, en respuesta ofrecida a la JJAA de Canarias, de fecha 26/01/2011 que “analizado el expediente de la Sra. y los datos disponibles en nuestros archivos, verificamos que la línea de referencia causó baja total con fecha de efectividad 06/08/2009. Asimismo les comunico que, de acuerdo a la documentación aportada, procedemos, con fecha de hoy, tramitar la anulación de las facturas julio, agosto y septiembre 2009, pendientes de abono en este momento, por posible suplantación de personalidad. Para concluir, cursamos las instrucciones oportunos para excluir los datos de la cliente de cualquier fichero de solvencia en los que estuviera incluida”, según consta en el hecho probado séptimo.
No obstante, a pesar de la respuesta ofrecida al citado organismo arbitral, el proceder de TELEFONICA fue el opuesto: continuó tratando los datos de la denunciante, trasladándolos a empresas dedicadas al recobro de deudas, quienes procedieron al envío de requerimientos de pago inquiriendo y conminándole al pago de una deuda que no le correspondía y que no existía pues las facturas habían sido anuladas y, además, enviándole un escrito de demanda de inicio de procedimiento monitorio dirigido al Juzgado de Primera Instancia que por turno le correspondiera y, como corolario, procediendo nuevamente a la inclusión de los datos en los ficheros de solvencia patrimonial y de crédito ASNEF y BADEXCUG.
Ambas infracciones han sido tipificadas como graves, atendiendo según el artículo 44.3b. de la LOPD, y se han impuesto dos sanciones de 50.000€, una por infracción del principio de consentimiento y otra por infracción del principio de calidad.
Fuente: AGPD
Telefónica de España sanciona por incluir datos por deuda inexistente en el registro de morosos
La Agencia Española de Protección de datos ha sancionado a Telefónica de España por incluir los datos personales de un cliente en una lista de morosos por una deuda inexistente y por la facturación de un servicio de telecomunicaciones que no había contratado.
La AEPD inició procedimiento sancionador con Telefónica de España (en adelante Telefónica) (PS/00451/2011) ante la denuncia presentada por un ciudadano por la inclusión de sus datos en el fichero de ASNEF. El denunciante se puso en contacto con Telefónica para indicarles que hacía mas de 14 años que no era cliente de esa empresa. Nunca había contratado dicho servicio y nunca había residido en Pontevedra (donde se había realizado la gestión).
Solicitó acceso al fichero ASNEF y figuraba en el mismo un apunte de una deuda de 449,24€. A través de la OMIC de Santa Lucía (Gran Canaria) realizó una reclamación a Telefónica, contestando esta que iban a solventar el asunto. Pasado unos meses, se vuelve a instar a Telefónica, quien después de varias reclamaciones le indica que no existe ninguna deuda registrada en el fichero de impagados.
Nuevamente tiene conocimiento de que se ha incluido una nueva deuda en el ASNEF de 357,42€, volviendo a aparecer una dirección de Pontevedra en el apunte. Presenta nueva reclamación ante Telefónica que hace caso omiso, y ante ASNEF, quien sí procede a la cancelación del registro.
Esta situación comenzó en el 2006, aunque no tuvo conocimientos de los hechos hasta el 2008, y ha traído como consecuencias la imposibilidad de financiar cualquier producto o servicio por parte del denunciado.
Se consideraron hechos probados mas relevantes, los siguientes:
1.- Telefónica reconoce el error en la facturación reclamada de 449,24€ y procedió a realizar un abono, a fin de anular la deuda.
2.- Tiempo después, consta en el ASNEF una deuda de 357,42€, por una línea que niega haber contratado.
3.- Que habiendo solicitado a Telefónica la anulación de esa deuda, ésta afirma que esos datos no figuran en ningún registro de impagados.
4.- Telefónica no aporta el contrato por el servicio que dió lugar a la reclamación.
Por estas razones, la AEPD inició procedimiento sancionador contra Telefónica por:
Se imputa a TELEFONICA el tratamiento sin consentimiento de los datos personales del denunciante. El artículo 6 de la LOPD, determina: “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.»
En el presente caso el denunciante niega haber contratado los servicios de TELEFONICA de la línea, y esta no ha aportado prueba alguna que lo acredite más allá de que sus datos personales obran en sus ficheros asociados a dicha línea pero sin dar cuenta de su origen, esto es no ha aportado contrato suscrito por el denunciante, o grabación de voz en el caso de que la contratación se hubiera efectuado telefónicamente. Tampoco ha aportado boletín de instalación de la línea y servicios activados en un domicilio, que por otra parte el denunciante niega que nunca hubiera sido el suyo.
En base a lo expuesto en los fundamentos de derecho anteriores TELEFONICA ha realizado un tratamiento de los datos personales del denunciante sin su consentimiento al haber quedado acreditado que la entidad imputada trató los datos de carácter personal del mismo en sus propios ficheros, de los que la operadora tiene la consideración de responsable, utilizándolos para emisión de nueve facturas de la línea.
El denunciante niega tener relación contractual con TELEFONICA relativa a la línea, y ésta no ha podido acreditar la existencia de la misma, ni dar razón del tratamiento de sus datos personales en sus ficheros sin que medie contrato ni consentimiento de la misma.
El artículo 4 de la LOPD señala en su apartado 3: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado” y en su apartado 4 prescribe: “Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.
La obligación establecida en el artículo 4 transcrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan en todo momento a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.
TELEFONICA ha sido responsable del tratamiento de datos en sus propios ficheros, de su comunicación a través de tratamientos automatizados al responsable del fichero común y de que el tratamiento automatizado de la información relativa al denunciante no responda a los principios de calidad de datos recogidos en el artículo 4 de la LOPD (exigencia de que los datos sean exactos y respondan a la situación actual de los afectados).
Conforme a lo expuesto, el imputado no se ha limitado a transmitir la información al responsable del fichero común sobre solvencia patrimonial, sino que ha tratado automatizadamente los datos de solvencia en sus propio.s ficheros, los ha comunicado a través de tratamientos automatizados al fichero común, y, particularmente, ha decidido sobre la finalidad del tratamiento (la calificación en sus ficheros como deudor), el contenido de la información, y el uso del tratamiento (la incorporación a un fichero común de información sobre solvencia patrimonial y crédito al que pueden acceder terceras entidades para realizar una evaluación o perfil económico de las personas incorporadas al mismo).
Todo ello sin que los datos comunicados fueran exactos pues la deuda no era no cierta ni exigible al denunciante. Ello supone una vulneración del principio de calidad de datos de la que debe responder TELEFONICA por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra al fichero de solvencia patrimonial y crédito.
Por estas razones, la AEPD ha impuesto dos sanciones a Telefónica, la primera por infracción del principio de consentimiento, artículo 6.1 por importe de 50.000€; y la segunda, por infracción del principio de calidad de los datos, artículo 4.3, por importe de 50.000€.
Fuente: AGPD
El Cabildo Insular de Lanzarote infringe el deber de secreto al filtrar datos personales en un comunicado de prensa
Según consta en el expediente sancionador AAPP/00045/2011, la Agencia Española de Protección de Datos ha sancionado al Cabildo Insular de Lanzarote por una infracción del artículo 10 de la LOPD relativo al incumplimiento por parte de esa administración pública del deber de secreto.
Según consta en el citado expediente, el Cabildo de Lanzarote hizo entrega de un documento en pdf que contenía un listado de todos los abogados que habían trabajado para esta administración pública y los honorarios percibidos desde 1997 a 2010. Este documento fue distribuido por el Gabinete de Prensa del Cabildo a distintos medios, entre ellos a «La voz de Lanzarote» y otros siete. Este documento incluía los nombres y apellidos de los profesionales así como cantidades percibidas por los mismos.
Ante la denuncia presentado por uno de los abogados afectados ante la AEPD, esta inició las actuaciones previas. Llama poderosamente la atención la dejación que hace el Cabildo al requerimiento que hace la propia AEPD, tanto al del 11 de mayo como al del 8 de julio.
Quedando como hechos probados, según el expediente sancionador, los siguientes hechos mas relevantes:
1.- Que para refutar una denuncia, el Cabildo aporta una lista en pdf con los nombres y apellidos, así como los emolumentos percibidos por los abogados desde 1997 a 2010.
2.- Que el documento en pdf fue recepcionado por los medios informativos y quedó accesible a toda persona que leyó la noticia en los medios digitales, al incluir estos un enlace al documento.
3.- En la citada relación, aparecen los datos del denunciante.
4.- Que el Gabinete de Prensa del Cabildo hizo difusión de ese documento a distintos medios informativos.
5.- Que el motivo que llevó al Cabildo a dicha difusión de ese documento fue desmentir unas manifestaciones previas del Grupo Socialista del Cabildo, en relación con el pago de emolumentos a un abogado con un montante de mas 300.000€.
Según establece la propia redacción del artículo 10 de la Ley 15/1999, de 13 de diciembre, “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.
Dado el contenido del citado artículo 10 de la LOPD, ha de entenderse que el mismo tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos.
El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la protección de datos y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.
No obstante existen límites al no secreto de los datos como los que pueden entrar por el artículo 11 de la LOPD al señalar: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.
Señalando el apartado 2 de dicho artículo que el consentimiento exigido en el apartado anterior no será preciso: “ a) Cuando la cesión esté autorizada por una ley”.
En el supuesto analizado no existe Ley alguna que permita trasladar los datos personales del denunciante referidos a las cuantías que anualmente ha percibido por parte del Cabildo a la Prensa, ni se exige en norma alguna la publica difusión de ambos datos unidos, máxime teniendo en cuenta que la noticia publicada no hacía referencia alguna ni estaba a debate sus emolumentos ni su persona. En tal sentido conviene destacar el principio de calidad en el tratamiento de datos de la pertinencia y adecuación señalado en el artículo 4 de la LOPD que señala:”1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” En este caso el hecho de ceder toda una relación de datos personales entre los que se incluían los del denunciante para desmentir lo referido a un aludido, no es proporcional, adecuado ni pertinente.
No existiendo Ley alguna que ampare la comunicación de datos, en este caso indiscriminada a la Prensa, para desmentir un comunicado anterior supone una infracción del deber de secreto a la custodia y conservación de los datos de que se dispone.
Esto motiva que la AEPD, sancione al Cabildo Insular de Lanzarote, por una infracción del artículo 10 de la LOPD, tipificado como leve en el artículo 44.2.e.
Fuente: AGPD
Leer mas sobre esta noticia: http://www.canariasahora.es/noticia/219126/
Usurpan su identidad e incluyen sus datos en el registro de morosos.
La AEPD instruyó en su procedimiento sancionador PS/00290/2008 contra Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA, VODAFONE ESPAÑA SA, por la inclusión de los datos personales de un vecino de Lanzarote (según publica www.diariodelanzarote.com ) en un fichero de morosos.
Según consta en el citado procedimiento sancionador, este vecino fue objeto de una sustracción de sus efectos personales, entre los que se encontraban su DNI y carnet de conducir, así como tarjeta de Caixa Cataluña y Visa electrón de Argentaria. Dicha sustracción fue denunciada el 29/11/1997 en la Comisaría. Con fecha 25 y 27 de febrero del 2004 interpuso denuncias por los requerimientos de pago de UNO-E BANK que requería el cobro de una cantidad y de La Caixa por la apertura de una cuenta; hechos susceptibles de haberse realizado con los documentos usurpados en el año 1997.
Abiertas diligencias por la AEPD y requerida la documentación a las partes, según consta en dicho procedimiento, quedaron probados los siguientes hechos más relevantes:
1.- El denunciante presentó la denuncia por la sustracción de los documentos así como las denuncias interpuestas.
2.- Que continuó recibiendo llamadas de reclamación de pago de deudas y que explicando lo sucedido, algunas entidades dejaron de reclamar pero otras siguieron insistiendo. Y se registraron dichas deudas en ASNEF y Badexcug.
3.- Que figuran en el registro de ASNEF al menos 10 notificaciones realizadas al denunciante. Mismas notificaciones también fueron realizadas por Badexcug.
Entre los fundamentos de derechos expuestos en el citado procedimiento, se imputa:
1.- En primer lugar, a Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA en el presente procedimiento una infracción del artículo 6.1 de la LOPD que dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. En el presente caso, ha quedado acreditado que las entidades imputadas trataron los datos del denunciante sin su consentimiento para darle de alta, y efectuar los tratamientos posteriores, en sus ficheros de clientes como titular de contratos de diferente tipo en función de la actividad de cada una.
Ninguna de dichas entidades ha acreditado que el denunciante consintiera el tratamiento de sus datos personales, y el denunciante niega tal contratación. Ninguna de ellas dispone de documentos que acrediten la identidad de la persona con la que dicen haber contratado. Una copia del DNI o del pasaporte u otro documento que acredite la identidad, documentaria una actuación con diligencia suficiente para evitar el tratamiento de los datos sin el consentimiento del titular de los datos. No siempre es posible detectar la falsedad de los documentos pero si es posible y necesario comprobar la identidad y documentarla. Cuando se emiten las facturas y los diversos escritos de reclamación de deuda son devueltos impagados o las envíos por correos devueltos un mínimo de diligencia en la gestión obligaría a establecer actuaciones de verificación de identidad –primero- y de domicilio –después- para tener la certeza de que los datos personales del cliente son exactos. Actuaciones que en todo caso deben ser previas a la anotación en los ficheros de solvencia patrimonial y crédito. Al no haberlo hecho así, debe considerarse vulnerado el principio de consentimiento, recogido en el artículo 6 de la LOPD, por cuanto dicho tratamiento se realizó sin el consentimiento del denunciante y no concurre en los supuestos examinados alguna de las circunstancias previstas en el artículo 6.2 de la LOPD que permitirían tratar los datos del denunciante sin su consentimiento.
2.- En segundo lugar, se imputa a Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA una infracción del artículo 4.3 de la LOPD, que señala que “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.
La obligación establecida en el artículo 4.3 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.
La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito, establece en su Norma Primera, punto 1, los requisitos imprescindibles para registrar los datos relativos al cumplimiento o incumplimiento de obligaciones exigiendo que “ La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992” –artículo 29 LOPD-,”deberá efectuarse solamente cuando concurran los siguientes requisitos: a) Existencia de una deuda cierta, vencida y exigible que haya resultado impagada. b) Requerimiento previo de pago a que corresponda, en su caso, el cumplimiento de la obligación” (el subrayado es de la Agencia Española de Protección de Datos).
En este caso, Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA incluyeron en el fichero Asnef y Badexcug, respectivamente, los datos del denunciante por la falta de pago de unas cuotas mensuales de financiación de compras o de prestación de servicios que no habían sido contratados por el denunciante.
Ha de considerarse, que en el momento de la anotación en Asnef y en Badexcug, los datos no eran exactos, pues el denunciante no tenía ninguna deuda con las entidades que comunican los datos a los ficheros de morosos. Ni se le había notificado la deuda ni se le había efectuado el requerimiento previo a su inclusión en los ficheros de morosos. Todos los domicilios que han incorporado a sus ficheros y a los que han dirigido sus notificaciones y han hecho constar en el fichero de morosos son distintos al del denunciante. El denunciante reside en la (……….) y los que obran en poder de las entidades imputadas están en (………).
No consta que por las entidades imputadas se haya realizado actuación con diligencia suficiente, una vez conocida la irregularidad de los datos recabados.
Por tanto, el tratamiento de datos como cliente –sin consentimiento- y la anotación de los datos –inexactos– en el fichero de morosos, son dos hechos claramente diferenciados y cada uno de ellos supone una infracción distinta.
Cada una de estas entidades han sido sancionadas por estas dos infracciones, infracción del artículo 6.1 y del 4.3 de la LOPD, con un importe de 60.101,21€ cada una de las mismas, alcanzando un montante el expediente de 480.809,68€, 120.202,42€ por cada entidad denunciada.
Esta resolución fué recurrida por los denunciados. Y, según informa http://www.diariodelanzarote.com, «la Audiencia Nacional ha venido dictando sentencias, la última reciente a favor de Finandia, en la que anula las sanciones. Argumenta que no fue posible detectar el uso “fraudulento” de la identidad del afectado y pone como ejemplo una adquisición en una casa de subastas, donde se utilizó documentación falsa. “Nada hacía sospechar” que quien compraba “no era quien aparentaba ser”. «
Fuente: http://www.agpd.es
http://www.diariodelanzarote.com/2012/05/07/lanzarote06.htm
Movistar multada con 40.000 euros por mantener en el Asnef a un cliente por una deuda de un céntimo que era errónea
Por un error matemático, la compañía no sacó del registro de morosos al cliente después de que le anulara una deuda improcedente de 62,07€.
La Audiencia Nacional ha condenado a Movistar a una multa de 40.000 euros por no eliminar de su registro de datos una deuda errónea de 1 céntimo, lo que provocó que un usuario continuara figurando como moroso en el fichero de Asnef-Equifax.
El cliente constaba registrado por una deuda de 62,07 euros tanto en el fichero de Movistar como en el de Asnef. Después de reclamar la improcedencia del pago de esa cantidad, la compañía rectificó y procedió a retirar la deuda, pero por un error provocado por el cálculo del IVA aplicable la deuda no se eliminó totalmente, quedando un resto de 0,01 euros que provocó que siguiera constando como moroso.
Fechada el 2 de diciembre de 2011, la sentencia recuerda que «no es óbice a la comisión de la infracción del principio de calidad del dato el ínfimo importe de la deuda anotada, pues en definitiva, y a pesar de dicha cuantía, desde el momento en que existen datos de una persona en un fichero de morosidad, se está atribuyendo la condición de deudor moroso a la misma».
Asimismo, advierte que tampoco se toma en consideración que la empresa no hubiera dado de alta dicha deuda en el Asnef, ya que «con independencia de que dicha alta derivara de un mero error en la operativa aritmética tras la extinción del saldo de 62,07 euros, (…) son las entidades gestoras de los datos personales (…) las responsables de su exactitud y puesta al día».
La sentencia es consecuencia del recurso presentado por Movistar por una resolución de la Agencia Española de Protección de Datos (AEPD), que inicialmente multó a la compañía con 60.000 euros.
En dicho procedimiento sancionador, PS/00457/2009 del 7 de junio de 2010, la AEPD expuso que:
«Del relato precedente se desprende que TDE no llegó a cancelar la deuda en su integridad (quedó pendiente 0,01€), con el resultado de que los datos del denunciante se comunicaron por tercera vez al fichero de morosos Asnef. La entidad argumenta que no concurre en su conducta el elemento subjetivo de la culpabilidad, pues esa tercera inclusión en el fichero y presupuesto fáctico de la imputación realizada, fue consecuencia de un error puntual al haber calculado la compensación de la deuda utilizando los dos primeros decimales y no los cuatro, de manera que quedo un importe pendiente de 0,01 €.
Frente a tales objeciones es necesario recordar que la deuda que se imputó al denunciante, desde el inicio, vulneraba el principio de exactitud o veracidad, por cuanto la condición de deudor del denunciante no se ha llegado a acreditar, en tanto no ha resultado probado que consintiera el tratamiento de sus datos asociado a la línea de teléfono #######2. De tal modo que, respecto a él, la deuda en cuestión no fue nunca cierta, ni vencida ni exigible.»
Y, además, «Respecto a la infracción de la LOPD que nos ocupa, el elemento subjetivo se concreta en la omisión por la entidad imputada de la diligencia que resulta exigible, en tanto ésta no llegó a cancelar íntegramente la deuda indebidamente reclamada al denunciante y procedió a incluir sus datos personales en el fichero Asnef. Ello, pese a haber reconocido con anterioridad que el importe que se le reclamaba tuvo su origen en una incidencia en los procesos de la compañía.»
Fuente: http://www.facua.org y http://www.agpd.es
La Caja Insular de Ahorros sancionada por la AEPD por revelar direcciones de correo de 400 clientes.
Recientemente La Caja Insular de Ahorros ha sido sancionada por la Agencia de Protección de Datos por una infracción del artículo 10 de la LOPD.
El motivo de la infracción ha sido motivado por un error en una comunicación electrónica en la que olvidaron realizar el envío con copia oculta, lo que resultó en la revelación de la dirección de correo electrónico de 400 clientes de la entidad financiera.
«Consecuentemente, podemos decir que se trató de un error humano, comprensible y encuadrable dentro del más estricto riesgo operacional, que inmediatamente se pidieron disculpas del hecho y que, inmediatamente también, se tomaron las medidas de corrección adecuadas para que no pudiera producirse otra vez este hecho.”
Por estos hechos se impuso a la entidad CAJA INSULAR DE AHORROS DE CANARIAS, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euro con un céntimo) de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.
Fuente: www.agpd.es y PS/00687/2010
PROTEC-DATOS 