Ya está disponible en formato electrónico el libro «La factura electrónica» que mencionaba hace unos días y cuya redacción hemos desarrollado Fernando Pino y yo, en Albalia Interactiva..
Está disponible en el web de Red.es , en el de ASIMELEC y en el del Proyecto eFactura de Asimelec.
(Actualización, enero 2008, el proyecto PAV-080200-2007-62 prevé la edición de 20.000 ejemplares, de la edición actualizada del librito. He actualizado el enlace a la versión más reciente)
Hace algunos dias mencionaba el Proyecto Clauer destacando sus posibilidades.
Me parece una iniciativa tan relevante como para insistir sobre ella.
Es un modo elegante y seguro de transpostar claves a un coste ridículo y con una gran facilidad de uso.
El sistema permite utilizar casi cualquier soporte para ello, de forma que incluso se pueden transportar los drivers que facilitan su uso que se integran de forma no invasiva en la experiencia de usuario. Como se ve en estas fotos, ya existen implementaciones (con personalización de marca) en «llave» USB y en CD.
La solución se puede usar virtualmente en cualquier sistema operativo y con diferentes tipos de programas de navegación por internet.
Conviene echar un vistazo periódicamente al web del proyecto, y hacer seguimiento de sus avances. Hay mucha y muy interesante información, además de accesos al propio software. Y por supuesto, el uso práctico en el entorno real de la Universitat Jaume I.
En este trabajo, Manuel Mollar ha ideado el dispositvo clauer, definido la aquitectura del sistema y coordinado las labores de desarrollo, en el que han participado:
Con modestia, indican que la limitación de que la generación de claves no se pueda generar de forma interna al dispositivo, reduce algunos usos. En mi opinión es una limitación menor, ya que una buena gestión de políticas del PSC (Prestador de Servicios de Certificación) garantiza la unicidad y privacidad de las claves y permite garantizar siempre que el proceso de obtención de claves (en lo que depende de ciertas vulnerabilidades en la selección de números primos) se lleva a cabo con la versión más actualizada y robusta del generador.
Hace muchos años que propugno la convergencia de EMV y PKI. Para mi es una oportunidad el hecho de que una de las obligaciones que se imponen a las entidades financieras en el marco del desarrollo de SEPA (Single Euro Payment Area), sea la de emitir tarjetas EMV a todos sus titulares a partir del 1 de enero de 2008.
Si todas las entidades financieras adoptan esta idea, emitirán tarjetas mixtas que además de ser EMV (con autenticación dinámica) son DSCF (Dispositivo Seguro de Creación de Firma, en inglés SSCD, Secure Signature Creation Device, denominación de la Directiva y de la Ley de Firma Electrónica) e incluyen un certificado cualificado.
Esto aporta el que todos los titulares de tarjeta de crédito puedan contar con firma cualificada tan pronto como toque renovar la tarjeta. Y con ella, el acceso a todas las aplicaciones on-line o presenciales que se desarrollan tanto en el ámbito privado como en la administración pública para el DNIe y para otros certificados cualificados.
Veo grandes posibilidades de comunicación comercial y nuevos servicios que pueden desarrollar las entidades financieras.
También llevo años proponiendo el desarrollo en banca del sistema ABANCE (Autoridad BANcaria de CErtificación) que ponga en valor las iniciativas de desarrollo de PKI que muchas entidades financieras han llevado a cabo a lo largo de los años, y que entronca directamente con este uso mixto de las tarjetas EMV.
Rescatando las mejores ideas que se intentaron adoptar en el proyecto Iberion y eliminando las causas que acabaron con aquel proyecto, puede desarrollarse una infraestructura de clave pública que permita compartir la root, las políticas de certificación, los perfiles de los certificados y los servicios de gestión de revocación, haciendo que el proyecto sea de bajo coste para las entidades financieras, y con ventajas claras para ellas y para sus clientes.
Y posiblemente ha vuelto a madurar esta idea con todo el potencial que se desarrolla en torno al DNIe, y que algunas entidades financieras como Banesto y SCH están ensayando.
Hoy por hoy, pienso que una de las pocas barreras que existen para lanzar en serio el proyecto es que los criterios de homologación de EMV impiden que una tarjeta pueda presentar simultáneamente esta homologación y la correspondiente al cumplimiento de las normas CWA 14168 y CWA 14169). Por eso, es decisión de la entidad financiera si acepta tarjetas mixtas sin homologación que sepa que vienen de un fabricante que tiene tarjetas homologadas en cada estándar.
En mi opinión debe ser así, pero los responsables no se quieren arriesgar a no ser que un consultor externo se lo diga.
En estos momentos, por mi información, las tarjetas que cumplen las exigencias de DSCF y EMV son las de Microelectrónica (empresa española adquirida por msystems, y que al ser adquirida esta por Sandisk, ha pasado a su órbita) y las de SERMEPA (Advantis Crypto, basada en la TIBC 3.0) que desarrolla con ST Microelectronics. La Advantis Crypto la personalizan la FNMT-RCM, G&D y Oberthur.
Sé que hay otros proveedores que también las tienen, por lo que invito a añadir comentarios señalando más proveedores.
He estado repasando mi agenda y he constatado que ASIMELEC está en buena parte de ella.
Estos son algunos eventos para las próximas semanas:
ASIMELEC y Red.es han editado conjuntamente el librito «La factura electrónica» dentro de las iniciativas del Plan Avanza entre las que Red.es ha editado varios libros más, sobre diferentes especialidades.
El pasado día 29 de marzo de 2007 tuvo lugar en el Auditorio de CaixaForum de Barcelona la presentación oficial de este libro con un nivel de asistencia que superó todas las expectativas. El libro, del que se contaba con 200 ejemplares que se entregaban a los asistentes, se agotó, y hubo de establecerse un procedimiento para hacérselo llegar a las más de 100 personas que se quedaron sin él.
La presentación se enmarcaba en un evento que sobre factura electrónica organizaba la Fundación Barcelona Digital con la colaboración de CIDEM, Ayuntamiento de Hospitalet, CETEI, el Ministerio de Industria, Turismo y Comercio y Red.es.
En el la presentación del libro intervinimos Sergio Pérez por parte de Red.es y yo mismo, en representación del Grupo de eFactura de ASIMELEC. En el evento participaron igualmente representantes del Consorcio Digital y de la Caixa y se presentaron resultados del proyecto de factura electrónica del Ayto. de Hospitalet, con ANF/Tradise y Jokers Computer.
Un resumen más amplio puede encontrarse en Arbol de Noticias y se reproduce a continuación:
La Fundación Barcelona Digital acerca a la PYME la factura electrónica
• Más de 250 profesionales asisten al Debate sobe la Economía Digital celebrado en el CaixaForum
• El sistema de facturación digital ahorra recursos, optimiza los recursos humanos i mejora la productividad de las empresas
• El proceso de adaptación es sencillo para la empresa, ya que la mayor parte del trabajo la hace el proveedor de tecnología.
Las cifras mostradas por algunos de los ponentes y que recoge también el manual “La factura electrónica” editado por el Plan Avanza del Ministerio de Industria, Turismo y Comercio, presentado durante la jornada, ponen de manifiesto que los empresarios pueden ahorrar hasta unos 3€ por factura con un sistema digitalizado. De este modo se reducen costes, se agiliza el proceso de archivo y conservación, se optimizan los recursos humanos y se gana en seguridad y eficacia. Para quien emite la factura, el ahorro se calcula que puede ser de 0,70€, mientras que al receptor le cuesta 2,78€ menos.
La sesión estuvo moderada por Víctor Vergés, responsable del Programa del CIDEM, quien ha empezado el debate manifestando que en 2007 “ya es hora que dejemos de tener una carpeta llena de papeles. La factura electrónica nos permite dar un salto adelante y mejorar la productividad de la empresa de forma sencilla y con un proceso de gestión más ágil”. A lo largo del debate, los ponentes han puesto énfasis en e hecho que el sector de la PYME, por sus particularidades, es uno de los más resistentes a iniciar este tipo de cambios, pero su participación es fundamental para mejorar la productividad.
Hospitalet de Llobregat ha sido uno de los municipios pioneros en impulsar este tipo de procesos. Francesc Banchs, jefe del Servicio de Ocupación y Empresa del área de Promoción Económica del Ayuntamiento de Hospitalet de Llobregat, ha presentado la experiencia de esta localidad barcelonesa en la implementación del uso de la factura digital. Se trata de una iniciativa pionera que según él asegura, “no tiene por objetivo sólo normalizar la factura electrónica sino que el reto es llegar a la PYME digital”.
La Fundación Joan XXIII a través de su Centro de Tecnologías Ituarte (CETEI) ha sido la encargada de llevar a cabo el proyecto en la ciudad de Hospitalet. Según Joseph Menéndez, director general de la Fundación Joan XXIII, “las facturas constituyen uno de los aspectos que genera más volumen de trabajo para las empresas y unos costes excesivamente elevados”. El proyecto ha implantado la certificación digital en cinco empresas. Según explica Menéndez, esto puede parecer una cantidad muy pequeña pero se trata de hacer que funcione como una mancha de aceite y que a partir de esta experiencia otras empresas vean los resultados y se animen también a ponerlo en práctica.
Sergio Pérez, coordinador de Red.es, ha presentado las iniciativas que desde el Ministerio se están llevando a cabo para fomentar este tipo de innovaciones tecnológicas especialmente entre la PYME. Aprovechando esta jornada se ha presentado el manual “La factura electrónica” editado por el Plan Avanza con la intención de hacer llegar a los empresarios información sencilla y práctica sobre qué ventajas les aporta la factura electrónica y cómo implantarla.
El Coordinador del grupo Factura electrónica de la ASIMELEC (Asociación Española de Electrónica y Comunicaciones), Julián Inza, ha destacado el nivel de la normativa española en este ámbito. “Nuestro sistema de facturación electrónica sirve a toda Europa, ya que es el más exigente en cuanto a criterios de certificación y garantía entre los países europeos”. Inza ha destacado la importancia de desarrollar y perfeccionar el marco legal antes del 2010, fecha en que está previsto que todas las facturas dirigidas a las administraciones públicas se hagan digitalmente.
“La economía española tiene un problema de pérdida de competitividad, en gran parte por la falta de digitalización de los procesos de negocio” ha alertado Francisco de Quinto, secretario del Consorcio Digital, y ha manifestado la necesidad que las PYMES se incorporen a estos cambios. Por otro lado, Pilar Franquet, consultora de Servicios Financieros de “la Caixa” ha explicado la experiencia de la entidad financiera, que ha puesto al alcance de sus clientes una plataforma que permite la factura digital con buenos resultados, mejorando la agilidad de las tareas de archivo y conservación de la documentación, la reducción de los costes, la optimización de los recursos humanos y una mayor eficiencia. Franquet se muestra optimista y cree que “finalmente la factura digital se acabará generalizando como lo han hecho el correo electrónico o los billetes electrónicos de avión”.
La parte práctica la han puesto Jordi Albareda, socio de ANF AC & Tradise, proveedor en el proyecto que se ha desarrollado en Hospitalet y verónica Puig, jefa de administración de Jokers Computer, una de las cinco empresas que se acogieron a este programa piloto. Jordi Albareda apunta que uno de los principales problemas que han detectado es el desconocimiento y la falta de concreción que existe a la hora de definir un producto como la factura digital para conseguir que los empresarios se animen a utilizarlo. Verónica Puig, de Jokers Computer, ha animado a otras empresas a utilizar el sistema digital, ya que asegura que para los empresarios es “un proceso sencillo en que la mayor parte del trabajo inicial lo hace el proveedor de tecnología”.
El acto celebrado en el CaixaForum se enmarca dentro del programa ”Debates de la Economía Digital” que organiza mensualmente la Fundación Barcelona Digital para promover y difundir a partir de iniciativas avanzadas, el uso intensivo y extensivo de las TIC en la empresa, las instituciones y la sociedad civil. Los “Debates sobre la Economía Digital” están promovidos por el CIDEM, el 22@Barcelona y la Entidad pública red.es.
Ya que Fernando Pino y yo somos los autores del libro, contamos con algunos ejemplares en Albalia Interactiva que podemos enviar a quienes lo soliciten (nuestros clientes tienen preferencia).
La implementación de los estándares MHP (Multimedia Home Platform) en los STB (Set Top Boxes) de Televisión Digital Interactiva, cada uno de su padre y de su madre, crea un verdadero problema a la hora de gestionar el DNI electrónico, obligando a manejar los diferentes «aromas» dentro de la aplicación.
El reto es apasionante ya que con el DNI electrónico caben cientos y miles de usos en la Televisión del Futuro.
Además del problema de la correcta implementación del canal de retorno, sobre lo que no me cansaré de insistir, crea un potencial riesgo en el despliegue de los sistemas, porque frecuentemente no se conecta. El canal de retorno se viene implementando con un módem V.90, pero puede llevarse a cabo mediante conexión Ethernet, Wi-Fi, UMTS, GPRS o SMS-GSM.
Yo soy partidario de que las subvenciones estatales que se van a aplicar sobre los equipos que se adquieren en los lugares pioneros que «sufrirán» el apagón analógico distingan no solo la versión de MHP, sino el número de lectores de tarjeta chip y la provisión de un modem GSM con su correspondiente SIM instalada. Esta es, creo, la única manera de garantizar de verdad que el canal de retorno está configurado.
En cuanto a las aplicaciones, merece la pena destacar que estos días se ha presentado el proyecto ATS Interactiva, que impulsa mi paisano (actualización: «casi paisano» veo en su web que es de Gijón, y que su vinculación a Navarra es temporal) Alejandro Fanjul. Esta es una buena muestra de aplicaciones socialmente responsables, que pueden llegar a capas de la población en las que uno no pensaría como «early adopters»: las personas mayores. Aunque Alejandro probablemente está pensando en la tarjeta sanitaria como elemento activador de las funciones de su proyecto, yo le invitaría a que pensara si no se puede utilizar el DNI electrónico con utilidades semejantes.
Comparto con Oriol Bausá algunos foros y coincido con él en muchas reflexiones.
Recientemente hemos discutido sobre si la firma electrónica es o no una aportación a la factura electrónica, y me ha comentado su reflexión que sobre este tema ha hecho en su página web.
La reproduzco:
Legislar sobre la factura electrónica parece conveniente, sin embargo la exigencia de unos requisitos técnicos muy elevados para su utilización actúan como barreras de entrada para las empresas. La firma electrónica cualificada es, hoy por hoy, la barrera a la adopción de la factura electrónica legal. Mientras tanto, cada vez más empresas mandan sus facturas electrónicamente para su impresión en destino.
La Directiva Europea 2001/115/CE del Consejo de 20 de diciembre de 2001 por la que se modifica la Directiva 77/388/CEE con objeto de simplificar, modernizar y armonizar las condiciones impuestas a la facturación en relación con el impuesto sobre el valor añadido dice que:
- Los Estados miembros no exigirán que las facturas estén firmadas.
- Las facturas expedidas en aplicación de las disposiciones de la letra a) podrán transmitirse en papel o, a condición de que el cliente haya dado su consentimiento, por medios electrónicos.
- Las facturas transmitidas por medios electrónicos serán aceptadas por los Estados miembros a condición de que se garantice la autenticidad de su origen y la integridad de su contenido:
- bien por medio de una firma electrónica avanzada con arreglo al apartado 2 del artículo 2 de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo; de 13 de diciembre de 1999 (…)
- o bien mediante un intercambio electrónico de datos (EDI) tal como se define en el artículo 2 de la Recomendación 1994/820/CE de la Comisión, de 19 de octubre de 1994(…)
- por vía electrónica mediante otros métodos, a reserva de su aceptación por el o los Estados miembros de que se trate.
Hace ya más de diez años de la legislación referida al EDI, y siete de la directiva de firma electrónica, y en este período, no se ha conseguido una adopción masiva de sistemas de facturación electrónica. Es más, ni tan siquiera existen dispositivos seguros de creación de firma, mecanismos de firma, ni servicios de verificación y generación de sellos de tiempo que tengan unos costes aceptables para la gran mayoría de empresas.
Adoptar la facturación electrónica significa cambiar los procedimientos internos de una compañía, y para ello es preciso ofrecer a la empresa beneficios claros. Por más ahorro en papel que se pregone, si el esfuerzo de realizar factura electrónica es tan grande, si es tan complejo adaptar los sistemas a la firma electrónica avanzada, si es tan costoso contratar servicios de firma o si exige que haya que cambiar los procedimientos para que sea el director financiero de la compañía quien firme las facturas, será imposible que la actual legislación de factura electrónica prospere, tal como tampoco prosperó la del año 1998 referente a los Sistemas de Intercambio de Facturas por Medios Telemáticos.
Y la solución tampoco pasa por la cesión a terceros de las responsabilidades de firma. ¿Qué capacidad real tendrán las plataformas de centralización de facturas de actuar como tractor de este mercado? En un mundo cada vez más P2P, más interconectado, donde mandar cualquier cosa a cualquier punto del mundo es instantáneo, ¿qué sentido tiene canalizar la facturación de la empresa a través de una plataforma de un tercero? y la facturación es una información sensible en una empresa.
Cada vez más detecto que empresas de distinto tamaño tienden a facturar y mandar por internet el documento electrónico. A nivel legal, evidentemente no se pueden considerar facturas electrónicas, pero son facturas, se imprimen y conservan, y se pagan o rechazan. Y si se somete a inspección la empresa, allí están todas, en montones de carpetas, perfectamente archivadas.
Una vez más, parece que las necesidades de la sociedad y la simplificación se acabarán imponiendo y por tanto adelantando a la legislación.
Entendemos que seria conveniente estudiar la tercera via, la de otros métodos de remisión de facturas, para permitir relajar los requisitos existentes actualmente y legalizar los intercambios de facturas que se están produciendo ya en la actualidad.
Para garantizar la integridad de un documento, únicamente se requiere de un hash, sin firma, y en cuanto a la autenticidad del origen, ¿no es suficiente con el nombre de la empresa emisora, su CIF y su dirección? estos creo que son los únicos requisitos de autenticidad de origen en las facturas en papel.
Por mi parte, pienso que el legislador español, al optar por el nivel superior de requerimientos (el que añade la exigencia de firma cualificada sobre el de firma avanzada) hace un poco más difíciles las cosas pero automáticamente añade la presunción de validez de las facturas electrónicas españolas en toda Europa. Lo contrario no necesariamente es cierto, ya que un pais con exigencias menores desde el punto de vista legal, aunque haga inicialmente un poco más fáciles las cosas a sus empresas, les impone la exigencia de un conocimiento detallado de los requisitos legales de cada pais si desena facturar a una empresa de ese país. Y en ultima instancia, las empresas extranjeras que facturen a empresas españolas tendrán que cumplir los requisitos españoles.
Además, en muchos casos, la complejidad técnica quedará apantallada por las empresas que proporcionan las soluciones de facturación (gracias a las posibilidades de la «facturación por terceros» o «subfacturación», o a los paquetes ofimáticos de facturación).
No puedo dejar de coincidir con Oriol en que inicialmente la firma es un freno, pero también es un freno la necesidad de determinar los formatos de intercambio, para lograr la compatibilidad de las comunicaciones de ordenador a ordenador.
Lo cual nos traslada a los proveedores de soluciones de facturación electrónica (o de remisión electrónica de facturas, que es la denominación empleada en el RD 1496/2003) el reto de que las soluciones que desarrollemos hagan las cosas lo más sencillas posibles a los usuarios.
La digitalización de firma que se lleva a cabo en algunos comercios podría ser considerada firma electrónica simple y con medidas técnicas especiales de custodia, podría defenderse su valor probatorio.
Sin embargo, tras una reciente resolución (la R/00098/2006) del Director de la Agencia de Protección de Datos (en el Procedimiento Nº PS/00241/2005), habrá que tener mucho cuidado en los detalles de la implementación de estos sistemas, y, en general, de los que utilizan datos biométricos en la identificación.
Transcribo el documento que tiene un gran interés:
En el procedimiento sancionador PS/00241/2005, instruido por la Agencia Española de Protección de Datos a las entidades SFERA JOVEN, S.A. y EL CORTE INGLÉS, S.A., vista la denuncia presentada por DÑA. E.B.P., y en base a los siguientes,
ANTECEDENTES
PRIMERO: En fecha 20/12/04, tuvo entrada en esta Agencia un escrito de Dña. E.B.P. (en lo sucesivo la denunciante), en el que manifiesta que, en fecha 14/10/04, al realizar una compra con tarjeta de crédito en la tienda «SFERA» del Centro Comercial ……., recibe el original del tique de compra y advierte a la dependienta de ello. La dependienta le contesta que en el momento de estampar su firma la misma ha quedado digitalizada y guardada con el resto de la operación, por lo que el original en papel del tique de compra le puede ser entregado.
Manifiesta no haber sido informada en su momento del tratamiento y que, en el comprobante de la operación, no figura ningún tipo de cláusula informativa de que los datos personales quedarían recogidos, ni del uso o fin de la recogida y tratamiento de esos datos.
Con posterioridad, en fecha 10/11/04, ejerce ante Sfera Joven, S.A. el derecho de acceso a sus datos personales, indicándole en la contestación que sus datos no figuran en fichero alguno de la entidad y que los datos de la operación de compra quedan en poder de los emisores de las tarjetas.
SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda «SFERA» del Centro Comercial ……., siendo la entidad responsable de la mencionada marca Sfera Joven, S.A. (en lo sucesivo Sfera). En dicha visita se constató que el comercio dispone de diversos puntos de venta dotados de terminales de marca IBM, a los cuales se encuentran conectadas pequeñas tabletas digitalizadoras. Las tabletas digitalizadoras incluyen el logotipo «Sfera» y constan de una tapa de metacrilato que restringe la posibilidad de escribir sobre la tableta, salvo en una pequeña zona del tamaño adecuado para una firma manuscrita.
Realizada una compra con tarjeta de crédito por los Inspectores de Datos, comprueban que, una vez aceptada la operación e impreso el resguardo de la compra correspondiente, la empleada de la tienda ofrece a la firma el mismo, situándolo entre la tableta digitalizadora y la tapa de metacrilato descritas. Una vez firmado, el resguardo es entregado al comprador, constando de un sólo ejemplar y verificándose que la empleada no procede a emitir o imprimir ningún otro tique.
En ningún momento se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio.
TERCERO: Aunque los representantes de Sfera manifestaron que existen carteles informativos al respecto, los Inspectores de Datos que se personaron en la tienda «SFERA» del Centro Comercial ……., constataron que no se encontraba expuesta ninguna información sobre el sistema de recogida electrónica de firma.
Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado «Clientes Otras Tarjetas Externas» inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A.
Todo el tratamiento de los tiques de compra se realiza por El Corte Inglés, S.A., siendo esta entidad la responsable del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.
En la referida Inspección, se comprobó la existencia de los siguientes datos correspondientes a la operación realizada por la denunciante: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra.
También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de la Agencia en fecha 24/08/05.
Sfera y El Corte Inglés, S.A. (en lo sucesivo El Corte Inglés) tienen suscrito un contrato de prestación de servicios informáticos, de fecha 01/11/01, en el cual se estipula como objeto del mismo que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento.
A pesar de que en el referido contrato El Corte Inglés se identifique como encargado del tratamiento, es responsable del fichero denominado «Clientes Otras Tarjetas Externas», así como del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.
CUARTO: A la vista del resultado de estas actuaciones previas de investigación, el Director de la Agencia Española de Protección de Datos acordó, en fecha 26/09/05, iniciar procedimiento sancionador a Sfera por la presunta infracción del artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el artículo 44.2.d) de dicha norma, pudiendo ser sancionada con multa de 601,01 € a 60.101,21 € , de acuerdo con el artículo 45.1 de la citada Ley Orgánica.
Igualmente, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a El Corte Inglés por la presunta infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.
QUINTO: Notificado el acuerdo de inicio de procedimiento sancionador, ambas entidades presentaron alegaciones al respecto.
Sfera manifiesta que no realiza ningún tratamiento de datos personales, simplemente acepta, como medio de pago, las tarjetas previamente convenidas con su gestor de pasarela de pago que, en este caso, es El Corte Inglés. Los sistemas de cobro de Sfera no son de su propiedad y no guarda ningún tipo de datos, dado que Sfera no tiene ningún fichero de clientes. Por tanto, si no hay tratamiento, no hay obligación de informar. Además, los datos que se obtienen del cliente son el número de tarjeta y la firma digitalizada, y este tipo de datos no puede considerarse como datos de carácter personal.
El Corte Inglés alega que, respecto a los clientes que pagan con tarjeta de crédito, no guardan ninguna información identificativa del mismo. No es necesario el consentimiento para tratar esos datos, dado que son necesarios para la relación negocial que el propio cliente ha aceptado al realizar el pago con tarjeta de crédito, cuyo emisor ya le ha informado de la necesaria captura de datos por parte del responsable del comercio donde sea utilizada.
SÉXTO: En la fase de pruebas se practicaron, entre otras, la prueba propuesta por El Corte Inglés consistente en que la denunciante aportase copia del contrato suscrito con su emisor de tarjeta de crédito.
SÉPTIMO: Terminada la fase de práctica de pruebas, el expediente se puso de manifiesto a los interesados, otorgándoles un plazo de quince días para presentar alegaciones. Solicitada ampliación de dicho plazo, el Instructor del procedimiento acordó ampliar el plazo en siete días más. Transcurrido la totalidad del plazo otorgado, no se han recibido alegaciones de ambas entidades interesadas en el presente procedimiento.
OCTAVO: En fecha 23/01/06 se emitió Propuesta de Resolución en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Sfera con multa de 601,01€ por la infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, y a El Corte Inglés con multa de 60.101,21 € por la infracción del los artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma.
NOVENO: En fecha 24/01/06 se recibieron las alegaciones de Sfera y El Corte Inglés a la fase de audiencia en las que se ratifican en sus manifestaciones anteriores.
DÉCIMO: En fecha 28/02/06 se han recibido las alegaciones de Sfera y El Corte Inglés a la Propuesta de Resolución, indicando que la Propuesta emitida es nula dado que no se han tenido en cuenta las alegaciones realizadas en la fase de audiencia. No obstante, reconocen la posibilidad de que las mismas se hubiesen recibido en esta Agencia con posterioridad a la emisión de la Propuesta. Añaden que es importante que se sumen dos hechos de interés: de una parte, que en el contrato de tarjeta aportado por la denunciante, ésta se compromete a identificarse ante el comerciante y firmar los comprobantes de compra que le sean presentados, y por otra, que El Corte Inglés es gestor de la pasarela de pagos de Sfera. Esta última aclaración es importante porque demuestra que El Corte Inglés tiene una doble cualidad respecto a su filial Sfera. Por un lado, le presta servicios informáticos (confección de nómina, contabilidad, etc.) conforme al contrato de prestación de servicios firmado el 01/11/01. Pero, por otro lado, El Corte Inglés es gestor de la pasarela de pagos y respecto a los datos referidos a pagos con tarjeta es el único titular. Reinciden en que no conocen ningún procedimiento para identificar al titular de la tarjeta con los datos que se conservan. El Corte Inglés manifiesta que no es necesario solicitar el consentimiento de los interesados dado que existe una relación negocial. Sfera afirma que es innecesaria la información por su parte, dado que quien debe informar, en tal caso, es el emisor de la tarjeta, y concluye que, en contra de lo manifestado en la Propuesta de Resolución, existen folletos explicativos para los clientes.
HECHOS PROBADOS
PRIMERO: Dña. E.B.P., en fecha 14/10/04, realizó una compra con tarjeta de crédito en la tienda «SFERA» del Centro Comercial …….. No fue informada de que su firma había sido digitalizada y guardada con el resto de los datos de la operación de compra (folio 5).
SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda «SFERA» del Centro Comercial ……., y realizaron una compra con tarjeta de crédito, comprobado que, en ningún momento, se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio (folios 13-15).
TERCERO: En fecha 01/09/05, a consecuencia de la visita de Inspección a Sfera, se constató que tienen implantado un sistema de recogida electrónica de la firma de aquellos clientes que abonan la compra mediante tarjeta de crédito o débito (ya fuera la emitida por el Grupo Corte Inglés o una tarjeta externa), utilizando para su captura una tableta digitalizadora. En el proceso de compra se imprime un sólo tique que el cliente firma sobre una tableta digitalizadora. Este tique es entregado al cliente, no realizándose ninguna otra impresión para su conservación por la entidad (folios 24-26, 34-39).
CUARTO: Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por ninguna empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado «Clientes Otras Tarjetas Externas» inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. (folio 25).
QUINTO: En la visita de Inspección realizada en Sfera, se comprobó la existencia de los siguientes datos correspondientes a Dña. E.B.P.: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra. También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de Datos en fecha 24/08/05 (folios 36-39).
SEXTO: «Clientes Otras Tarjetas Externas», inscrito en el Registro General de Protección de Datos, cuyo responsble es El Corte Inglés, S.A.. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A. (folios 25, 104-108).
SÉPTIMO: , de fecha 01/11/01, en el cual se estipula, como objeto del mismo, que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento (folios 29-31). A pesar de ello, es responsable del fichero citado en el Hecho Probado anterior, así como del cobro de los importes de las transacciones, gestión de posibles reclamaciones y conservación de la información durante el plazo establecido (folios 104-108).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD.
II
Como cuestión previa, procede responder a la petición de nulidad de la Propuesta de Resolución emitida por no haberse tenido en cuenta las alegaciones efectuadas por El Corte Inglés y Sfera en la fase de audiencia.
Terminado el período de práctica de pruebas, el expediente se puso de manifiesto a ambas entidades, mediante la notificación de la relación de documentos obrantes en el expediente y la posibilidad de presentar alegaciones en el plazo de quince días hábiles a contar desde la recepción de dicho escrito. Sfera y el Corte Inglés recibieron dicha comunicación el 19/12/05, según aviso de recibo del Servicio de Correos. Por consiguiente, el plazo para presentar alegaciones terminaba el 05/01/06. No obstante, en fecha 03/01/06 se recibió solicitud de ampliación del plazo para presentar alegaciones, y el Instructor del procedimiento, de conformidad con lo dispuesto en el artículo 49.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), admitió la ampliación en un plazo de siete días a contar desde el día siguiente a aquél en que finalice el primer plazo. Por tanto, teniendo en cuenta la ampliación, el plazo de alegaciones finalizaba el 14/01/06.
En fecha 23/01/06 se emitió la Propuesta de Resolución. Las alegaciones de Sfera y El Corte Inglés se recibieron en esta Agencia el 24/01/06, aunque consta en las mismas su presentación en el Servicio de Correos en fechas 19/01/06 y 20/01/06, respectivamente. Esto demuestra que dichas alegaciones, con independencia de que se recepcionasen en esta Agencia con posterioridad a la emisión de la Propuesta de Resolución, se habían presentado transcurrido el plazo otorgado para formular dichas alegaciones.
No obstante, dado que la Propuesta de Resolución no pone fin al procedimiento sancionador, no se produce ninguna indefensión a las entidades interesadas, dado que tras la Propuesta, existe un nuevo plazo de presentación de alegaciones.
Y, respecto a este último plazo, procede concretar que la Propuesta de Resolución fue notificada a El Corte Inglés y a Sfera el 27/01/06, otorgándoles un plazo de quince días hábiles para presentar alegaciones. Dicho plazo vencía el 14/02/06. Sin embargo, ambas entidades han presentado sus alegaciones en el Servicio de Correos en fecha 16/02/06, es decir, transcurrido el plazo otorgado para presentar alegaciones, siendo recibidas en esta Agencia el 28/02/06.
No obstante, aunque las alegaciones de Sfera y El Corte Inglés realizadas tras la fase de audiencia y después de la Propuesta de Resolución, han sido presentadas vencidos los plazos otorgados para tal fin, se ha procedido a tener en cuenta las mismas para elaborar la presente Resolución.
III
Respecto al fondo del asunto, procede analizar si los datos obtenidos por Sfera de los clientes que pagan con tarjetas de crédito o débito externas, y que se recogen y conservan en el fichero denominado «Clientes Otras Tarjetas Externas»de El Corte Inglés, deben considerarse datos de carácter personal. Sfera y El Corte Inglés manifiestan que los datos que se conservan no permiten identificar a la persona física que realizó la operación, sin embargo ha quedado acreditado en el procedimiento que en el fichero informático denominado «Clientes Otras Tarjetas Externas» se almacenan los talones de compras abonadas con tarjetas externas al grupo Corte Inglés y estos talones contienen datos sobre la identificación de los productos adquiridos, importe de la compra, fecha, número de tarjeta, nombre, apellidos del titular de la misma y firma digitalizada de éste, según consta en los folios 36 a 39.
El artículo 3.a) de la LOPD define datos de carácter personal como «cualquier información concerniente a personas físicas identificadas o identificables,» añadiendo el apartado 4 del artículo 1, del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de acuerdo con lo establecido en la disposición transitoria tercera de la LOPD, que dato de carácter personal es «toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.»
En línea con lo anterior el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/95, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considera identificable «toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.»
Este concepto de dato personal es sumamente amplio. La Audiencia Nacional en su Sentencia de 08/03/02, ha señalado que «no hay datos de carácter personal, y por tanto no es posible aplicar la Ley de Protección de Datos a los llamados «datos disociados» y así el mismo artículo 3 de la Ley, pero en su apartado f), define como «Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtengas no pueda asociarse a persona determinada o determinable» <
Y añade la citada sentencia «Procedimiento de disociación que consiste en eliminar la conexión entre el dato y la persona, en «despersonalizar» el dato, actuando como barrera que impide la identificación y entrañando en definitiva un elemento protector de la intimidad o privacidad del afectado.
Sin embargo, para que exista dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la invocada Directiva 95/46/CE que expresamente señala que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al art. 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado» (El subrayado es de la Agencia Española de Protección de Datos).
Aplicando la anterior doctrina al presente caso, en el que se registran en el fichero, entre otros datos, la identificación de la tarjeta de crédito o débito, el nombre y apellidos y la firma de los afectados, ha de concluirse que tales datos son datos de carácter personal, pues contienen información concerniente a una persona física identificable o determinable, ya que con tales datos es posible identificar, sin utilizar esfuerzos desproporcionados, a la persona titular de los mismos.
IV
El artículo 5 de la LOPD regula el derecho de información al interesado en la recogida de sus datos. Los apartados 1, 2 y 3 del citado artículo disponen:
«1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.»
Y el artículo 6 de la LOPD regula el principio del consentimiento, disponiendo en sus apartados 1 y 2:
«1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.»
La obligación que impone el artículo 5 es la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no, en función de aquélla, el tratamiento. Por tanto, es necesaria una información previa para que el consentimiento que se presta sea válido.
La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos, al declarar que: «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele» (El resaltado es de la Agencia Española de Protección de Datos).
En este caso, el cliente desconoce que, cuando firma el justificante de compra, se captura y conserva su firma digitalizada en un fichero. Tampoco conoce si firmar en la tableta digitalizadora es obligatorio o facultativo, ni cuáles son las consecuencias de la obtención de los datos o de la negativa a suministrarlos. Sfera, como entidad que recaba los datos que van a ser incluidos en un fichero cuyo responsable es El Corte Inglés, tampoco informa a los clientes que pagan con tarjeta de crédito, de que sus datos van a ser conservados, de la finalidad de ese almacenamiento, de quién es el responsable del fichero, ni de la posibilidad de poder ejercer sus derechos de acceso, rectificación, cancelación y oposición. Es cierto que ella no es responsable del fichero ni del tratamiento de los mismos, tal y como expondremos más adelante, pero la LOPD no exige que esa información haya de ser facilitada en todos los casos por el responsable del fichero, sino que establece la obligación de una información previa que incluya, en su caso, la identificación del responsable por parte de aquellos que soliciten de los interesados la recogida de datos personales.
Sfera y El Corte Inglés alegan que los usuarios que abonan sus compras con tarjeta están informados por los emisores de dichas tarjetas de los datos que necesariamente deben facilitar a los comerciantes en el momento de realizar las operaciones de compra, por lo que no es exigible a Sfera el deber de información impuesto por la LOPD. Sin embargo Sfera es la que recaba los datos de los afectados para someterlos a un tratamiento automatizado, por lo que es a ella a quien incumbe la obligación de informar. Y, aunque sean los propios afectados quienes facilitan sus datos, y el artículo 5 de la LOPD se refiere a que deberán ser informados «los interesados a los que se soliciten datos personales», hay que tener en cuenta que la obligación que impone el citado artículo 5 es informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho de éste a tener una apropiada información en base a la cual pueda prestar válidamente su consentimiento. El derecho a ser informado quedaría sin duda frustrado, con la extensión e importancia que lo consagra la LOPD, si se excluyeran los supuestos en los que los afectados voluntariamente facilitan sus datos.
Aunque Sfera ha manifestado que tiene a disposición de los clientes folletos informativos del sistema y fórmulas alternativas para aquellos clientes que no deseen firmar en las tablillas, en este procedimiento sancionador no se ha constatado la existencia de dichos folletos ni, en su caso, que los mismos cumplan la misión de informar conforme exige el artículo 5 de la LOPD.
V
Además, en este caso, los datos personales recabados de los clientes que han abonado con tarjetas de crédito o débito en las compras realizadas en la entidad Sfera, son incluidos en un fichero en el que la citada entidad no es responsable. Esto supone que el cliente de Sfera desconoce quién es el titular del fichero que gestiona sus datos y dónde poder ejercer sus derechos.
Así ocurrió con la denunciante que tras ejercer el derecho de acceso ante Sfera, dado que era la entidad a la que ella había facilitado sus datos materialmente, le contesta que no existen datos relativos a su persona en sus ficheros. Y dicha afirmación es completamente cierta dado que, como se ha venido argumentado, los datos se incluyen en un fichero cuyo responsable es El Corte Inglés, por lo que es esta entidad la responsable de atender los derechos de los titulares de los datos que ella trata.
Pero la denunciante, cliente de Sfera, no es informada al respecto, por lo que el tratamiento de los datos personales ejercido por El Corte Inglés como titular del fichero «Clientes Otras Tarjetas Externas» es un tratamiento viciado. Aunque existe una relación negocial entre el cliente y el establecimiento que, en principio, permitiría el tratamiento de datos en virtud de la excepción del consentimiento prevista en el artículo 6.2 de la LOPD, no obstante, conforme a la obligación de la información previa que ha sido argumentada en el Fundamento de Derecho anterior, no puede ser aplicada dicha excepción porque para que exista la misma, la relación negocial debe ser admitida entre ambas partes y, en este caso, el cliente considera que la relación la mantiene con Sfera, desconociendo que es otra entidad la responsable del tratamiento de sus datos.
VI
Respecto al contrato suscrito entre El Corte Inglés y Sfera cuyo objeto es el compromiso de El Corte Inglés para gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento, lo cierto es que, respecto a los datos de clientes que pagan con tarjeta externas, sus datos son incluidos en el fichero «Clientes Otras Tarjetas Externas» cuyo responsable es El Corte Inglés. Por lo tanto, respecto a la gestión de este tipo de datos, el contrato suscrito por ambas entidades, de fecha 01/11/01, no es aplicable, estando constatado que el responsable del fichero y del tratamiento es El Corte Inglés.
Esta cuestión ha sido aclarada por ambas entidades en sus últimas alegaciones al reconocer que el referido contrato de prestación de servicios se refiere a servicios informático tales como confección de nóminas, contabilidad, etc., reconociendo El Corte Inglés ser el único responsable de la titular del fichero «Clientes Otras Tarjetas Externas.»
VII
El artículo 44.2.d) de la LOPD considera infracción leve: «Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.»
En este caso, Sfera ha recabado datos personales sin facilitar a la denunciante la información que señala el artículo 5 de la LOPD, por lo que debe considerarse que ha incurrido en la infracción leve descrita.
VIII
El artículo 44.3.d) de la LOPD considera infracción grave:
«Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.»
La Audiencia Nacional ha manifestado, en su Sentencia de 22/10/03, que «la descripción de conductas que establece el artículo 44.3d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave «tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley», por tanto, se está describiendo una conducta –el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos, realizando envíos publicitarios.»
Conforme se ha expuesto en los Fundamentos de Derecho anteriores, se considera que El Corte Inglés ha infringido el artículo 6 de la LOPD. Este artículo regula uno de los principios básicos del derecho fundamental a la protección de datos de carácter personal, el del consentimiento inequívoco de los interesados para el tratamiento de sus datos. Por tanto, El Corte Inglés ha infringido uno de los principios de la LOPD, y, en consecuencia, ha incurrido en la infracción grave descrita.
IX
A tenor de lo establecido en el artículo 45.1 y 2 de la LOPD, las infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros , y las graves serán sancionadas con multa de 60.101,21 euros a 300.506,05 euros.
El mismo artículo, en sus apartados 4 y 5, establece criterios de graduación de la sanción:
«4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.»
5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.»
La Audiencia Nacional, en sus Sentencias de 24/05/02 y 16/02/05, ha señalado en cuanto a la aplicación del apartado 5 del citado precepto que «… la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión «especialmente cualificada») y concretos».
En este caso, no se aprecia una disminución cualificada de la culpabilidad de Sfera y de El Corte Inglés, o de la antijuridicidad de los hechos, que permita la aplicación de la graduación de las sanciones prevista en el artículo 45.5 de la LOPD.
No obstante, teniendo en cuenta los criterios recogidos en el artículo 45.4 de la LOPD y, en especial, el volumen de tratamientos efectuados por ambas entidades y a la ausencia de beneficios obtenidos acreditados en el presente procedimiento, procede imponer las sanciones correspondientes en su cuantía mínima.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad SFERA JOVEN, S.A., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01€ (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad EL CORTE INGLÉS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
TERCERO: NOTIFICAR la presente resolución a SFERA JOVEN, S.A., (C/………………….), a EL CORTE INGLÉS, S.A., (C/………………..), y a DÑA. E.B.P., (C/………………..).
CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Madrid, 21 de marzo de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
SEMINARIO/TALLER PRACTICO:»Programacion de Aplicaciones para uso del DNI electrónico»
22 de mayo de 2007. Horario: 09:00 a 14:00
Lugar: Hotel AC Cuzco, Paseo de la Castellana, 133. (Madrid)
08:50 Acreditación de asistentes
09:00 Bienvenida a los asistentes
9:10 Librerías disponibles para uso DNIe e instalación
Sierra Fernández
Técnico de Proyectos Software
C3PO
10:00 Formatos de firma y ejemplos prácticos
- CMS/PKCS#7
- XML DSig
- S/MIME
- Descripción e importancia
- XAdES
- CAdES
Fernando Pino Sola
Director de Desarrollo de PKI
ALBALIA INTERACTIVA
10:50 Café
11:20 Validación certificados
- Introducción general: CRL, OCSP
- Servicios de validación de certificados para DNIe
- Uso de cachés
- Librerías
- Configuración de servidores Microsoft IIS y Apache
- Ejemplos para cada entorno
Samuel Adame
Safelayer
12:10 Obtención datos DNIe
Javier Montes Antona
Jefe de Servicio de Relaciones Externas
Dirección de Sistemas de Información
Fabrica Nacional de Moneda y Timbre. Real Casa de la Moneda
13:00 DNI Electrónico en Televisión Digital Interactiva
Tomas García-Meras
Consultor Junior
ATOS ORIGIN
13:50 Coloquio
14:00 Fin de la Jornada
Este Taller es parte del I Congreso sobre Autenticación y Firma Electrónica con el DNI-e a celebrar el 24 de abril de 2007
Por su interés, reproduzco el artículo que Miguel Azorín-Albiñana (Subdirector General de Tecnologías de la Información y las Comunicaciones, del Ministerio de Industria, Turismo y Comercio) ha publicado en la Revista de ASTIC, (Asociación Profesional del Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado) y que define un conjunto de iniciativas del Ministerio de Industria, Turismo y Comercio para impulsar la adopción del DNI electrónico que aplaudo desde este humilde Blog.
La verdad es que me he sentido muy identificado por todo lo que se indica en el artículo.
Entre los puntos clave, cabe destacar:
El Ministerio de Industria Turismo y Comercio, de acuerdo con lo establecido en el Real Decreto 1554/2004,de 25 de junio, por el que se desarrolla la estructura orgánica básica del Ministerio de Industria Turismo y Comercio, tiene entre sus competencias el diseño y ejecución de proyectos que favorezcan la integración de las tecnologías de la información en todos los ámbitos de la actividad económica y social, y el impulso y la coordinación de los planes, proyectos tecnológicos y programas de actuaciones para el desarrollo e implantación de la sociedad de la información; en especial, lo referente al acceso, la identificación digital y desarrollo en servicios y contenidos, en colaboración con los departamentos, Administraciones y entidades públicas implicados, así como con los sectores económicos y sociales públicos y privados afectados.
Por una parte, el Plan Avanza, aprobado por el Consejo de Ministros del 4 de noviembre de 2005, se orienta a conseguir la adecuada utilización de las TIC para contribuir al éxito de un modelo de crecimiento económico basado en el incremento de la competitividad y la productividad, la promoción de la igualdad social y regional y la mejora del bienestar y la calidad de vida de los ciudadanos.
Por otra, el 7 de julio de 2005, se firmó un acuerdo de colaboración entre el Ministerio del Interior y el Ministerio de Industria, Turismo y Comercio para el desarrollo del proyecto técnico del Documento Nacional de Identidad electrónico.
Mediante el citado Acuerdo, el MITYC adquirió obligaciones relativas a la financiación de una parte del proyecto por un importe de 11.642.000, así como a la colaboración en la definición y extensión de uso del DNI-e, a la difusión y patrocinio en el ámbito de la Sociedad de la información, al asesoramiento en las funcionalidades y capacidades tecnológicas y su adecuación a estándares y normas europeas e internacionales, a la puesta en marcha de un proyecto piloto que permitiese probar los certificados electrónicos incluidos en elDNI-e en los procedimientos internos y externos del Ministerio y a la puesta a disposición de ciudadanos y empresas de la primera ventanilla virtual que aceptase el DNI-e para tramitar los procedimientos externos.
Este acuerdo finaliza el 31 de diciembre de 2006, y si bien está prevista su prórroga de común acuerdo por ambas partes, el desarrollo actual del proyecto aconseja elaborar un nuevo acuerdo, que permita impulsar el proyecto del DNI-e para que sea una realidad para la mayor parte de los ciudadanos.
Fruto de estos acuerdos, el Ministerio de Industria, Turismo y Comercio ha puesto en marcha la creación de un centro de tecnología para el DNI-e dirigido al sector empresarial, en especial a las PYMES y MICROPYMES. El Centro de Tecnología para el DNI-e tiene por objetivo potenciar el uso de la identidad digital, de la firma electrónica, de los documentos electrónicos y de la factura electrónica en el sector empresarial aprovechando la oportunidad que proporcionan los certificados electrónicos contenidos en el DNI-e así como loscertificados de personas jurídicas y de representación que se están expidiendo por los diferentes prestadoresde servicios de certificación reconocidos por el Ministerio de Industria,Turismo y Comercio.
La necesidad de este Centro se ve reforzada por la toma en consideración en el Consejo de Ministros el pasado 17 de noviembre, del anteproyecto de Ley de Medidas de impulso de la Sociedad de la Información, en el que se introducen preceptos dirigidos al empleo de la factura electrónica y el uso de los medios electrónicos en todas las fases del proceso de la contratación, estableciéndose la obligatoriedad de la factura electrónica en el marco de la contratación pública estatal.
El citado anteproyecto de Ley prevé que el Ministerio de Industria, Turismo y Comercio impulsará el empleo de la factura electrónica entre los diversos agentes del mercado, en particular en las pequeñas y medianas empresas y en las denominadas microempresas, con el fin de fomentar el desarrollo del comercio electrónico. En esta línea de actuación, se enmarca el proyecto de creación del Centro de Tecnología para el DNI-e, cuya finalidad es la de dar soporte y asistencia a las pequeñas y medianas empresas en el uso de la identidad digital, en especial en la utilizacióndel DNI-e, así como en los procesosde relación con la Administración; en la celebración de contratos entre empresas, en la firma de documentos electrónicos y facturas electrónicas y en el establecimiento de medios de pago basados en el uso del nuevo DNI-e.
Para la consecución de estos objetivos se han definido las siguientes diez actuaciones:
Tomando como base y evolucionando el software desarrollado en la Subdirección General de Tecnologíasde la Información y las Comunicaciones del MITYC se procederán a realizar los siguientes desarrollos:
Componente de firma
El componente actualmente disponible en el Ministerio se basa en tecnología activeX y el estándar de firma XAdES-BES. Deberá modificarse para utilizar otro estándar de firma que permita la inclusión de información adicional de firma (como por ejemplo el sellado de tiempo), utilizando alguno de los estándares definidos por la ETSI (XAdES-T, XAdES-C, …).
Por otra parte su desarrollo como componente activeX limita su utilización al entorno Microsoft. Dado que este tipo de componentes deben de ser multiplataforma se deberá recodificar mediante el uso de JAVA. La especificación ETSI TS 101 903 v1.3.2 define cuatro formatos de firma electrónica avanzada XML (XAdES): Firma básica (XAdES-BES), Firma basada en política explícita (XAdES-EPES), y Firma con tiempo de validación (XAdES-T) y Firma con datos completos de validación (XAdES-C). Estos formatos pueden extenderse dando lugar a Firmas extendida con formato de tiempo (XAdES-X), Firmas largas extendidas con tiempo(XAdES-X-L) y Firmas con archivo (XAdES-A).
Componente de verificación de firma
El componente actual permite la verificación de firmas XML-Signature y XAdES-BES.
Deberá modificarse para que se permita, al menos, la verificación de otros estándares de firma ampliamente utilizados como PKCS#7 o XML-Signature.
Componente de sellado de tiempo
Dada la importancia en las relaciones contractuales de que una tercera parte de confianza pueda dar fe de lafecha en que una transacción entre dos particulares fue realizada, se desarrollará un nuevo componente que permita el sellado de tiempo o «time-stamping».
El estándar de firma utilizado deberá permitir la inclusión de este tipo de información.
Componente de validación de certificados
La Dirección General de la Policía (en adelante DGP) ha llegado a un acuerdo para proporcionar al MITYC acceso a la lista de certificados revocados(CRL) del DNI-e. El Sistema de Gestión de Certificados (SGC) que actualmente existe en el MITYC, realiza la validación de certificados X.509 v3 de laFNMT y de otros prestadores de servicios de certificación mediante el acceso remoto a listas de CRLs (vía LDAP o interfaces normalizados)
Se está creando un sitio web para soporte y divulgación del uso del DNI-e basado en el gestor de contenidos MS CMS dirigido a los sectores industriales, y en particular a la pyme y micropyme que al menos dispondrá de las siguientes áreas:
Se desarrollarán servicios de valor añadido basados en los componentes de firma generados y accesibles a través del portal creado.
Entre ellos se facilitarán las siguientes utilidades relacionadas a continuación.
Servicio de firma de documentos electrónicos
A partir de los componentes de firma desarrollados (ya mencionados) se implementará un servicio de firma de documentos electrónicos accesible vía web.
Servicio de verificación de firma y formato de documentos electrónicos
A partir de los componentes de firma desarrollados se implementará un servicio de verificación de firma y formato de documentos electrónicos accesible vía web.
Servicio de visualización de documentos firmados
A partir de los componentes de firma desarrollados se implementará un servicio de visualización de documentos firmados accesible vía web.
Servicio de sellado de tiempo
A partir de los componentes de firma desarrollados se implementará un servicio de sellado de tiempo accesible vía web.
Servicio de validación de certificados
Incluyendo la validación de certificados de PSC publicados en la web del MITYC y el servicio de validación de los certificados del DNI-e.
En la actualidad el MITYC dispone de una herramienta de CRM desarrollada a partir del producto de software libre OpenCRX que da servicio a las siguientes aplicaciones:
Se realizará la adaptación de esta herramienta para dar servicio de atención telefónica a las dudas planteadas por los usuarios de los sectores empresariales, pymes y micropymes, en lo relativo a la implantación y utilización práctica de la firma electrónica y la factura electrónica basadas en el DNI-e.
El sistema estará integrado por, al menos, dos niveles técnicos desoporte:
Una vez resueltas serán comunicadas al operador para que remita las respuesta al usuario.
Utilizando como soporte el portal creado para la divulgación del uso del DNI-e por parte del mundo empresarial, se generará documentación que contribuya a su difusión y formación.
Se realizará un estudio previo que permita determinar la justificación o no del uso de una solución de eLearning o blended-eLearning basada en plataforma CMS, LMS o LCMS.
La documentación generada, públicamente disponible, estará integrada por: material multimedia, guías, casos de éxito, recomendaciones y manuales.
Deberá ser de alta calidad tanto técnica como didáctica. Se prestará especial atención a difundir las tareas a realizar por parte de las unidades de informática de las empresas del sector industrial para implantar soluciones basadasen el DNI-e, entre las que destacan:
Se elaborará documentación multimedia en soporte CD/DVD que sirva para realizar acciones formativas dirigidas a empresas y representantes de los diferentes sectores implicados mediante la organización de jornadas sectoriales y seminarios. En particular se dirigirán a:
Se elaborará un estudio sobre normalización y especificaciones del pago electrónico basado en el DNI-e que garantice la interoperabilidad y estandarización de los sistemas a implementar, sin necesidad de utilizar un nodo intermedio, a través de un mecanismo bilateral entre el ordenante del pago y la entidad financiera que origine un movimiento de fondos a favor de una Administración Pública.
Tratándose de un elemento esencial para el desarrollo del comercio electrónico, cobra especial importancia el papel a desempeñar por operadores de telecomunicaciones, entidades financieras y legisladores.
Entre la normativa jurídica a considerar se encuentra la Ley 44/2002,de 22 de Noviembre, de Medidas de Reforma del Sistema Financiero (transposición de la Directiva 2000/46/CE) y la Ley 19/1985, de 16 de Julio, Cambiaria y del Cheque. El sistema que se desarrolle permitirá realizar operaciones telemáticas de pago basándose en la utilización de la firma electrónica reconocida.
Constará de dos subsistemas, uno a implementar en cualquier Organismo Público que recaude por vía telemática tasas y precios públicos (en adelante ORC, Organismo Responsable de Cobro), y otro en la Entidad Financiera de que se trate.
Se elaborará un estudio orientado a la definición del formato normalizado para el documento electrónico y la factura electrónica basados en el DNI-e, a partir del formato definido por la AEAT.
El núcleo jurídico actual para lafactura electrónica está integrado por la Orden HAC/3134/2002, de 5 dediciembre, sobre un nuevo desarrollo del régimen de facturación telemática, y la Resolución 2/2003 de 14 defebrero del Director General de la AEAT. Con la entrada en vigor del Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación, y se modifica el Reglamento del Impuestos obre el Valor Añadido, se consolida la posibilidad de remitir las facturas por medios electrónicos, con el consiguiente ahorro de costes para las empresas.
Las obligaciones de las empresas que emiten facturas electrónicas son las siguientes:
Las obligaciones de las empresas que reciben facturas electrónicas se resumen en:
La e-factura deberá incorporar firma electrónica reconocida.
El sector financiero, de común acuerdo con la AEAT, propone un formato estándar de factura electrónica dirigido a las entidades de depósito y, en general, a quienes estén interesados en adoptarlo y que reúne las siguientes características:
Se desarrollará un sistema para la verificación de la compatibilidad de los lectores de tarjetas criptográficas con el DNI-e.
El laboratorio de pruebas del MITYC, a petición de empresas importadoras, fabricantes o distribuidoras, emitirá un distintivo que acredite la compatibilidad de lectores de tarjetas criptográficas con el DNI-e.
A partir del análisis del parque de cajeros automáticos de entidades financieras y TPVs existentes actualmente en el mercado español, se realizará un estudio sobre las posibilidades y servicios a ofrecer a través de estos dispositivos mediante el uso del DNI-e.
Las diez actuaciones que se estánllevando a cabo estarán terminadas a finales de marzo de 2007 y van a permitir a la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información disponerde un centro avanzado de tecnología sobre el uso del DNI electrónico que será responsable de ofrecer al sector empresarial, PYMES y MICROPYMES asesoramiento, formación especializada, soluciones, componentes, servicios y programas para utilizar la firma electrónica, los documentos electrónicos y la factura electrónica, actuaciones que serán decisivas para incorporar las TIC en estos sectores, para el desarrollo del comercio electrónico y con ello el impulso y desarrollo de la Sociedad de la Información.
Todo es electrónico 