Archivo de la categoría: Firma digitalizada

Appliance de firma electrónica

Deja un comentario

Ya está disponible en formato appliance (y prácticamente con Configuración Cero) el aclamado sistema de firma electrónica BackTrust que permite a los organismos públicos cumplir con la Ley 11/2007 y a las entidades privadas poner en marcha el sistema de interlocución telemática al que les obliga la Ley 56/2007.

Hoy presentamos la variante xBackTrust, construida en torno a un equipo base de IBM x3650 y reforzado criptográficamente con placas IBM 4764 o Safenet Luna PCI.

El xBackTrust Appliance de Firma Electrónica gestiona firmas completas XAdES-XL y firmas PDF. Las genera, comprueba, prepara para el almacenamiento a largo plazo. Maneja TSA facilitando el uso de timestamping a través de protocolo OASIS DSS. Comprueba la validez de los certificados de cualquier prestador español o europeo. Es compatible con @firma y EADTrust.

Public Consultation on Electronic identification, authentication and signatures

Deja un comentario

As always, the last day comes quickly without enough time to prepare a sound document.

But tomorrow is the last day for this consultation and I though that my opinion could help to others.

Public Consultation on Electronic identification, authentication and signatures

1. Respondent information
Are you replying: On behalf of an organisation
Please provide the name of your Organisation
EAD Trust, European Agency of Digital Trust
Please provide if applicable, your interest Representative Register ID number
Please indicate which type of stakeholder you are Small or medium-size enterprise
Please provide your Name and Surname
Julian Inza
Please provide your email address
julian@eadtrust.com
Your country of residence Spain

2. General expectations regarding EU legislation on e-signatures, e-identification and e-authentication

Question 1: Do you / Does your organisation use e-signatures, e-identification and e-authentication?

 yes
If yes, what are your specific needs? Secure transactions
Unambiguous identification of contract partners
Integrity of electronic documents
Legal effect
Legal effect, contract signatures in particular
User convenience
Others
Please comment why
Electronic invoice, electronic documents of all kinds, electronic evidence

If yes, how frequently do you carry out secure transactions?

 Daily

Question 2: For what online transactions do you consider electronic identification, authentication and signatures useful in coming years?

 eGovernment services
Electronic Public Procurement
eCommerce transactions
eBusiness transactions
Online banking and financial transactions
Issuance of authentic electronic documents
Secure archiving or storage of authentic electronic documents
Others
Please comment why
electronic invoices, secure identification in social networks, electronic banking, web services, automated electronic seals,…

Question 3: What socio-economic benefits or drawbacks do you expect from the use of electronic signatures, identification, and authentication in other sectors of activity than yours?
A huge improvement in efficience and costs reductions. More security, more convenience, tele-operations of all kinds
Question 4: Would a stronger involvement of financial institutions in the provision of trusted e-signature and e-identification services have an impact on the take-up of e-signature and e-identification in other sectors? yes

If yes, what would be the appropriate incentives?
A simpler way to manage revocation information of certificates and to define trusted root certs and chain of trust&nbsp
Question 5: Do you think that there are specific interoperability or security aspects that should be taken into account to foster the use of electronic signatures, identification and authentication through mobile devices (e.g. requirements on the SIM cards, on the handset, on the mobile operator)? yes
If yes, regarding: operational
technical

Question 6: For which of the following trust building services and credentials should legal or regulatory measures be considered at EU-level in order to ensure their cross-border use and why?

 Electronic seals
Time stamping
Long term archiving
Certified delivery of mail
Pseudonyms
Certified electronic documents in general
Others (please list)
Please list
Long term accesible digital custody /electronic chartulary /electronic headoffice /secure verification code / certification validation services

3. e-signatures tailored to face the challenges of the digital single market

Question 7: How do you judge the take-up of electronic signatures in Europe?

 Very high
Please comment why
Citizen ID cards are being adopted in advanced countries, which include 2 or more certificates. Virtuous circle fosters the creation of adapted services
Question 8: Which of the following issues have a negative impact on the uptake of e-signature? You may select up to three answers that have according to you the most important impact. Lack of user-friendly signature solutions
Others
Please comment why
Poor solution for trust discovery of roots CA, bad implementations of OCSP in AIA extension of certificates, insufficient use of timestamping / not enough use of complete (AdES_XL) signatures, legacy management of CRLS to OCSP responses (bound to grace period), excesive use of CRLs for validation

Question 9: Which of the following specific issues have an impact on cross-border interoperability of e-signatures in Europe and should be addressed in a revised legal framework on e-signature (the references point to the articles and annexes of the eSignatures Directive)?

 Unclear terminology in Directive 1999/93/EC and heterogeneous terminology in national legislations
Heterogeneous approach to security requirements (e.g. certification requirements on the signing software in some countries)
Insufficient harmonisation of profiles of qualified certificates
Other
Please comment why
Lack of clear definition of electronic seal for legal persons, lack of clear definition of codes to inform about power of attorney in certificate extensions, unclear effect of qualified certificates without secre signature creation devices, lack of clear definition of automated signature&nbsp

Question 10: Which among the following options could be solutions for signature verification and validation at EU level?

 Other
Please comment why
Common list of OCSP services and timestamping services for all Trusted CAs in Europe. Signature software that creates always AdES-XL signatures including Timestamping and OCSP validation, getting the OCSP address from the AIA field of the certificate. OCSP services with grace period=0, supplied by the CA issuing certificates or a entity in its behalf, forbid the use of CRL for validation purposes. Relying party software that verifies XL signatures, Digital custody for secure storage of signatures,
Question 11: Do you have specific expectations from e-signature standardisation to cover? Mass signature (server signing)
Mobile signature creation devices
Remote signature
Others
Question 12: Do you use «qualified» e-signatures? yes
If yes, how often per month and for which kind and value of transactions?
3/4 per month. Transactions not connected to value. I believe transaction amount limits are relevant only to a few kinds of signatures.

Question 13: What is your view on the need to revise the security provisions of «qualified» e-signatures?

 The current provisions should stay as they are

Question 14: Would a classification of a range of e-signatures be desirable to match different levels of security?

 Yes, a classification would be convenient, it should be defined by law and a legal effect should be associated to each or some classes.
Please comment and explain for which usage a classification would be desirable.
legal person seal, automated signature, powers of attorney with use limits, SSL certificate with legal effects, sinonimous certificates and their effects, qualified certificates without SSCD. person associated to a company or government body acting in assigned role but not needing a representation letter or power
Question 15: Should «electronic consent» be recognised formally by future European legislation? yes

If yes, should legislation (where necessary supported by operational and technical standards) define specific requirements on:

 Others
Please explain why
It is already recognized in standards and is named «content commitment». When a certificate has that bit activated, should verify a proof of consent, including a turing test demonstrating the user has read the message and asking clearly for consent. This kind of use should generate evidences for all involved parties and, where possible, an accesible digital custody (chartulary+electronic headoffice+secure verification code) receipt for them)
Question 16: Should «electronic consent» be considered as equivalent to electronic signatures? yes

Question 17: Are there specific aspects that should be taken into account to address electronic archiving?

 yes
If yes, please specify the legal provisions which are needed in your opinion to address electronic archiving needs?
All electronic documents (signed or not) with legal effect, should be available under security considerations applied to archive (WORM), through a URL of trusted sites (electronc headoffice), with the help of a secure verification code. With additional measures for preserving privacy in specific cases, or to allow to be accessible to third parties for proof or evidential reasons. Paper documents or receipts withs URL and SVC, that can be verified against the electronis versions are considered trustworthy equivalent to authentic documents

4. Principles to guide e-identification and e-authentication in europe
Question 18: Do you see a need for additional legal or regulatory measures on electronic identification at EU-level? yes

If yes, in your opinion, what are the general principles that should underlie the legal provisions on the mutual recognition and acceptance of e-identification at EU-level?

 Others
Please comment
compatibility&nbsp
Question 19: What effects for the digital single market do you expect from legal provisions on an EU-wide mutual recognition and acceptance of eID issued in the Member States? Legal certainty
Reduction of administrative burden
Other
Please comment why
Simplicity for citizen to exercise their rights in all countries, Convenience for citizens, efficience for government bodies and enterprises

Question 20: How could users provided with electronic identification and authentication means benefit from their mutual recognition and acceptance across Europe and in which sectors?

 Increase of user convenience
Simplification of access to online services
Reduction of numerous UID/passwords
Reduced exposure to ID theft
Others
Please comment why
Use in day by day in non online services, to dematerialice paper

Question 21: What are the specific aspects that should be taken into account to achieve cross-sector interoperability of electronic identities?

 Others
Please comment why
Common list of trusted CAs and their roots, Common profiles, common OIDs definitions, Correct codification of OCSP servers in AIA fields

Question 22: Please indicate experiences and lessons learned in the private sector that could be transferred to the public sector.
Please make everything EASY for the final user. And define a consistent user experience for all ID cards. Users then can detect if someone try to cheat them (identifying unusual use patterns)

5. Legislative measures for the challenges ahead

Question 23: What European Union legislative measures on e-signatures, e-authentication of natural and legal person claims as well as e-identification would be appropriate in your opinion to best meet the challenges of the digital single market?

 Other
Please comment why
Reglament better than Directive. Clear rules. Clear language, Legal framework ligned with standards (standards are now better than law, but can not be used in the best way because law does not cover some technical uses)

6. Research and Innovation

Question 24: On what issues should EU R&D and standardisation focus to have all the necessary technology to improve eID management?
Nothing. A lot of money has been spent in past years without real improvement. We have standards. We should use them and in some cases improve them, with normal budget.

Question 25: On which technologies should Research & Development focus to improve the usability of e-signatures and electronic identification for end users and to facilitate the deployment for service providers?
Timestamping services, OCSP services, custodian services, registered notice services, mobile service, intelligent NFC services, interoperability services

Question 26: What technologies could contribute to overcoming the lack of trust in electronic identification, authentication and signatures in the European Single Market (ex. addressing the so-called «what you see is what you sign» issue)?
TSL, XAdES-XL, PAdES-LTV, writen signature digitalization with security measures binding the signature to the document in a way equivalent to «advance signature» with use of trusted third parties

7. Others

Question 27: Europe is fully part of the global economy. However, the forthcoming legal framework cannot cover non EU countries. Are there nevertheless international issues that should be taken into account?
The development of the legal framework must take into account existing standards or be compatible with future global standards. For instance RFC 3739

Question 28: Would you wish to share some best practices examples outside Europe?
Maybe connection of strong authentication with ID cards to federated identity systems (such as SAML) or simple authentication systems such as Open-ID can facilitate the use of Strong identity in social networks

Question 29: Are there any other issues which you think should be addressed by policy makers?
Yes. The use of ID systems and electronic signatures should be a strategic movement covering all kind of documents and sectors. In the past different lobbies or groups of interest have tried to convince EU policy makers to take out electronic signatures from electronic invoices to cite just one area. Electronic signatures should be used consistently in all areas or, at the end, exceptions will be greater that the rule and electronic signature can become useles or even worst, dangerous.
Meta Informations
Creation date
15-04-2011
Last update date
User name
null
Case Number
089674306510210511
Invitation Ref.
Status
N
Language
en

Firma electrónica en arquitectura SOA

2 respuestas

El próximo 5 de Mayo de 2011 se celebra en Madrid, en el Hotel Nuevo Madrid y organizado por Atenea Interactiva un nuevo seminario sobre Firma electrónica en arquitectura SOA, destinado a las entidades públicas y privadas. Las primeras obligadas por la ley 11/2007, y las segundas, por la ley 56/2007, y todas aprovechando las oportunidad que brinda la ley 59/2003. Por tan solo 350 euros +IVA.

Para garantizar la confidencialidad y la integridad de las transacciones, así como la identificación inequívoca de su autor  es necesario recurrir a soluciones basadas en Técnicas Criptográficas, Certificación Digital y Firma Electrónica. En soluciones que redunden en la confianza de las transacciones para todos los participantes. En el marco de  Ley de Firma Electrónica publicada en 2003 se han establecido hasta la fecha las bases para conseguir extender el uso y desarrollo de estas tecnologías en la Sociedad de la Información.

Ocho años después, la evolución de las  TICs  hacia entornos basados en el Cloud Computing y la movilidad, están cambiando los paradigmas preestablecidos respecto a la  Firma Electrónica y a  la Identidad Digital, creando a su vez un abanico de servicios relacionados hasta ahora prácticamente desconocidos.

Conceptos como la  Firma Remota, la Gestión centralizada de claves, la Firma electrónica en Movilidad, la Firma Digitalizada, la Custodia de documentos  a largo plazo y los nuevos escenarios creados por el desarrollo de la  Administración Electrónica y sus normas de aplicación, especialmente en lo relativo a la adecuación de los  Esquemas Nacionales de Interoperabilidad y Seguridad, están haciendo evolucionar los recursos de  PKI de un contexto  basado en aplicaciones distribuidas hacia un elemento crítico de infraestructura y el consumo de servicios de  Firma Electrónica.

Este es el programa:

1.- Service-oriented architecture

  • Iniciación a SOA
  • Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

  • Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
  • Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA

3. Conceptos de Firma Electrónica y PKI

  • Propiedad de la Firma Electrónica
  • Conceptos Criptográficos
  • Los Certificados Electrónicos. Tipos
  • El proceso de Firma Electrónica
  • Legislación

4. La Firma Electrónica como elemento de Arquitectura

  • La Firma Electrónica como servicio
  • Servidores de Firma y Validación
  • Repositorios de claves centralizadas
  • Despliegue de PKIs internas
  • Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

  • Firmas remotas y “upgrade” de firmas
  • Servicios de Validación de firmas y certificados centralizados. CRL, CSP, SCVP
  • Servicios de Sellado de Tiempo
  • Firma en entornos móviles. Posibles enfoques
  • Firma manuscrita digitalizada y servicios PKI avanzados.

6. Formatos y estándares de firma

  • Tipos de Firma “legales”
  • Formatos básicos
  • Formatos AdES. XAdES, CAdES y PAdES (TS 101 733, TS 101 903, TS 102 778)
  • Estándar Oasis DSS (Digital Signature Services). Descripción y perfiles
  • Firmas longevas, la importancia de la firma en la conservación de documentos
  • La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones
Públicas

  • La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
  • Procesos de firma automatizados. Sello de órgano y CSV
  • Servicios de Firma y Validación disponibles para Administraciones Públicas
  • Identidad Digital y Administración Pública
  • Políticas de firma en las AAPP. Descripción y Diseño
  • Interoperabilidad. TSL (Ttrust Services Status List) TS 102 231. Proyecto Stork

Seminario sobre autenticidad de los documentos electrónicos

5 respuestas

Tanto en el ámbito publico como en el privado, existe una cierta preocupación sobre la forma de determinar la autenticidad de los documentos electrónicos.

En el ámbito público, las cosas están algo más claras con la normativa desarrollada a partir de la Ley 11/2007, pero en el sector privado, las opciones se reducen a lo prescrito por la Ley 34/2002 y un solo artículo (el segundo) de la Ley 56/2007.

Este seminario se centra en la determinacion de los principios que regulan la autenticidad de los documentos electrónicos, de forma que tales principios son igualmente aplicables al sector privado y al sector público. Luego la identificacion de los principios con normas concretas  permiten la argumentación jurídica que sea necesaria.

En última instancia, los conceptos de firma eletrónica y custodia digital  son los componentes básicos de los sistemas que garantizan la autenticidad de los documentos electrónicos y estos conceptos junto con otros auxiliares permiten establecer el cuerpo de conocimento de la Diplomática Digital.

Un ejemplo: ¿cual es el valor de la firma digitalizada en los documentos electrónicos? En principio, muy poco. Pero si se aplican ciertas premisas y se hace un uso adecuado de la criptografía, el resultado puede llegar a ser considerado «firma avanzada» de acuerdo con la Ley 59/2003, con equivalencia funcional con la firma manuscrita.

Para profundizar en estos temas y entender el por qué de muchas indicaciones legales, es esencial acudir a este seminario de Diplomática Digital, que organiza Atenea Interactiva el próximo 24 de marzo de 2011 en Madrid.

Seminario de Diplomática Digital

2 respuestas

La diplomática es una ciencia auxiliar de la historia que se ocupa de la autenticidad de los documentos, y que se definió inicialmente en 1681 a partir de la obra fundacional “De re diplomática” del benedictino Jean Mabillon.

En el ámbito de las Administraciones Públicas ha dado lugar al concepto de “diplomática contemporánea” que se ha uniformizado gracias a la Ley 30/1992.

Con la Ley 11/2007 se les da un nuevo impulso a los aspectos digitales de la diplomática, pero quienes tienen que implantarlos se encuentran frecuentemente con que no tienen el bagaje conceptual que permita resolver las dudas de aplicación más allá de la letra de la ley.

En el sector privado, la LSSI y el artículo 2 de la Ley 56/2007 marcan una orientación en la Gestión Electrónica de Documentos, pero hay dudas sobre el valor jurídico de muchas de las iniciativas destinadas a mejorar la eficiencia en la Gestión de Documentos. Cuando los proyectos de desmaterialización documental se acometen, se experimentan ahorros de decenas de millones de euros (en función de la dimensión de los proyectos), y períodos de recuperación de la inversión de entre 9 y 12 meses.

Atenea Interactiva organiza el próximo 24 de marzo de 2010 en el Hotel Nuevo Madrid el Seminario «Diplomática Digital«, en el que se desarrollan los conceptos claves para manejar documentos electrónicos auténticos, de la mano de expertos en Gestión Documental Electrónica de carácter probatorio, y se contextualizan en el marco jurídico español, aunque las ideas claves sean de aplicación universal.

El coste del evento es de 350 € + IVA (18%). Total 413 € por asistente. Este es el formulario de inscripción. Y este es el programa:

CONCEPTOS DE DIPLOMÁTICA

  • Archivística, Paleografía, Sigilografía.
  • Cartularios, Códices Diplomáticos, Tumbos, Becerros
  • Autenticidad de los documentos en papel
  • Partes de un documento
  • Tipos de documentos

MARCO LEGAL

  • Normativa en relación con los archivos
  • Normativa en relación con la Firma Electrónica
  • Normativa de Administración Electrónica
  • Normativa sobre Contratación Electrónica
  • Estándares aplicables en la Gestión de Documentos Electrónicos

DIPLOMÁTICA DIGITAL

  • Autenticidad de los Documentos Electrónicos. Obliterabilidad, Endosabilidad, Completitud
  • Firma Electrónica. Firma Avanzada. Firma Completa
  • Custodia Digital. Cartulario Digital. Archivo de Constancias Electrónicas. Código de Verificación
  • Convivencia de Documentos Electrónicos y de papel. Albalá, Copia constatable, Digitalización Certificada. Localizador

GESTIÓN DE DOCUMENTOS EN EL SECTOR PÚBLICO

  • Sede Electrónica. Código seguro de verificación.
  • Registro de entrada, registro de salida, registro telemático, interconexión de registros. SICRES.
  • Expediente Electrónico
  • Digitalización de Documentos
  • Interoperabilidad de Gestión de Documentos entre Administraciones
  • Clasificación de documentos. Metadatos.
  • Notificaciones Fehacientes. Notificaciones Obligatorias.

GESTIÓN DE DOCUMENTOS EN EL SECTOR PRIVADO

  • Contratos. Novación Electrónica. Prestación del consentimiento.
  • Digitalización Certificada de facturas. Digitalización Certificada de otros tipos de documentos.
  • Uso de la Firma Electrónica.
  • Requisitos de la digitalización de la firma manuscrita para que sea considerada Firma Electrónica avanzada. Tabletas digitalizadoras, bolígrafos electrónicos.
  • Notificaciones Fehacientes. Correo Electrónico Certificado

GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN ENTORNOS JURISDICCIONALES

  • La Prueba Electrónica en la Ley de Enjuiciamiento Civil
  • Evidencias Electrónicas estructuradas y no estructuradas.
  • Informática forense.
  • Documentos privados. Documentos públicos. El informe pericial. El testigo perito.

Caixa Galicia implanta la firma digitalizada en sus oficinas

2 respuestas

La entidad bancaria lleva desde hace un tiempo inmersa en este proyecto, liderado por la CECA, y que tiene como fin mejorar el servicio al cliente y reducir el uso de papel en las oficinas. De momento, Caixa Galicia ha realizado más de tres millones de operaciones con firma digitalizada

Bajo el marco de este proyecto, la caja gallega ha implantando unas 2.000 tabletas digitalizadoras en su red de oficinas. Esto, que le permitirá un importante ahorro de costes, supondrá que los clientes ya no tendrán que firmar en un resguardo, sino en una pantalla o tableta digitalizadora. Para José Manuel Valiño, director de sistemas de Caixa Galicia, “se trata de una idea pionera e innovadora en el sector bancario que, además de ofrecer una mayor seguridad, supone un gran ahorro de costes”.

Implantación

En la primera fase del proyecto, que ha abarcado los primeros meses de 2009, 580 sucursales han comenzado a firmar sus operaciones con clientes de manera digital. Éstas han sumado más de tres millones de operaciones con firma digitalizada.
El proceso de implantación del nuevo sistema proseguirá hasta finales de año, cuando la gran mayoría de las oficinas de la red cuenten con tabletas electrónicas o dispositivos de captura de firma digitalizada.

El sistema ha sido impulsado por la COAS (Comisión de Organización, Automatización y Servicios) de CECA (Confederación Española de Cajas de Ahorros) y se adapta a las últimas tecnologías existentes en materia de digitalización de firmas.

El proyecto recibió el mes pasado en La Haya el galardón Tele Trust Innovation Award para soluciones de seguridad.

Esta iniciativa de firma digitalizada se enmarca en el proyecto “Cero papel” de la caja, que consiste en aplicar las mejores tecnologías disponibles a la operatoria, de tal modo que la optimización de los diferentes procesos permita minimizar el consumo de papel en todas sus vertientes.

Albalia Interactiva diseñó con los especialistas de la caja gallega las medidas de seguridad iniciales del sistema con el fin de preservar al máximo el valor probatorio de la firma obtenida y minimizar el riesgo de controversias.

Visto en Computing

Un nuevo tipo de «notario» de documentos electrónicos

Deja un comentario

La Agencia Europea de Confianza Digital (European Agency of Digital Trust) es un intermediario que genera y custodia documentos electrónicos con máxima garantía y fiabilidad para los clientes

Del papel a Internet. Mandar correos electrónicos fehacientes en lugar de notificaciones postales o documentos a través del correo tradicional, o hacer operaciones bancarias por Internet en vez de acudir a la oficina está ya a la orden del día.

European Agency of Digital Trust  es un tercero de confianza electrónico que ha nacido para garantizar estas nuevas relaciones comerciales que se materializan en documentos electrónicos. La empresa es pionera en notificaciones electrónicas garantizadas y perfeccionamiento de contratos telemáticamente.

«Las pruebas documentales en soporte papel son perdurables e inalterables, lo que hasta ahora no sucedía con las pruebas electrónicas», afirma el Presidente de EAD Trust , Julián Inza. El ejecutivo señala que «la volatilidad y la unilateralidad probatoria » eran las características de los documentos electrónicos. Esto hacía que fueran pruebas poco fiables jurídicamente, por ser «fácilmente manipulables». «Había que mejorar la gestión de las evidencias electrónicas para garantizar su utilidad en juicio», explica Inza .

Es en esa tarea cuando se define European Agency of Digital Trust como una «Tercera Parte de Confianza Digital», un intermediario que recaba, genera y custodia pruebas electrónicas y elimina los problemas en las relaciones electrónicas entre las partes implicadas, facilitando la «simetría probatoria» en pie de igualdad para todos los intervinientes de una operación jurídica sustentada electrónicamente.

Procesos judiciales

European Agency of Digital Trust, impulsada por veteranos especialistas del mundo de las Autoridades de Certificación y la firma electrónica, atesora la experiencia de entidades precursoras como Banesto, la Fundación Notarial FESTE, o las Cámaras de Comercio con Camerfirma.

El pasado mes de enero European Agency of Digital Trust  quedó constituida como entidad prestadora de servicios de confianza digital para evitar que las partes implicadas en los documentos los manipulen e interfieran en los procesos judiciales. Con vocación de servir por igual a los especialistas tecnológicos y a los profesionales del derecho y estableciendo pautas y  protocolos destinados a preservar evidencias electrónicas.

Entre los clientes que han confiado en European Agency of Digital Trust: aseguradoras, entidades financieras,  empresas del sector energético, organismos públicos, fundaciones, SICAVs.

Según sus responsables, European Agency of Digital Trust ha logrado combinar la eficiencia de procesos y su despapelización con un modelo de precios muy  asequible.

Su sistema ha ampliado las modalidades de firma de los documentos electrónicos: no sólo permite usar el DNI electrónico o la firma electrónica basada en otros certificados ; con un simple móvil pueden realizarse todas las operaciones. La empresa también ha incorporado otros sistemas, como la biometría de voz o la biometría conductual de la firma manuscrita (firma grafométrica) . Con estas tecnologías, European Agency of Digital Trust  permite a las empresas ahorrar costes. Mientras un burofax cuesta entre 12 y 30 euros, una notificación electrónica con European Agency of Digital Trust  cuesta un euro. La firma de un contrato en papel tiene un coste de entre 18 y 40 euros, lo que contrasta con los dos euros de una operación electrónica de perfecciionamiento de contratao (aunando la oferta con su aceptación).

Guardar un documento en formato electrónico durante un largo periodo puede complicar su lectura: los programas para abrirlo caducan y es más difícil su visualización. Para evitar este problema, «durante el tiempo que el documento está con nosotros garantizamos su visualización», asegura el presidente.

Digitalización de firma manuscrita

12 respuestas

La digitalización de firma que se lleva a cabo en algunos comercios podría ser considerada firma electrónica simple y con medidas técnicas especiales de custodia, podría defenderse su valor probatorio.

Sin embargo, tras una reciente resolución (la R/00098/2006) del Director de la Agencia de Protección de Datos (en el Procedimiento Nº PS/00241/2005), habrá que tener mucho cuidado en los detalles de la implementación de estos sistemas, y, en general, de los que utilizan datos biométricos en la identificación.

Transcribo el documento que tiene un gran interés:

En el procedimiento sancionador PS/00241/2005, instruido por la Agencia Española de Protección de Datos a las entidades SFERA JOVEN, S.A. y EL CORTE INGLÉS, S.A., vista la denuncia presentada por DÑA. E.B.P., y en base a los siguientes,

ANTECEDENTES

PRIMERO: En fecha 20/12/04, tuvo entrada en esta Agencia un escrito de Dña. E.B.P. (en lo sucesivo la denunciante), en el que manifiesta que, en fecha 14/10/04, al realizar una compra con tarjeta de crédito en la tienda «SFERA» del Centro Comercial ……., recibe el original del tique de compra y advierte a la dependienta de ello. La dependienta le contesta que en el momento de estampar su firma la misma ha quedado digitalizada y guardada con el resto de la operación, por lo que el original en papel del tique de compra le puede ser entregado.

Manifiesta no haber sido informada en su momento del tratamiento y que, en el comprobante de la operación, no figura ningún tipo de cláusula informativa de que los datos personales quedarían recogidos, ni del uso o fin de la recogida y tratamiento de esos datos.

Con posterioridad, en fecha 10/11/04, ejerce ante Sfera Joven, S.A. el derecho de acceso a sus datos personales, indicándole en la contestación que sus datos no figuran en fichero alguno de la entidad y que los datos de la operación de compra quedan en poder de los emisores de las tarjetas.

SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda «SFERA» del Centro Comercial ……., siendo la entidad responsable de la mencionada marca Sfera Joven, S.A. (en lo sucesivo Sfera). En dicha visita se constató que el comercio dispone de diversos puntos de venta dotados de terminales de marca IBM, a los cuales se encuentran conectadas pequeñas tabletas digitalizadoras. Las tabletas digitalizadoras incluyen el logotipo «Sfera» y constan de una tapa de metacrilato que restringe la posibilidad de escribir sobre la tableta, salvo en una pequeña zona del tamaño adecuado para una firma manuscrita.

Realizada una compra con tarjeta de crédito por los Inspectores de Datos, comprueban que, una vez aceptada la operación e impreso el resguardo de la compra correspondiente, la empleada de la tienda ofrece a la firma el mismo, situándolo entre la tableta digitalizadora y la tapa de metacrilato descritas. Una vez firmado, el resguardo es entregado al comprador, constando de un sólo ejemplar y verificándose que la empleada no procede a emitir o imprimir ningún otro tique.

En ningún momento se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio.

TERCERO: Aunque los representantes de Sfera manifestaron que existen carteles informativos al respecto, los Inspectores de Datos que se personaron en la tienda «SFERA» del Centro Comercial ……., constataron que no se encontraba expuesta ninguna información sobre el sistema de recogida electrónica de firma.

Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado «Clientes Otras Tarjetas Externas» inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A.

Todo el tratamiento de los tiques de compra se realiza por El Corte Inglés, S.A., siendo esta entidad la responsable del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.

En la referida Inspección, se comprobó la existencia de los siguientes datos correspondientes a la operación realizada por la denunciante: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra.

También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de la Agencia en fecha 24/08/05.

Sfera y El Corte Inglés, S.A. (en lo sucesivo El Corte Inglés) tienen suscrito un contrato de prestación de servicios informáticos, de fecha 01/11/01, en el cual se estipula como objeto del mismo que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento.

A pesar de que en el referido contrato El Corte Inglés se identifique como encargado del tratamiento, es responsable del fichero denominado «Clientes Otras Tarjetas Externas», así como del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.

CUARTO: A la vista del resultado de estas actuaciones previas de investigación, el Director de la Agencia Española de Protección de Datos acordó, en fecha 26/09/05, iniciar procedimiento sancionador a Sfera por la presunta infracción del artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el artículo 44.2.d) de dicha norma, pudiendo ser sancionada con multa de 601,01 € a 60.101,21 € , de acuerdo con el artículo 45.1 de la citada Ley Orgánica.

Igualmente, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a El Corte Inglés por la presunta infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.

QUINTO: Notificado el acuerdo de inicio de procedimiento sancionador, ambas entidades presentaron alegaciones al respecto.

Sfera manifiesta que no realiza ningún tratamiento de datos personales, simplemente acepta, como medio de pago, las tarjetas previamente convenidas con su gestor de pasarela de pago que, en este caso, es El Corte Inglés. Los sistemas de cobro de Sfera no son de su propiedad y no guarda ningún tipo de datos, dado que Sfera no tiene ningún fichero de clientes. Por tanto, si no hay tratamiento, no hay obligación de informar. Además, los datos que se obtienen del cliente son el número de tarjeta y la firma digitalizada, y este tipo de datos no puede considerarse como datos de carácter personal.

El Corte Inglés alega que, respecto a los clientes que pagan con tarjeta de crédito, no guardan ninguna información identificativa del mismo. No es necesario el consentimiento para tratar esos datos, dado que son necesarios para la relación negocial que el propio cliente ha aceptado al realizar el pago con tarjeta de crédito, cuyo emisor ya le ha informado de la necesaria captura de datos por parte del responsable del comercio donde sea utilizada.

SÉXTO: En la fase de pruebas se practicaron, entre otras, la prueba propuesta por El Corte Inglés consistente en que la denunciante aportase copia del contrato suscrito con su emisor de tarjeta de crédito.

SÉPTIMO: Terminada la fase de práctica de pruebas, el expediente se puso de manifiesto a los interesados, otorgándoles un plazo de quince días para presentar alegaciones. Solicitada ampliación de dicho plazo, el Instructor del procedimiento acordó ampliar el plazo en siete días más. Transcurrido la totalidad del plazo otorgado, no se han recibido alegaciones de ambas entidades interesadas en el presente procedimiento.

OCTAVO: En fecha 23/01/06 se emitió Propuesta de Resolución en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Sfera con multa de 601,01€ por la infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, y a El Corte Inglés con multa de 60.101,21 € por la infracción del los artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma.

NOVENO: En fecha 24/01/06 se recibieron las alegaciones de Sfera y El Corte Inglés a la fase de audiencia en las que se ratifican en sus manifestaciones anteriores.

DÉCIMO: En fecha 28/02/06 se han recibido las alegaciones de Sfera y El Corte Inglés a la Propuesta de Resolución, indicando que la Propuesta emitida es nula dado que no se han tenido en cuenta las alegaciones realizadas en la fase de audiencia. No obstante, reconocen la posibilidad de que las mismas se hubiesen recibido en esta Agencia con posterioridad a la emisión de la Propuesta. Añaden que es importante que se sumen dos hechos de interés: de una parte, que en el contrato de tarjeta aportado por la denunciante, ésta se compromete a identificarse ante el comerciante y firmar los comprobantes de compra que le sean presentados, y por otra, que El Corte Inglés es gestor de la pasarela de pagos de Sfera. Esta última aclaración es importante porque demuestra que El Corte Inglés tiene una doble cualidad respecto a su filial Sfera. Por un lado, le presta servicios informáticos (confección de nómina, contabilidad, etc.) conforme al contrato de prestación de servicios firmado el 01/11/01. Pero, por otro lado, El Corte Inglés es gestor de la pasarela de pagos y respecto a los datos referidos a pagos con tarjeta es el único titular. Reinciden en que no conocen ningún procedimiento para identificar al titular de la tarjeta con los datos que se conservan. El Corte Inglés manifiesta que no es necesario solicitar el consentimiento de los interesados dado que existe una relación negocial. Sfera afirma que es innecesaria la información por su parte, dado que quien debe informar, en tal caso, es el emisor de la tarjeta, y concluye que, en contra de lo manifestado en la Propuesta de Resolución, existen folletos explicativos para los clientes.

HECHOS PROBADOS

PRIMERO: Dña. E.B.P., en fecha 14/10/04, realizó una compra con tarjeta de crédito en la tienda «SFERA» del Centro Comercial …….. No fue informada de que su firma había sido digitalizada y guardada con el resto de los datos de la operación de compra (folio 5).

SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda «SFERA» del Centro Comercial ……., y realizaron una compra con tarjeta de crédito, comprobado que, en ningún momento, se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio (folios 13-15).

TERCERO: En fecha 01/09/05, a consecuencia de la visita de Inspección a Sfera, se constató que tienen implantado un sistema de recogida electrónica de la firma de aquellos clientes que abonan la compra mediante tarjeta de crédito o débito (ya fuera la emitida por el Grupo Corte Inglés o una tarjeta externa), utilizando para su captura una tableta digitalizadora. En el proceso de compra se imprime un sólo tique que el cliente firma sobre una tableta digitalizadora. Este tique es entregado al cliente, no realizándose ninguna otra impresión para su conservación por la entidad (folios 24-26, 34-39).

CUARTO: Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por ninguna empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado «Clientes Otras Tarjetas Externas» inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. (folio 25).

QUINTO: En la visita de Inspección realizada en Sfera, se comprobó la existencia de los siguientes datos correspondientes a Dña. E.B.P.: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra. También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de Datos en fecha 24/08/05 (folios 36-39).

SEXTO: «Clientes Otras Tarjetas Externas», inscrito en el Registro General de Protección de Datos, cuyo responsble es El Corte Inglés, S.A.. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A. (folios 25, 104-108).

SÉPTIMO: , de fecha 01/11/01, en el cual se estipula, como objeto del mismo, que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento (folios 29-31). A pesar de ello, es responsable del fichero citado en el Hecho Probado anterior, así como del cobro de los importes de las transacciones, gestión de posibles reclamaciones y conservación de la información durante el plazo establecido (folios 104-108).

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD.

II

Como cuestión previa, procede responder a la petición de nulidad de la Propuesta de Resolución emitida por no haberse tenido en cuenta las alegaciones efectuadas por El Corte Inglés y Sfera en la fase de audiencia.

Terminado el período de práctica de pruebas, el expediente se puso de manifiesto a ambas entidades, mediante la notificación de la relación de documentos obrantes en el expediente y la posibilidad de presentar alegaciones en el plazo de quince días hábiles a contar desde la recepción de dicho escrito. Sfera y el Corte Inglés recibieron dicha comunicación el 19/12/05, según aviso de recibo del Servicio de Correos. Por consiguiente, el plazo para presentar alegaciones terminaba el 05/01/06. No obstante, en fecha 03/01/06 se recibió solicitud de ampliación del plazo para presentar alegaciones, y el Instructor del procedimiento, de conformidad con lo dispuesto en el artículo 49.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), admitió la ampliación en un plazo de siete días a contar desde el día siguiente a aquél en que finalice el primer plazo. Por tanto, teniendo en cuenta la ampliación, el plazo de alegaciones finalizaba el 14/01/06.

En fecha 23/01/06 se emitió la Propuesta de Resolución. Las alegaciones de Sfera y El Corte Inglés se recibieron en esta Agencia el 24/01/06, aunque consta en las mismas su presentación en el Servicio de Correos en fechas 19/01/06 y 20/01/06, respectivamente. Esto demuestra que dichas alegaciones, con independencia de que se recepcionasen en esta Agencia con posterioridad a la emisión de la Propuesta de Resolución, se habían presentado transcurrido el plazo otorgado para formular dichas alegaciones.

No obstante, dado que la Propuesta de Resolución no pone fin al procedimiento sancionador, no se produce ninguna indefensión a las entidades interesadas, dado que tras la Propuesta, existe un nuevo plazo de presentación de alegaciones.

Y, respecto a este último plazo, procede concretar que la Propuesta de Resolución fue notificada a El Corte Inglés y a Sfera el 27/01/06, otorgándoles un plazo de quince días hábiles para presentar alegaciones. Dicho plazo vencía el 14/02/06. Sin embargo, ambas entidades han presentado sus alegaciones en el Servicio de Correos en fecha 16/02/06, es decir, transcurrido el plazo otorgado para presentar alegaciones, siendo recibidas en esta Agencia el 28/02/06.

No obstante, aunque las alegaciones de Sfera y El Corte Inglés realizadas tras la fase de audiencia y después de la Propuesta de Resolución, han sido presentadas vencidos los plazos otorgados para tal fin, se ha procedido a tener en cuenta las mismas para elaborar la presente Resolución.

III

Respecto al fondo del asunto, procede analizar si los datos obtenidos por Sfera de los clientes que pagan con tarjetas de crédito o débito externas, y que se recogen y conservan en el fichero denominado «Clientes Otras Tarjetas Externas»de El Corte Inglés, deben considerarse datos de carácter personal. Sfera y El Corte Inglés manifiestan que los datos que se conservan no permiten identificar a la persona física que realizó la operación, sin embargo ha quedado acreditado en el procedimiento que en el fichero informático denominado «Clientes Otras Tarjetas Externas» se almacenan los talones de compras abonadas con tarjetas externas al grupo Corte Inglés y estos talones contienen datos sobre la identificación de los productos adquiridos, importe de la compra, fecha, número de tarjeta, nombre, apellidos del titular de la misma y firma digitalizada de éste, según consta en los folios 36 a 39.

El artículo 3.a) de la LOPD define datos de carácter personal como «cualquier información concerniente a personas físicas identificadas o identificables,» añadiendo el apartado 4 del artículo 1, del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de acuerdo con lo establecido en la disposición transitoria tercera de la LOPD, que dato de carácter personal es «toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.»

En línea con lo anterior el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/95, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considera identificable «toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.»

Este concepto de dato personal es sumamente amplio. La Audiencia Nacional en su Sentencia de 08/03/02, ha señalado que «no hay datos de carácter personal, y por tanto no es posible aplicar la Ley de Protección de Datos a los llamados «datos disociados» y así el mismo artículo 3 de la Ley, pero en su apartado f), define como «Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtengas no pueda asociarse a persona determinada o determinable» <

Y añade la citada sentencia «Procedimiento de disociación que consiste en eliminar la conexión entre el dato y la persona, en «despersonalizar» el dato, actuando como barrera que impide la identificación y entrañando en definitiva un elemento protector de la intimidad o privacidad del afectado.

Sin embargo, para que exista dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la invocada Directiva 95/46/CE que expresamente señala que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al art. 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado» (El subrayado es de la Agencia Española de Protección de Datos).

Aplicando la anterior doctrina al presente caso, en el que se registran en el fichero, entre otros datos, la identificación de la tarjeta de crédito o débito, el nombre y apellidos y la firma de los afectados, ha de concluirse que tales datos son datos de carácter personal, pues contienen información concerniente a una persona física identificable o determinable, ya que con tales datos es posible identificar, sin utilizar esfuerzos desproporcionados, a la persona titular de los mismos.

IV

El artículo 5 de la LOPD regula el derecho de información al interesado en la recogida de sus datos. Los apartados 1, 2 y 3 del citado artículo disponen:

«1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.»

Y el artículo 6 de la LOPD regula el principio del consentimiento, disponiendo en sus apartados 1 y 2:

«1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.»

La obligación que impone el artículo 5 es la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no, en función de aquélla, el tratamiento. Por tanto, es necesaria una información previa para que el consentimiento que se presta sea válido.

La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos, al declarar que: «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele» (El resaltado es de la Agencia Española de Protección de Datos).

En este caso, el cliente desconoce que, cuando firma el justificante de compra, se captura y conserva su firma digitalizada en un fichero. Tampoco conoce si firmar en la tableta digitalizadora es obligatorio o facultativo, ni cuáles son las consecuencias de la obtención de los datos o de la negativa a suministrarlos. Sfera, como entidad que recaba los datos que van a ser incluidos en un fichero cuyo responsable es El Corte Inglés, tampoco informa a los clientes que pagan con tarjeta de crédito, de que sus datos van a ser conservados, de la finalidad de ese almacenamiento, de quién es el responsable del fichero, ni de la posibilidad de poder ejercer sus derechos de acceso, rectificación, cancelación y oposición. Es cierto que ella no es responsable del fichero ni del tratamiento de los mismos, tal y como expondremos más adelante, pero la LOPD no exige que esa información haya de ser facilitada en todos los casos por el responsable del fichero, sino que establece la obligación de una información previa que incluya, en su caso, la identificación del responsable por parte de aquellos que soliciten de los interesados la recogida de datos personales.

Sfera y El Corte Inglés alegan que los usuarios que abonan sus compras con tarjeta están informados por los emisores de dichas tarjetas de los datos que necesariamente deben facilitar a los comerciantes en el momento de realizar las operaciones de compra, por lo que no es exigible a Sfera el deber de información impuesto por la LOPD. Sin embargo Sfera es la que recaba los datos de los afectados para someterlos a un tratamiento automatizado, por lo que es a ella a quien incumbe la obligación de informar. Y, aunque sean los propios afectados quienes facilitan sus datos, y el artículo 5 de la LOPD se refiere a que deberán ser informados «los interesados a los que se soliciten datos personales», hay que tener en cuenta que la obligación que impone el citado artículo 5 es informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho de éste a tener una apropiada información en base a la cual pueda prestar válidamente su consentimiento. El derecho a ser informado quedaría sin duda frustrado, con la extensión e importancia que lo consagra la LOPD, si se excluyeran los supuestos en los que los afectados voluntariamente facilitan sus datos.

Aunque Sfera ha manifestado que tiene a disposición de los clientes folletos informativos del sistema y fórmulas alternativas para aquellos clientes que no deseen firmar en las tablillas, en este procedimiento sancionador no se ha constatado la existencia de dichos folletos ni, en su caso, que los mismos cumplan la misión de informar conforme exige el artículo 5 de la LOPD.

V

Además, en este caso, los datos personales recabados de los clientes que han abonado con tarjetas de crédito o débito en las compras realizadas en la entidad Sfera, son incluidos en un fichero en el que la citada entidad no es responsable. Esto supone que el cliente de Sfera desconoce quién es el titular del fichero que gestiona sus datos y dónde poder ejercer sus derechos.

Así ocurrió con la denunciante que tras ejercer el derecho de acceso ante Sfera, dado que era la entidad a la que ella había facilitado sus datos materialmente, le contesta que no existen datos relativos a su persona en sus ficheros. Y dicha afirmación es completamente cierta dado que, como se ha venido argumentado, los datos se incluyen en un fichero cuyo responsable es El Corte Inglés, por lo que es esta entidad la responsable de atender los derechos de los titulares de los datos que ella trata.

Pero la denunciante, cliente de Sfera, no es informada al respecto, por lo que el tratamiento de los datos personales ejercido por El Corte Inglés como titular del fichero «Clientes Otras Tarjetas Externas» es un tratamiento viciado. Aunque existe una relación negocial entre el cliente y el establecimiento que, en principio, permitiría el tratamiento de datos en virtud de la excepción del consentimiento prevista en el artículo 6.2 de la LOPD, no obstante, conforme a la obligación de la información previa que ha sido argumentada en el Fundamento de Derecho anterior, no puede ser aplicada dicha excepción porque para que exista la misma, la relación negocial debe ser admitida entre ambas partes y, en este caso, el cliente considera que la relación la mantiene con Sfera, desconociendo que es otra entidad la responsable del tratamiento de sus datos.

VI

Respecto al contrato suscrito entre El Corte Inglés y Sfera cuyo objeto es el compromiso de El Corte Inglés para gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento, lo cierto es que, respecto a los datos de clientes que pagan con tarjeta externas, sus datos son incluidos en el fichero «Clientes Otras Tarjetas Externas» cuyo responsable es El Corte Inglés. Por lo tanto, respecto a la gestión de este tipo de datos, el contrato suscrito por ambas entidades, de fecha 01/11/01, no es aplicable, estando constatado que el responsable del fichero y del tratamiento es El Corte Inglés.

Esta cuestión ha sido aclarada por ambas entidades en sus últimas alegaciones al reconocer que el referido contrato de prestación de servicios se refiere a servicios informático tales como confección de nóminas, contabilidad, etc., reconociendo El Corte Inglés ser el único responsable de la titular del fichero «Clientes Otras Tarjetas Externas.»

VII

El artículo 44.2.d) de la LOPD considera infracción leve: «Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.»

En este caso, Sfera ha recabado datos personales sin facilitar a la denunciante la información que señala el artículo 5 de la LOPD, por lo que debe considerarse que ha incurrido en la infracción leve descrita.

VIII

El artículo 44.3.d) de la LOPD considera infracción grave:

«Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.»

La Audiencia Nacional ha manifestado, en su Sentencia de 22/10/03, que «la descripción de conductas que establece el artículo 44.3d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave «tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley», por tanto, se está describiendo una conducta –el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos, realizando envíos publicitarios.»

Conforme se ha expuesto en los Fundamentos de Derecho anteriores, se considera que El Corte Inglés ha infringido el artículo 6 de la LOPD. Este artículo regula uno de los principios básicos del derecho fundamental a la protección de datos de carácter personal, el del consentimiento inequívoco de los interesados para el tratamiento de sus datos. Por tanto, El Corte Inglés ha infringido uno de los principios de la LOPD, y, en consecuencia, ha incurrido en la infracción grave descrita.

IX

A tenor de lo establecido en el artículo 45.1 y 2 de la LOPD, las infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros , y las graves serán sancionadas con multa de 60.101,21 euros a 300.506,05 euros.

El mismo artículo, en sus apartados 4 y 5, establece criterios de graduación de la sanción:

«4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.»

5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.»

La Audiencia Nacional, en sus Sentencias de 24/05/02 y 16/02/05, ha señalado en cuanto a la aplicación del apartado 5 del citado precepto que «… la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión «especialmente cualificada») y concretos».

En este caso, no se aprecia una disminución cualificada de la culpabilidad de Sfera y de El Corte Inglés, o de la antijuridicidad de los hechos, que permita la aplicación de la graduación de las sanciones prevista en el artículo 45.5 de la LOPD.

No obstante, teniendo en cuenta los criterios recogidos en el artículo 45.4 de la LOPD y, en especial, el volumen de tratamientos efectuados por ambas entidades y a la ausencia de beneficios obtenidos acreditados en el presente procedimiento, procede imponer las sanciones correspondientes en su cuantía mínima.

Vistos los preceptos citados y demás de general aplicación,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad SFERA JOVEN, S.A., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01€ (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad EL CORTE INGLÉS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

TERCERO: NOTIFICAR la presente resolución a SFERA JOVEN, S.A., (C/………………….), a EL CORTE INGLÉS, S.A., (C/………………..), y a DÑA. E.B.P., (C/………………..).

CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 21 de marzo de 2006

EL DIRECTOR DE LA AGENCIA ESPAÑOLA

DE PROTECCIÓN DE DATOS

Fdo.: José Luis Piñar Mañas