De entre los temas tratados en este blog, el de la LOPD (Ley Orgánica de Protección de Datos) es uno de los que más afectan al conjunto de empresas y ciudadanos.
Aquí tenéis un sencillo video que explica los aspectos más relevantes de la LOPD
Por fin, el pasado sábado 19 de enero de 2008, ha publicado en el BOE el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Ha saltado la noticia del video de la inundación del metro Marqués de Vadillo.
Ha aparecido en Youtube un vídeo interno de «Metro de Madrid» que muestra la inundación que afectó a la estación de Marqués de Vadillo a finales de mayo de 2007 y obligó a cerrar al público las instalaciones durante dos meses.
«Metro de Madrid» ha abierto una investigación para identificar al autor de la filtración. Un portavoz de la empresa explicó que se tuvo conocimiento el 1 de octubre de 2007 de que las imágenes, pertenecientes al circuito de vigilancia del metro, habían sido ‘colgadas’ en Internet.
El vídeo permite seguir toda la secuencia de los hechos, desde que el agua empieza a entrar, formando un charco de grandes dimensiones y obligando a los pasajeros ha realizar acrobacias para evitar mojarse, hasta que cobra fuerza e inunda con violencia un pasillo de la estación, tirando los soportes publicitarios.
La noticia se produce cuando hace menos de un año desde que la Agencia Estatal de Protección de Datos publicó la Instrucción 1/2006, de 8 de noviembre de 2006, por la que se regula el tratamiento de imágenes de personas físicas identificativas o identificables con fines de vigilancia, a través de sistemas de cámaras y videocámaras.
Con la entrada en vigor de la Instrucción el pasado 13 de diciembre de 2.006, las zonas cubiertas por las miles de cámaras de video vigilancia instaladas en zonas de uso público deberán contar con avisos informativos de su existencia que sean visibles a las personas que transitan por ellas y sólo se considerará admisible la instalación de estos sistemas cuando la vigilancia no pueda realizarse con eficacia por otros medios.
El objeto de la Instrucción comprende la grabación, captación, transmisión, conservación y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con ellas. Entre las principales exigencias establecidas en la Instrucción, destaca que los responsables que cuenten con sistemas de video vigilancia deberán cumplir con el deber de información previsto den la LOPD, a tal efecto, deberán colocar, en las zonas de video vigilancia, un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados.
Este signo distintivo deberá contener una mención a la finalidad para la que se traten los datos, y una mención expresa a la identificación del responsable ante quien puedan ejercitarse los derechos de las personas en materia de Protección de Datos.
Asimismo, sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que resulten menos intrusivos para la intimidad de las personas.
Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.
Además, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.
Finalmente, la creación de un fichero de imágenes de video vigilancia exige su previa notificación a la Agencia Española de Protección de Datos, para la inscripción del Fichero en su Registro General.
La Instrucción no será aplicable a los datos personales grabados para uso doméstico y el tratamiento de datos por parte de las Fuerzas y Cuerpos de Seguridad, que está regulado por la Ley Orgánica 4/97, de 4 de agosto.
Está claro que con noticias como esta se cuestionan las medidas de seguridad que persiguen proteger los datos personales en los entornos en los que se usan cámaras de vigilancia. Seguramente las personas identificadas o identificables que transitan ante las cámaras no se sentirán molestas por esta filtración, pero está claro que es preciso reforzar las medidas de seguridad.
(artículo basado en los titulados La AEPD regula la video vigilancia de Cristina Grau Estradé. Abogada Derecho.com y El Metro investiga otra filtración de sus cámaras de seguridad de Europa Press/Madrid)
A través de Delitosinformaticos veo una interesante noticia.
La Agencia de Protección de Datos deberá devolver al primer ciudadano multado por spam, la multa de 30.001 euros, mas los intereses, por la que fue sancionado.
La sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha sancionado con una multa de 30.001 euros a la Agencia Española de Protección de Datos (APD) y le ordena que devuelva esa misma cantidad, mas los intereses, a Alejandro E. A. G., primer sancionado en España por envío de correo masivo, al entender que no hubo envío masivo de mensajes de correo electrónico y que hubo consentimiento de los destinatarios de los correos que este envió.
Todo comenzó cuando Alejandro. E. A. G. recibió, en el año 2004, un escrito de inicio de procedimiento sancionador por parte de la APD por la infracción del artículo 21 de la Ley 34/2002, de 11 de Julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
La Agencia calificó los hechos como una infracción grave, en virtud del artículo 38.3 b) de la LSSI, al considerar que se había realizado un “envío masivo de comunicaciones comerciales” sin el consentimiento de los destinatarios de los mismos y le sancionó con una multa de 30.001 euros.
Alejandro. E. A. G. asistió, en representación de la empresa para la cual trabajaba, a la feria del SIMO en la cual recibió multitud de peticiones de información de los servicios que promocionaba, de manera que las personas interesadas le pedían sus datos de contacto o bien le ofrecían sus tarjetas de visita para que el los contactara.
Y fruto de estos contactos y de los datos obrantes en las tarjetas de visita, envió 13 emails con la información solicitada. Uno de los destinatarios afirmó no haber solicitado la información recibida por lo que procedió a formular la denuncia ante la APD.
Ahora la Sentencia de la Audiencia Nacional ha establecido que «la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico en un contexto como es la feria del SIMO, a la que para promocionar un producto acudió el denunciado con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta de consentimiento«.
En su virtud, la Audiencia Nacional condena a la APD a devolver la multa impuesta a Alejandro. E. A. G., mas los intereses, así como a pagar una multa de 30.001 euros.
La digitalización de firma que se lleva a cabo en algunos comercios podría ser considerada firma electrónica simple y con medidas técnicas especiales de custodia, podría defenderse su valor probatorio.
Sin embargo, tras una reciente resolución (la R/00098/2006) del Director de la Agencia de Protección de Datos (en el Procedimiento Nº PS/00241/2005), habrá que tener mucho cuidado en los detalles de la implementación de estos sistemas, y, en general, de los que utilizan datos biométricos en la identificación.
Transcribo el documento que tiene un gran interés:
En el procedimiento sancionador PS/00241/2005, instruido por la Agencia Española de Protección de Datos a las entidades SFERA JOVEN, S.A. y EL CORTE INGLÉS, S.A., vista la denuncia presentada por DÑA. E.B.P., y en base a los siguientes,
ANTECEDENTES
PRIMERO: En fecha 20/12/04, tuvo entrada en esta Agencia un escrito de Dña. E.B.P. (en lo sucesivo la denunciante), en el que manifiesta que, en fecha 14/10/04, al realizar una compra con tarjeta de crédito en la tienda «SFERA» del Centro Comercial ……., recibe el original del tique de compra y advierte a la dependienta de ello. La dependienta le contesta que en el momento de estampar su firma la misma ha quedado digitalizada y guardada con el resto de la operación, por lo que el original en papel del tique de compra le puede ser entregado.
Manifiesta no haber sido informada en su momento del tratamiento y que, en el comprobante de la operación, no figura ningún tipo de cláusula informativa de que los datos personales quedarían recogidos, ni del uso o fin de la recogida y tratamiento de esos datos.
Con posterioridad, en fecha 10/11/04, ejerce ante Sfera Joven, S.A. el derecho de acceso a sus datos personales, indicándole en la contestación que sus datos no figuran en fichero alguno de la entidad y que los datos de la operación de compra quedan en poder de los emisores de las tarjetas.
SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda «SFERA» del Centro Comercial ……., siendo la entidad responsable de la mencionada marca Sfera Joven, S.A. (en lo sucesivo Sfera). En dicha visita se constató que el comercio dispone de diversos puntos de venta dotados de terminales de marca IBM, a los cuales se encuentran conectadas pequeñas tabletas digitalizadoras. Las tabletas digitalizadoras incluyen el logotipo «Sfera» y constan de una tapa de metacrilato que restringe la posibilidad de escribir sobre la tableta, salvo en una pequeña zona del tamaño adecuado para una firma manuscrita.
Realizada una compra con tarjeta de crédito por los Inspectores de Datos, comprueban que, una vez aceptada la operación e impreso el resguardo de la compra correspondiente, la empleada de la tienda ofrece a la firma el mismo, situándolo entre la tableta digitalizadora y la tapa de metacrilato descritas. Una vez firmado, el resguardo es entregado al comprador, constando de un sólo ejemplar y verificándose que la empleada no procede a emitir o imprimir ningún otro tique.
En ningún momento se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio.
TERCERO: Aunque los representantes de Sfera manifestaron que existen carteles informativos al respecto, los Inspectores de Datos que se personaron en la tienda «SFERA» del Centro Comercial ……., constataron que no se encontraba expuesta ninguna información sobre el sistema de recogida electrónica de firma.
Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado «Clientes Otras Tarjetas Externas» inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A.
Todo el tratamiento de los tiques de compra se realiza por El Corte Inglés, S.A., siendo esta entidad la responsable del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.
En la referida Inspección, se comprobó la existencia de los siguientes datos correspondientes a la operación realizada por la denunciante: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra.
También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de la Agencia en fecha 24/08/05.
Sfera y El Corte Inglés, S.A. (en lo sucesivo El Corte Inglés) tienen suscrito un contrato de prestación de servicios informáticos, de fecha 01/11/01, en el cual se estipula como objeto del mismo que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento.
A pesar de que en el referido contrato El Corte Inglés se identifique como encargado del tratamiento, es responsable del fichero denominado «Clientes Otras Tarjetas Externas», así como del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.
CUARTO: A la vista del resultado de estas actuaciones previas de investigación, el Director de la Agencia Española de Protección de Datos acordó, en fecha 26/09/05, iniciar procedimiento sancionador a Sfera por la presunta infracción del artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el artículo 44.2.d) de dicha norma, pudiendo ser sancionada con multa de 601,01 € a 60.101,21 € , de acuerdo con el artículo 45.1 de la citada Ley Orgánica.
Igualmente, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a El Corte Inglés por la presunta infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.
QUINTO: Notificado el acuerdo de inicio de procedimiento sancionador, ambas entidades presentaron alegaciones al respecto.
Sfera manifiesta que no realiza ningún tratamiento de datos personales, simplemente acepta, como medio de pago, las tarjetas previamente convenidas con su gestor de pasarela de pago que, en este caso, es El Corte Inglés. Los sistemas de cobro de Sfera no son de su propiedad y no guarda ningún tipo de datos, dado que Sfera no tiene ningún fichero de clientes. Por tanto, si no hay tratamiento, no hay obligación de informar. Además, los datos que se obtienen del cliente son el número de tarjeta y la firma digitalizada, y este tipo de datos no puede considerarse como datos de carácter personal.
El Corte Inglés alega que, respecto a los clientes que pagan con tarjeta de crédito, no guardan ninguna información identificativa del mismo. No es necesario el consentimiento para tratar esos datos, dado que son necesarios para la relación negocial que el propio cliente ha aceptado al realizar el pago con tarjeta de crédito, cuyo emisor ya le ha informado de la necesaria captura de datos por parte del responsable del comercio donde sea utilizada.
SÉXTO: En la fase de pruebas se practicaron, entre otras, la prueba propuesta por El Corte Inglés consistente en que la denunciante aportase copia del contrato suscrito con su emisor de tarjeta de crédito.
SÉPTIMO: Terminada la fase de práctica de pruebas, el expediente se puso de manifiesto a los interesados, otorgándoles un plazo de quince días para presentar alegaciones. Solicitada ampliación de dicho plazo, el Instructor del procedimiento acordó ampliar el plazo en siete días más. Transcurrido la totalidad del plazo otorgado, no se han recibido alegaciones de ambas entidades interesadas en el presente procedimiento.
OCTAVO: En fecha 23/01/06 se emitió Propuesta de Resolución en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Sfera con multa de 601,01€ por la infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, y a El Corte Inglés con multa de 60.101,21 € por la infracción del los artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma.
NOVENO: En fecha 24/01/06 se recibieron las alegaciones de Sfera y El Corte Inglés a la fase de audiencia en las que se ratifican en sus manifestaciones anteriores.
DÉCIMO: En fecha 28/02/06 se han recibido las alegaciones de Sfera y El Corte Inglés a la Propuesta de Resolución, indicando que la Propuesta emitida es nula dado que no se han tenido en cuenta las alegaciones realizadas en la fase de audiencia. No obstante, reconocen la posibilidad de que las mismas se hubiesen recibido en esta Agencia con posterioridad a la emisión de la Propuesta. Añaden que es importante que se sumen dos hechos de interés: de una parte, que en el contrato de tarjeta aportado por la denunciante, ésta se compromete a identificarse ante el comerciante y firmar los comprobantes de compra que le sean presentados, y por otra, que El Corte Inglés es gestor de la pasarela de pagos de Sfera. Esta última aclaración es importante porque demuestra que El Corte Inglés tiene una doble cualidad respecto a su filial Sfera. Por un lado, le presta servicios informáticos (confección de nómina, contabilidad, etc.) conforme al contrato de prestación de servicios firmado el 01/11/01. Pero, por otro lado, El Corte Inglés es gestor de la pasarela de pagos y respecto a los datos referidos a pagos con tarjeta es el único titular. Reinciden en que no conocen ningún procedimiento para identificar al titular de la tarjeta con los datos que se conservan. El Corte Inglés manifiesta que no es necesario solicitar el consentimiento de los interesados dado que existe una relación negocial. Sfera afirma que es innecesaria la información por su parte, dado que quien debe informar, en tal caso, es el emisor de la tarjeta, y concluye que, en contra de lo manifestado en la Propuesta de Resolución, existen folletos explicativos para los clientes.
HECHOS PROBADOS
PRIMERO: Dña. E.B.P., en fecha 14/10/04, realizó una compra con tarjeta de crédito en la tienda «SFERA» del Centro Comercial …….. No fue informada de que su firma había sido digitalizada y guardada con el resto de los datos de la operación de compra (folio 5).
SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda «SFERA» del Centro Comercial ……., y realizaron una compra con tarjeta de crédito, comprobado que, en ningún momento, se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio (folios 13-15).
TERCERO: En fecha 01/09/05, a consecuencia de la visita de Inspección a Sfera, se constató que tienen implantado un sistema de recogida electrónica de la firma de aquellos clientes que abonan la compra mediante tarjeta de crédito o débito (ya fuera la emitida por el Grupo Corte Inglés o una tarjeta externa), utilizando para su captura una tableta digitalizadora. En el proceso de compra se imprime un sólo tique que el cliente firma sobre una tableta digitalizadora. Este tique es entregado al cliente, no realizándose ninguna otra impresión para su conservación por la entidad (folios 24-26, 34-39).
CUARTO: Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por ninguna empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado «Clientes Otras Tarjetas Externas» inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. (folio 25).
QUINTO: En la visita de Inspección realizada en Sfera, se comprobó la existencia de los siguientes datos correspondientes a Dña. E.B.P.: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra. También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de Datos en fecha 24/08/05 (folios 36-39).
SEXTO: «Clientes Otras Tarjetas Externas», inscrito en el Registro General de Protección de Datos, cuyo responsble es El Corte Inglés, S.A.. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A. (folios 25, 104-108).
SÉPTIMO: , de fecha 01/11/01, en el cual se estipula, como objeto del mismo, que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento (folios 29-31). A pesar de ello, es responsable del fichero citado en el Hecho Probado anterior, así como del cobro de los importes de las transacciones, gestión de posibles reclamaciones y conservación de la información durante el plazo establecido (folios 104-108).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD.
II
Como cuestión previa, procede responder a la petición de nulidad de la Propuesta de Resolución emitida por no haberse tenido en cuenta las alegaciones efectuadas por El Corte Inglés y Sfera en la fase de audiencia.
Terminado el período de práctica de pruebas, el expediente se puso de manifiesto a ambas entidades, mediante la notificación de la relación de documentos obrantes en el expediente y la posibilidad de presentar alegaciones en el plazo de quince días hábiles a contar desde la recepción de dicho escrito. Sfera y el Corte Inglés recibieron dicha comunicación el 19/12/05, según aviso de recibo del Servicio de Correos. Por consiguiente, el plazo para presentar alegaciones terminaba el 05/01/06. No obstante, en fecha 03/01/06 se recibió solicitud de ampliación del plazo para presentar alegaciones, y el Instructor del procedimiento, de conformidad con lo dispuesto en el artículo 49.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), admitió la ampliación en un plazo de siete días a contar desde el día siguiente a aquél en que finalice el primer plazo. Por tanto, teniendo en cuenta la ampliación, el plazo de alegaciones finalizaba el 14/01/06.
En fecha 23/01/06 se emitió la Propuesta de Resolución. Las alegaciones de Sfera y El Corte Inglés se recibieron en esta Agencia el 24/01/06, aunque consta en las mismas su presentación en el Servicio de Correos en fechas 19/01/06 y 20/01/06, respectivamente. Esto demuestra que dichas alegaciones, con independencia de que se recepcionasen en esta Agencia con posterioridad a la emisión de la Propuesta de Resolución, se habían presentado transcurrido el plazo otorgado para formular dichas alegaciones.
No obstante, dado que la Propuesta de Resolución no pone fin al procedimiento sancionador, no se produce ninguna indefensión a las entidades interesadas, dado que tras la Propuesta, existe un nuevo plazo de presentación de alegaciones.
Y, respecto a este último plazo, procede concretar que la Propuesta de Resolución fue notificada a El Corte Inglés y a Sfera el 27/01/06, otorgándoles un plazo de quince días hábiles para presentar alegaciones. Dicho plazo vencía el 14/02/06. Sin embargo, ambas entidades han presentado sus alegaciones en el Servicio de Correos en fecha 16/02/06, es decir, transcurrido el plazo otorgado para presentar alegaciones, siendo recibidas en esta Agencia el 28/02/06.
No obstante, aunque las alegaciones de Sfera y El Corte Inglés realizadas tras la fase de audiencia y después de la Propuesta de Resolución, han sido presentadas vencidos los plazos otorgados para tal fin, se ha procedido a tener en cuenta las mismas para elaborar la presente Resolución.
III
Respecto al fondo del asunto, procede analizar si los datos obtenidos por Sfera de los clientes que pagan con tarjetas de crédito o débito externas, y que se recogen y conservan en el fichero denominado «Clientes Otras Tarjetas Externas»de El Corte Inglés, deben considerarse datos de carácter personal. Sfera y El Corte Inglés manifiestan que los datos que se conservan no permiten identificar a la persona física que realizó la operación, sin embargo ha quedado acreditado en el procedimiento que en el fichero informático denominado «Clientes Otras Tarjetas Externas» se almacenan los talones de compras abonadas con tarjetas externas al grupo Corte Inglés y estos talones contienen datos sobre la identificación de los productos adquiridos, importe de la compra, fecha, número de tarjeta, nombre, apellidos del titular de la misma y firma digitalizada de éste, según consta en los folios 36 a 39.
El artículo 3.a) de la LOPD define datos de carácter personal como «cualquier información concerniente a personas físicas identificadas o identificables,» añadiendo el apartado 4 del artículo 1, del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de acuerdo con lo establecido en la disposición transitoria tercera de la LOPD, que dato de carácter personal es «toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.»
En línea con lo anterior el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/95, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considera identificable «toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.»
Este concepto de dato personal es sumamente amplio. La Audiencia Nacional en su Sentencia de 08/03/02, ha señalado que «no hay datos de carácter personal, y por tanto no es posible aplicar la Ley de Protección de Datos a los llamados «datos disociados» y así el mismo artículo 3 de la Ley, pero en su apartado f), define como «Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtengas no pueda asociarse a persona determinada o determinable» <
Y añade la citada sentencia «Procedimiento de disociación que consiste en eliminar la conexión entre el dato y la persona, en «despersonalizar» el dato, actuando como barrera que impide la identificación y entrañando en definitiva un elemento protector de la intimidad o privacidad del afectado.
Sin embargo, para que exista dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la invocada Directiva 95/46/CE que expresamente señala que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al art. 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado» (El subrayado es de la Agencia Española de Protección de Datos).
Aplicando la anterior doctrina al presente caso, en el que se registran en el fichero, entre otros datos, la identificación de la tarjeta de crédito o débito, el nombre y apellidos y la firma de los afectados, ha de concluirse que tales datos son datos de carácter personal, pues contienen información concerniente a una persona física identificable o determinable, ya que con tales datos es posible identificar, sin utilizar esfuerzos desproporcionados, a la persona titular de los mismos.
IV
El artículo 5 de la LOPD regula el derecho de información al interesado en la recogida de sus datos. Los apartados 1, 2 y 3 del citado artículo disponen:
«1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.»
Y el artículo 6 de la LOPD regula el principio del consentimiento, disponiendo en sus apartados 1 y 2:
«1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.»
La obligación que impone el artículo 5 es la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no, en función de aquélla, el tratamiento. Por tanto, es necesaria una información previa para que el consentimiento que se presta sea válido.
La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos, al declarar que: «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele» (El resaltado es de la Agencia Española de Protección de Datos).
En este caso, el cliente desconoce que, cuando firma el justificante de compra, se captura y conserva su firma digitalizada en un fichero. Tampoco conoce si firmar en la tableta digitalizadora es obligatorio o facultativo, ni cuáles son las consecuencias de la obtención de los datos o de la negativa a suministrarlos. Sfera, como entidad que recaba los datos que van a ser incluidos en un fichero cuyo responsable es El Corte Inglés, tampoco informa a los clientes que pagan con tarjeta de crédito, de que sus datos van a ser conservados, de la finalidad de ese almacenamiento, de quién es el responsable del fichero, ni de la posibilidad de poder ejercer sus derechos de acceso, rectificación, cancelación y oposición. Es cierto que ella no es responsable del fichero ni del tratamiento de los mismos, tal y como expondremos más adelante, pero la LOPD no exige que esa información haya de ser facilitada en todos los casos por el responsable del fichero, sino que establece la obligación de una información previa que incluya, en su caso, la identificación del responsable por parte de aquellos que soliciten de los interesados la recogida de datos personales.
Sfera y El Corte Inglés alegan que los usuarios que abonan sus compras con tarjeta están informados por los emisores de dichas tarjetas de los datos que necesariamente deben facilitar a los comerciantes en el momento de realizar las operaciones de compra, por lo que no es exigible a Sfera el deber de información impuesto por la LOPD. Sin embargo Sfera es la que recaba los datos de los afectados para someterlos a un tratamiento automatizado, por lo que es a ella a quien incumbe la obligación de informar. Y, aunque sean los propios afectados quienes facilitan sus datos, y el artículo 5 de la LOPD se refiere a que deberán ser informados «los interesados a los que se soliciten datos personales», hay que tener en cuenta que la obligación que impone el citado artículo 5 es informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho de éste a tener una apropiada información en base a la cual pueda prestar válidamente su consentimiento. El derecho a ser informado quedaría sin duda frustrado, con la extensión e importancia que lo consagra la LOPD, si se excluyeran los supuestos en los que los afectados voluntariamente facilitan sus datos.
Aunque Sfera ha manifestado que tiene a disposición de los clientes folletos informativos del sistema y fórmulas alternativas para aquellos clientes que no deseen firmar en las tablillas, en este procedimiento sancionador no se ha constatado la existencia de dichos folletos ni, en su caso, que los mismos cumplan la misión de informar conforme exige el artículo 5 de la LOPD.
V
Además, en este caso, los datos personales recabados de los clientes que han abonado con tarjetas de crédito o débito en las compras realizadas en la entidad Sfera, son incluidos en un fichero en el que la citada entidad no es responsable. Esto supone que el cliente de Sfera desconoce quién es el titular del fichero que gestiona sus datos y dónde poder ejercer sus derechos.
Así ocurrió con la denunciante que tras ejercer el derecho de acceso ante Sfera, dado que era la entidad a la que ella había facilitado sus datos materialmente, le contesta que no existen datos relativos a su persona en sus ficheros. Y dicha afirmación es completamente cierta dado que, como se ha venido argumentado, los datos se incluyen en un fichero cuyo responsable es El Corte Inglés, por lo que es esta entidad la responsable de atender los derechos de los titulares de los datos que ella trata.
Pero la denunciante, cliente de Sfera, no es informada al respecto, por lo que el tratamiento de los datos personales ejercido por El Corte Inglés como titular del fichero «Clientes Otras Tarjetas Externas» es un tratamiento viciado. Aunque existe una relación negocial entre el cliente y el establecimiento que, en principio, permitiría el tratamiento de datos en virtud de la excepción del consentimiento prevista en el artículo 6.2 de la LOPD, no obstante, conforme a la obligación de la información previa que ha sido argumentada en el Fundamento de Derecho anterior, no puede ser aplicada dicha excepción porque para que exista la misma, la relación negocial debe ser admitida entre ambas partes y, en este caso, el cliente considera que la relación la mantiene con Sfera, desconociendo que es otra entidad la responsable del tratamiento de sus datos.
VI
Respecto al contrato suscrito entre El Corte Inglés y Sfera cuyo objeto es el compromiso de El Corte Inglés para gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento, lo cierto es que, respecto a los datos de clientes que pagan con tarjeta externas, sus datos son incluidos en el fichero «Clientes Otras Tarjetas Externas» cuyo responsable es El Corte Inglés. Por lo tanto, respecto a la gestión de este tipo de datos, el contrato suscrito por ambas entidades, de fecha 01/11/01, no es aplicable, estando constatado que el responsable del fichero y del tratamiento es El Corte Inglés.
Esta cuestión ha sido aclarada por ambas entidades en sus últimas alegaciones al reconocer que el referido contrato de prestación de servicios se refiere a servicios informático tales como confección de nóminas, contabilidad, etc., reconociendo El Corte Inglés ser el único responsable de la titular del fichero «Clientes Otras Tarjetas Externas.»
VII
El artículo 44.2.d) de la LOPD considera infracción leve: «Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.»
En este caso, Sfera ha recabado datos personales sin facilitar a la denunciante la información que señala el artículo 5 de la LOPD, por lo que debe considerarse que ha incurrido en la infracción leve descrita.
VIII
El artículo 44.3.d) de la LOPD considera infracción grave:
«Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.»
La Audiencia Nacional ha manifestado, en su Sentencia de 22/10/03, que «la descripción de conductas que establece el artículo 44.3d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave «tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley», por tanto, se está describiendo una conducta –el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos, realizando envíos publicitarios.»
Conforme se ha expuesto en los Fundamentos de Derecho anteriores, se considera que El Corte Inglés ha infringido el artículo 6 de la LOPD. Este artículo regula uno de los principios básicos del derecho fundamental a la protección de datos de carácter personal, el del consentimiento inequívoco de los interesados para el tratamiento de sus datos. Por tanto, El Corte Inglés ha infringido uno de los principios de la LOPD, y, en consecuencia, ha incurrido en la infracción grave descrita.
IX
A tenor de lo establecido en el artículo 45.1 y 2 de la LOPD, las infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros , y las graves serán sancionadas con multa de 60.101,21 euros a 300.506,05 euros.
El mismo artículo, en sus apartados 4 y 5, establece criterios de graduación de la sanción:
«4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.»
5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.»
La Audiencia Nacional, en sus Sentencias de 24/05/02 y 16/02/05, ha señalado en cuanto a la aplicación del apartado 5 del citado precepto que «… la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión «especialmente cualificada») y concretos».
En este caso, no se aprecia una disminución cualificada de la culpabilidad de Sfera y de El Corte Inglés, o de la antijuridicidad de los hechos, que permita la aplicación de la graduación de las sanciones prevista en el artículo 45.5 de la LOPD.
No obstante, teniendo en cuenta los criterios recogidos en el artículo 45.4 de la LOPD y, en especial, el volumen de tratamientos efectuados por ambas entidades y a la ausencia de beneficios obtenidos acreditados en el presente procedimiento, procede imponer las sanciones correspondientes en su cuantía mínima.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad SFERA JOVEN, S.A., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01€ (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad EL CORTE INGLÉS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
TERCERO: NOTIFICAR la presente resolución a SFERA JOVEN, S.A., (C/………………….), a EL CORTE INGLÉS, S.A., (C/………………..), y a DÑA. E.B.P., (C/………………..).
CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Madrid, 21 de marzo de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
Gracias al comentario de deincognito en relación con otro post en el que se destacaba la importancia de la correcta obtención de las pruebas electrónicas, he profundizado en el conocimiento de algunos detalles en relación con el manejo correcto de datos personales. En general, se habla de la protección de datos personales con referencias a la Ley y al Reglamento del ramo (LOPD), y los derechos que amparan tienen limitaciones en cuanto a los datos accesibles de fuentes públicas y eventualmente la notoriedad de la persona que se pueda mencionar.
Estas reflexiones son de interés, también para las publicaciones periodísticas, los diferentes tipos de páginas web (incluidos los foros) y, por supuesto, para los blogs. En particular, uno de los problemas con los que hay que lidiar es el de la mención de datos personales por parte de los foreros y comentaristas, a veces fuera del control del responsable de gestión del medio. Aunque la futura Ley de Impulso de la Sociedad de la Información matizará algunas de prescripciones de la actual LSSI (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico) .
Aunque el tema es amplio y tendrá que ser dividido para su tratamiento en cierta profundidad, hoy quiero hacer mención al aspecto concreto de la consideración de las sentencias judiciales como fuentes públicas, y la posible mención en ellas de datos personales.
Como bien dice deincognito, el asunto se viene tratando por diferentes especialistas desde hace tiempo. Además de las referencias que él indica, a mi me gustaría señalar 2 que me han parecido relevantes.
Por un lado, en el establecimiento de principios que puedan ser adoptados a nivel internacional, las Reglas de Heredia (reglas mínimas para la difusión de información judicial en internet) me parecen un referente esencial.
Por otro lado, un documento disponible en el web de la Agencia de Protección de Datos (en el que no se menciona al autor ni se incluyen indicaciones de atribuibilidad), incluye elementos de doctrina del máximo interés, que transcribiré a continuación. La mención que se hace al caso de la consulta sobre «negligencias médicas» no limita su interés en otros ámbitos.
Se ha planteado si es posible la difusión a través de Internet de datos relativos a sentencias firmes condenatorias por delitos relacionados con negligencia médica. Se indicaba que los datos serían tratados y cedidos sin recabar con carácter previo el consentimiento del interesado, toda vez que, según indicaba la consulta «los datos se extraerían de fuentes accesibles al público, como lo son las sentencias públicas».
En este caso, tras recordar que el artículo 6 de la LOPD parte de la exigencia de consentimiento para el tratamiento de los datos, con las únicas excepciones de su apartado segundo, se indicó que en cuanto a los ficheros en que se contengan datos relacionados con la comisión de infracciones penales y administrativas, el artículo 7.5 de la LOPD establece que tales datos «sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras».
En consecuencia, el artículo 7.5 de la Ley establece una regla específica para este tipo de datos, que impide, en todo caso, su tratamiento por parte de cualquier entidad de derecho privado, quedando limitado dicho tratamiento a las Administraciones Públicas y, exclusivamente, cuando así lo establezca una norma con rango suficiente. De ello se desprende que, incluso si los datos contenidos en las resoluciones judiciales fueran considerados incorporados a fuentes accesibles al público, su tratamiento inconsentido se encontraría vedado por la Ley a la consultante, dada su naturaleza jurídico-privada.
Dicho lo anterior, y en relación con la alegación de que los datos se encontraban incorporados a fuentes accesibles al público, se recordó que, como se dice en otros lugares de esta memoria, la simple lectura del tenor
literal del artículo 3.j) de la LOPD indica que las resoluciones judiciales no pueden ser consideradas como fuente accesible al público, sin perjuicio del principio de publicidad contenido en la Ley Orgánica del Poder Judicial, recordándose así mismo que la regla general establecida en el inciso primero del artículo 3.j) en modo alguno impide que resulte de aplicación la enumeración taxativa contenida en su inciso segundo, dado que el contenido de este primer inciso no hace sino indicar un requisito indispensable para que los ficheros enumerados por la propia norma puedan ser considerados como fuentes de acceso público. En resumen tales ficheros sólo serán considerados como fuentes de acceso público cuando su consulta pueda ser realizada por cualquiera sin ninguna limitación salvo, en su caso, el abono de un precio, pero sólo son fuentes de acceso público las enumeradas, entre las que no se encuentran las resoluciones judiciales.Por otra parte, la conclusión alcanzada tampoco contradice el principio de publicidad de las actuaciones judiciales, consagrado en cuanto a las sentencias por los artículos 205.6, 232 y 266 de la Ley Orgánica del Poder Judicial, al que ya hicimos referencia.
Ello se funda en que la publicidad a la que se refieren dichos preceptos tiene por objeto asegurar el pleno desenvolvimiento del derecho de las partes a obtener la tutela efectiva de los jueces y Tribunales en el ejercicio de sus derechos, sin que en ningún modo pueda producírseles indefensión, consagrado por el artículo 24.1 de la Constitución. Por ello, entendemos, no puede ampararse en un precepto cuyo fundamento es la salvaguarda de los derechos de los ciudadanos la realización de otras actividades que pueden producir una merma de otros derechos fundamentales, como en este caso, el derecho al honor, la intimidad y la propia imagen, protegido por el artículo 18 de la propia Constitución.
La colisión entre la publicidad de las sentencias y el derecho a la intimidad de las personas ya ha sido, por otra parte, analizado por el Consejo General del Poder Judicial, disponiendo en el Acuerdo de 18 de junio de 1997, por el que se modifica el Reglamento número 5/1995, de 7 de junio, regulador de los aspectos accesorios de las actuaciones judiciales, como apartado 3 del nuevo artículo 5 bis del Reglamento, que «en el tratamiento y difusión de las resoluciones judiciales se procurará la supresión de los datos de identificación para asegurar en todo momento la protección del honor e intimidad personal y familiar».
En consecuencia, el tratamiento de los datos contenidos en las sentencias condenatorias firmes resulta contrario a las previsiones contenidas en la LOPD, al quedar éste limitado a las Administraciones Públicas, en el ejercicio de las atribuciones que les son conferidas por la Ley, sin que quepa amparar su tratamiento por partes ajenas al proceso en normas cuyo fundamento es precisamente salvaguardar los derechos procesales de quienes son parte en el propio proceso.
En cuanto a la difusión de los datos a través de Internet, se recordó que la misma, dado que el contenido de la citada lista podría resultar conocido por cualquier usuario en la citada red, supondría un cesión de datos de carácter personal, respecto de la cual el artículo 11.1 de la Ley Orgánica prevé, con absoluta rotundidad que «los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado».
Esta regla sólo se ve exceptuada en los supuestos contemplados en el apartado segundo del propio artículo 11, ninguno de los cuales daría cobertura a la publicación pretendida, dado que el único que podría resultar de dudosa aplicación al caso es el contenido en la letra b) del artículo 11.2 («cuando se trate de datos recogidos de fuentes accesibles al público») y, como se ha dicho, los datos no se encuentran, en este caso, recogidos en fuentes accesibles al público.
Debe ponerse de manifiesto que el artículo 44 de la LOPD, que establece los distintos tipos de las infracciones en materia de protección de datos tipifica, incluye, como infracción grave, en la letra c) de su apartado tercero «proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible» y como infracción muy grave, en la letra b) de su apartado cuarto «la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas «.
Por ello, tanto el tratamiento como la publicación en Internet de los datos a que se refiere la consulta podrían ser, a tenor de lo que se ha venido indicando, constitutivas de sendas infracciones, sancionables, respectivamente con multas de 10 a 50 y de 50 a 100 millones de pesetas, conforme a lo previsto en el
artículo 45 de la Ley.Por último, se planteó si resultaba admisible establecer listas o repertorios de las sentencias dictadas en que existan condenas por negligencia médica, publicándose los datos con referencia exclusiva al nombre e iniciales de los apellidos de los afectados.
Con carácter general, y en lo referente a los repertorios, su publicación será posible, a juicio de esta Agencia Española de Protección de Datos, siempre y cuando de la misma no pueda derivarse el conocimiento de la persona que haya resultado condenada por la sentencia. En caso contrario, tal y como se ha venido indicando hasta ahora, no será posible la difusión de las sentencias sin antes recabar el consentimiento de los afectados.
En este sentido, las disposiciones de la LOPD no serán de aplicación siempre que los datos hayan sido previamente sometidos a un procedimiento de disociación, que el artículo 3 f) de la Ley define como «todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable».
En consecuencia, para que un procedimiento de disociación pueda ser considerado suficiente a los efectos de la Ley Orgánica 15/1999, será necesario que de la aplicación de dicho procedimiento resulte imposible identificar un determinado dato con su sujeto determinado.
A la vista de lo anterior, y teniendo en cuenta las especiales circunstancias concurrentes en el presente caso, en que los facultativos pueden ser identificados no sólo por su nombre y apellidos, sino también por el puesto que desempeñan en un determinado centro sanitario o, incluso, en áreas reducidas, por ser el único especialista en una determinada rama de la medicina, la mera sustitución de los apellidos por sus iniciales puede no resultar suficiente para que la disociación pueda considerarse conforme a lo prevenido en la LOPD, dado que si dicha supresión no va acompañada de la referente al puesto desempeñado y, en su caso, a la del área geográfica en la que el facultativo desempeña su profesión, no será posible considerar que aquél no resulta identificable, debiendo, en ese caso, someterse el fichero a las previsiones de la Ley, que exigen el consentimiento del afectado.
Por otra parte, la conclusión anteriormente alcanzada no entorpece la finalidad perseguida mediante la elaboración del repertorio jurisprudencial, que permite al usuario tener conocimiento de la doctrina y jurisprudencia existente en una determinada materia, partiendo del concepto de jurisprudencia como «doctrina que, de modo reiterado, establezca el Tribunal Supremo al interpretar y aplicar la ley , la costumbre y los principios generales del derecho», en los términos prescritos por el artículo 1.6 del Código Civil.
En consonancia con lo indicado, la finalidad que debe perseguir la creación de la base de datos será la de permitir al usuario acceder al conocimiento del modo en que el Tribunal Supremo o los restantes Juzgados y Tribunales han interpretado lo establecido en el ordenamiento jurídico, sin que sea dable que dicha finalidad pueda ser contemplada en un sentido más amplio, con la consiguiente cercenación de los derechos fundamentales de las personas que intervengan en el litigio, como sucedería si se conocieran los datos personales referidos a dichas personas, que en modo alguno aportan información adicional sobre el contenido jurídico de la sentencia. Así lo recuerda el Consejo general del Poder Judicial, en la Exposición de Motivos del Acuerdo de 18 de junio de 1997, al que ya nos hemos referido, al indicar que con la publicidad de las sentencias en el repertorio «se posibilitará un mejor y más directo conocimiento de dichas resoluciones por parte de los Juzgados y Tribunales, contribuyendo al propio tiempo a satisfacer las exigencias derivadas del derecho de igualdad en la aplicación de las Leyes, conforme a la doctrina del Tribunal Constitucional», sin que esta función informadora pueda entenderse en modo alguno completada con el conocimiento de quienes fueron parte en el litigio.
Este sujeto utiliza una técnica que ya está en conocimiento de la APD, Agencia de Protección de Datos. Amenaza con denunciar a la APD por reflejo de datos personales sin consentimiento, con multas potenciales de hasta 600.000 euros. Y si ve que quitas las referencias (por cortesía) piensa que eres vulnerable y pasa a la siguiente fase, amenazádote con una denuncia por daños y perjuicios como si tu web fuera la causa de sus males, cuando es a la inversa, los damnificados han usado los foros disponibles para prevenir a incautos.
Tranquilos. Lo que hay que hacer es guardar los burofax, los emails, las cartas que os envíe y los URLS en los que aparezca este hombre (inclusive los cachés de google), ir a un notario y hacer acta de presencia y manifestaciones, protocolizando todas las webs en los que haya mensajes sobre el, buenos y malos. Si teneis noticias de prensa en papel de cuando promocionaba Albanova, llevadlo también.
A continuación id a una comisaría de policía y haced la denuncia, por amenazas e intento de chantaje, aportando en número de protocolo del notario.
Y a esperar. Si tiene arrestos de seguir con la denuncia, será tipificada por el juez como denuncia falsa con el agravante de amenazas, por lo que lo tiene muy complicado por vía penal . Ya sabeis aquello de pleitos tengas y los ganes. De momento vosotros lleváis ventaja con la denuncia ante la policía.
Y con la información protocolizada podréis demostrar que son datos procedentes de fuentes públicas, por lo que no aplica la necesidad de consentimiento.
Se está produciendo un tipo de ataque por e-mail, con amenazas de denuncia por supuestas infracciones a la Ley Orgánica de Protección de Datos Personales, LOPD.
En particular, se ha identificado a cierto indeseable que aprovecha la ignorancia de muchos empresarios a los que amenaza con denunciar ante la Agencia de Protección de Datos (APD) y citando la LOPD, menciona posibles sanciones de hasta 600.000 euros.
En primer lugar, hay que advertir que los datos procedentes de fuentes públicas tienen una cobertura especial por la LOPD, y en segundo lugar, que el tratamiento periodístico de datos personales de personajes con elevada notoriedad está sometido a otra normativa en relación con los medios de comunicación.
La APD ya está informada sobre este tipo de amenazas que utilizan la LOPD como arma en un verdadero Fraude de Ley.
Cierto personaje que se ha hecho tristemente famoso por otros fraudes a sus franquiciados, y es una lacra para el prestigio de los profesionales que se dedican a la seguridad de la información es uno de los que ha iniciado estas prácticas.
Si algun lector de este artículo recibe cartas o mensajes de correo amenazadores, en relación con la LOPD enlos cuales se propone negociar un pago para evitar la denuncia, por favor que se ponga en contacto conmigo, para que le de unas recomendaciones encaminadas a formar prueba y a prepararuna denuncia por vía penal para acabar con las actividades de este sujeto.
Tras leer el borrador de la LISI (Ley de Impulso de la Sociedad de la Información) lo primero que se aprecia es que retoca otras leyes como la LSSI, la Ley de Firma Electrónica y la Ley de Comercio Minorista.
En mi opinión hay que tocar más leyes y afrontar aspectos como estos:
Estos son algunos apuntes para tratar, pero hay bastantes aspectos que hay que retocar para el Impulso de la Sociedad de la Información
En el ámbito de la gestión de los Call Centers se trabaja continuamente con datos personales. Tanto en el caso de los especializados en la recepción de llamadas como en el de los que las generan, la diligente gestión de los datos es un elemento de capital importancia en el marco general de una provisión de servicios de calidad.
Por ello, todos los sistemas de apoyo a la gestión de llamadas han de ser especialmente cuidadosos en la implementación de las funciones que dejan rastros de auditoría sobre todas las actuaciones en las que se gestionan datos personales.
En los últimos años, se han dado varios casos de personas que han utilizado la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) como arma arrojadiza frente a las empresas cuando otros mecanismos se han mostrado insuficientes, por ejemplo en la gestión de reclamaciones. Considerando la forma de gestión de las denuncias por parte de la Agencia de Protección de Datos (APD) y la cuantía de las sanciones, está claro que disponer de mecanismos que permitan actuar frente a las denuncias minimizará las incidencias y dotará a las empresas que dispongan de ellos de un excelente recurso para relacionarse con la APD.
Una primera distinción en el tratamiento del problema se da respecto a la titularidad del Call Center. Será diferente el caso de un Call Center operado por la entidad Responsable del Fichero, respecto del de otro operado por una empresa tercera que actúa como Encargado del Tratamiento.
La forma de demostrar la actuación diligente en uno y otro caso es diferente, pero en ambos se basa en registrar minuciosamente todas las actuaciones con indicación precisa de tiempo y del detalle de la actuación.
En el caso de Call Center que actúan para empresas distintas, debe estar perfectamente documentado contractualmente el tipo de relación entre ellas, en particular respecto a la transferencia de datos, su titularidad y su tratamiento, y el tipo de servicio que se presta y cómo afecta a la gestión de los datos. Si la empresa actúa en otro país, o contrata teleoperadores en diferentes ubicaciones, debe indicarse esta circunstancia, señalando el nivel de Protección de Datos que la ley otorga en cada país y la consideración de que este nivel sea equivalente al del país de origen de los datos. En este caso debe solicitarse autorización a la Agencia de Protección de Datos con indicación del País de destino de la transferencia de datos y de las medidas de seguridad técnicas y procedimentales que se aplicarán para garantizar la confidencialidad del tratamiento de los datos.
El Documento de Seguridad de la empresa que ofrece los servicios de Call Center posiblemente sea uno de los Anexos de la relación contractual, que la empresa contratante deberá valorar para asegurarse de que es compatible con sus propias medidas de seguridad, y, por tanto, son su propio Documento de Seguridad.
En el sistema informático de la empresa o el departamento especializados, es conveniente que se registren todas las actuaciones sobre datos personales. Si se visualizan por un operador se indicará en el sistema de registro la identidad del operador y el tipo de datos a que ha tenido acceso y en qué momento. Si pueden modificarse, se registrará el operador que los ha modificado, el momento en que lo hizo, los datos que había antes de la modificación y los que quedaron tras ella. Se indicará la causa de la modificación y la forma exacta en la que se obtuvo el consentimiento del interesado para la gestión de los datos o para la rectificación, en particular indicando si se explicó al usuario la finalidad de la obtención de los datos y el tratamiento que se les dará.
Si la obtención de los datos se realizó a través de un formulario u otro documento escrito se adjuntará un enlace a su imagen digitalizada o un localizador del documento físico que documenta la actuación. Si fue a través de un formulario web, se indicará tal circunstancia y el máximo de datos posibles para demostrar la actuación: la IP desde la que se produjo el acceso, la resolución inversa de dominio, el valor de la cookie, de existir, el tipo de autenticación utilizado (usuario/password, teléfono móvil, certificado electrónico,…). Si el acceso fue telefónico (lo que en nuestro caso será lo más frecuente) se adjuntarán los datos de contexto de que se disponga (identificador del número llamante, mecanismos de identificación utilizados por el operador, enlace a la digitalización de la grabación si se autorizó por el usuario y existe, o localizador de la grabación si se utiliza un sistema independiente.
En los call center inbound (especializados en gestión de llamadas entrantes) en los que se traten quejas y reclamaciones, y especialmente en los relativos a problemas de facturación se instruriá a los operadores a que sean sensibles a cualquier mención de la LOPD o de la APD por parte del reclamante, registrando esta circunstancia en la ficha que documenta la actuación. Aunque no en todos los casos en los que se amenaza con denunciar a la entidad ante la APD se cumple tal amenaza, debemos asegurarnos de que los responsables de la gestión están al tanto de que es posible, de forma que sea posible verificar de forma reforzada que se mantiene toda la capacidad probatoria respecto a las actuaciones en ese cliente si hubiera que documentarlas ante la APD. En este sentido, uno de los elementos de análisis es la proporción entre la cuantía o peculiaridad de la discrepancia con el cliente, respecto al coste de gestión de la denuncia o la cuantía de la sanción potencial.
En los call center outbound (especializados en gestión de llamadas salientes) hay que ser cuidadosos en varios aspectos. Verificar la oportunidad de la llamada y si el destinatario de la llamada desea recibirla en otro momento (registrando esta eventualidad en la ficha de actuación). Identificar en nombre de quien se hace la llamada, que será la entidad Responsable del Fichero o del Tratamiento. De la forma más natural posible en el curso de la conversación, se dará indicación al usuario de las circunstancias por las que la entidad dispone de sus datos, de la importancia de que sean correctos, y de la finalidad de la entidad al disponer de ellos. Antes de concluir la llamada conviene indicar que la entidad es respetuosa con sus datos personales y muy rigurosa en su gestión y la forma en la que el usuario puede ejercitar sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
Ciertos tipos de datos personales requieren tratamientos especiales. Los datos clasificados por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), como de nivel alto han de estar sometidos a unas medidas de seguridad más severas, lo que debe tenerse en cuenta en los sistemas utilizados para su gestión.
En la actualidad, el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio como desarrollo de la vieja LORTAD (Ley Orgánica 5/1992, de 29 de octubre) sigue vigente por la Disposición Transitoria Tercera de la LOPD. Aunque el Reglamento se aplicaba inicialmente solo al tratamiento automatizado de datos, la LOPD amplió su alcance a los soportes no automatizados (en papel y otros). Eso quiere decir que en todo proyecto nuevo se debe considerar desde el principio toda la gestión no automatizada, si bien, los ficheros en soportes no automatizados que existieran antes de enero del 2000 (fecha de entrada en vigor de la LOPD) disponen del período de adaptación establecido en la Disposición Adicional Primera (que finaliza en octubre de 2007).
En la actualidad se conocen algunos datos del Borrador del nuevo Reglamento que desarrollará la LOPD y que en la actualidad se encuentra en proceso de tramitación parlamentaria. Entre sus objetivos está el de dotar de mayor seguridad jurídica a los consumidores, lo que implica que el sector del telemarketing habrá de estar especialmente alerta a sus contenidos.
El reglamento, elaborado conjuntamente por el Ministerio de Justicia y la Agencia Española de Protección de Datos, será trasladado al para su aprobación. Inicialmente, se pensaba que el reglamento vería la luz en la primavera de 2006. Sin embargo, diferentes circunstancias han alargado el plazo inicialmente previsto, y en estos momentos no parece que se publique antes del 2007.
Aunque no supone una modificación sustancial de la normativa hasta ahora vigente, sí incorpora ciertas novedades que afectarán sobre todo a aquellas empresas o profesionales que tengan en su poder datos de niveles medio y/o alto.
Otras novedades se centran en el desarrollo de las medidas de seguridad que deberán aplicarse en la protección de toda la información empresarial almacenada en soporte papel. Lo que significa, que la entrada en vigor de la nueva norma conllevará la adopción de medidas de seguridad adicionales.
Todo es electrónico 