Entradas

Sanción AEPD: El Responsable del Fichero “también” responde del incumplimiento del Encargado de Tratamiento | Eurovima Consulting S.L.

Sanción AEPD: El Responsable del Fichero “también” responde del incumplimiento del Encargado

En esta ocasión queremos hablaros de una sanción que la Agencia Española de Protección de Datos (AEPD) ha impuesto a dos empresas, una que actuaba como responsable de fichero y otra como encargada de tratamiento de la anterior. El motivo de la sanción es el incumplimiento del deber de información regulado en el art. 5 de la Ley de Protección de datos (LOPD).

La primera de ellas, responsable del fichero, encomendó a la segunda, encargada de tratamiento, la gestión de los servicios de “Call Center” de ésta.

En su defensa inicial, el responsable del fichero y el encargado de tratamiento alegaron que la LOPD no les es aplicable porque tratan datos de entidades jurídicas, y en su caso, de las personas que trabajen para estas entidades, por lo que les sería de aplicación la excepción del art. 2.2 del Reglamento que desarrolla la LOPD (RDLOPD). Pero a lo largo del procedimiento se ha demostrado que se trataban datos de otras personas como familiares o cualquier persona que llamase al “Call Center” con motivo de la relación con la responsable del fichero y se atendían llamadas por personas interesadas en adquirir vehículos de ocasión, siendo desestimada dicha excepción del art. 2.2 del RDLOPD

El origen de la denuncia

Partió del representante sindical que denunció que si bien las llamadas recibidas por el “Call Center” se grababan por acuerdo entre las partes, posteriormente el encargado de tratamiento, y por su cuenta envió un correo electrónico a los coordinadores del servicio diciendo a sus empleados que no se debía informar a los llamantes de que las conversaciones eran grabadas.

La AEPD resuelve que existe corresponsabilidad de ambas entidades

La resolución pone de manifiesto que: “Es al responsable del fichero y tratamiento, a quien corresponde adoptar las cautelas para el cumplimiento de los mandatos de la LOPD y su inobservancia le hace responsable del tratamiento de datos objeto de de la denuncia, con independencia de la actuación del encargado del tratamiento” añadiendo que “no ha aportado elementos de juicio suficientes que permitan entender que dio instrucciones precisas al respecto y no había previsto ningún mecanismo ni establecido ningún control al respecto, ni una obligación cierta, expresa y determinada

Esta corresponsabilidad, viene marcada en la sentencia que establece: “Sobre este particular decir que interpreta el art. 12.4 de la LOPD la sentencia de 14/03/2007 Recurso 280/2005, que haciéndose eco de la anterior Sentencia de 13/04/2005 Rec.241/2003, establece que lo que determina la LOPD en el mismo es que si el encargado del tratamiento destina los datos a una finalidad distinta a la indicada, los comunica o los utiliza incumplido las estipulaciones del contrato “… “será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

“El término “también” deja claro que no se establece allí un mecanismo de sustitución ni de derivación de responsabilidades sino de agregación, pues el responsable del tratamiento no pierde su condición de tal, ni queda exonerado de responsabilidad por el hecho de que al encargado del tratamiento, que incumpla lo estipulado, se le atribuya “también” la consideración de responsable del tratamiento…”

Pese al incumplimiento del encargo del Responsable del Fichero, ambos fueron sancionados con 2.300€

En definitiva, aunque el encargado de tratamiento por propia iniciativa es responsable de haber dado instrucciones específicas y expresas a sus trabajadores para que no informen sobre las grabaciones, el responsable del fichero o tratamiento responderá de las infracciones cometidos con motivo del encargo, aunque el encargado del tratamiento haya incumplido sus instrucciones, por no vigilar que esté cumpliendo con la normativa sobre protección de datos.

¿Qué conclusiones podemos extraer de todo lo expuesto?:

  • El deber de información del art. 5 de la LOPD, debe ofrecerse siempre, aunque se haga de forma telefónica, incluso teniendo el consentimiento del titular de los datos para tratar los mismos, por ejemplo por motivo de un contrato previo.
  • Cuando se traten datos de empresas o sus empleados, se hará siempre cumpliendo con la finalidad para los que se recabaron los mismos. Los datos de los empleados que están excluidos de la norma son nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
  • Debe existir siempre un contrato, entre el responsable de fichero y el encargado de tratamiento, conforme al 12 de la LOPD, que regule la situación del tratamiento de datos por cuenta del responsable del fichero, en el que se darán instrucciones precisas de cómo se debe actuar por parte del encargado de tratamiento.
  • El incumplimiento de dicho contrato, o de la normativa sobre protección de datos por parte del encargado de tratamiento, con motivo de esta relación, le convierte en responsable de tratamiento, y por tanto se le podrá sancionar. Pudiendo sancionar también al responsable del fichero por no vigilar que el encargado cumpliendo con la normativa sobre protección de datos.

Si queréis más información sobre este procedimiento lo podéis consultar en este enlace.

Desde Eurovima, recomendamos a las empresas regular muy bien las relaciones con los terceros con los que contratamos nuestros servicios y que traten/accedan a datos personales de los que somos responsables, como puedan ser asesores, hosting, informáticos, “Call Center”… y sobre todo que seamos “diligentes” a la hora de elegirlos, cuestión que genera controversia en materia LOPD, al ser un argumento que ha empleado en distintas ocasiones y sobre el que ya hemos hablado: “Nube” o Cloud Computing. Seamos diligentes…

NEWS 30/Octubre/2013 Memoria 2012 de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) acaba de publicar su Memoria de 2012.
Como datos llamativos que reflejan la memoria podemos destacar que la cuantía total de las sanciones ascendió a 21 millones de euros, las denuncias aumentaron 12% respecto al 2011, el 73% de las sanciones son a empresas del sector telecomunicaciones y que tres de los principales operadores suman el 71% del importe global de multas y sin embargo las multas a la banca descienden un 27%.
En el ámbito de empresas-entidades privadas, más del 34% de las denuncias concluyeron en apercibimiento, es decir, tiron de orejas y a subsanar el error (por estar adecuados a la normativa, pero haber incurrido en falta no muy grave), por eso la importancia de cuando menos adecuarse a la Ley Orgánica de Protección de Datos (LOPD).
Las multas por SPAM (correos electrónicos sin copia oculta) y correos o comunicaciones electrónicas no solicitadas/autorizadas han aumentado un 77% en el último año, un dato muy significativo y con el que hay que tener especial cuidado a la hora de hacer nuestra actividad comercial y alegar que el servicio es realizado por un tercero no nos exime de nuestra responsabilidad.
A la vista de éstos datos y de la seriedad de las sanciones si necesitas cualquier tipo de asesoría en materia de Protección de Datos o de adecuación a la LSSI, nuestro departamento de Asesoría LOPD, LSSI está disponible para ti.

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Éste post parte de los dos artículos que escribimos el pasado mes de julio (Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa) Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€) en los que destacábamos 2 sanciones de la Agencia Española de Protección de Datos (AEPD), publicadas con apenas 3 días de diferencia a sendos establecimientos por no hacer caso de apercibimiento, cuyas cuantías eran idénticas (6.500€) y ambas por ignorar las “advertencias” de la AEPD respecto a infracciones de videovigilancia.

Periódicamente revisamos las Resoluciones de Procedimientos Sancionadores que la AEPD publica en su página web y a raíz de esos dos artículos, decidimos que sería interesante revisar y hacer un pequeño análisis de las resoluciones publicadas en los 3 últimos meses, es decir, mayo, junio y julio (la ultima con fecha 30-7-2013).

Aunque lo cierto es que no vamos a contar muchas novedades, cuando menos sí podemos decir que las actuaciones de la Agencia siguen la senda marcada por las de años anteriores y en todo caso, les animo a seguir leyendo pues entendemos que hay información para los amantes de la LOPD y LSSI que les resultará de interés.

Aunque faltan pocas fechas, o eso suponemos, para que la AEPD publique la Memoria 2012, hemos considerado que no estaría mal hacer un pequeño análisis de cómo evolucionan las sanciones en el 2013, su cuantía y cómo se desarrolla la aplicación de los apercibimientos y en qué casos, cuántas se archivan, a qué sectores afectan, etc.

Como hemos indicado, después de revisar las 174 resoluciones lamentablemente no podemos ofrecer “grandes titulares”, ni tampoco un análisis exhaustivo, ya que unas vez revisadas detenidamente hemos considerado que no es posible confrontar los datos y compararlos con el periodo anual 2011 (última memoria publicada por la AEPD) no sólo por razones de hacer una análisis trimestral, sino también por no poderlos comparar con los del año pasado y valorar su evolución real.

En todo caso, sí podemos ofrecer los datos globales de estos tres meses que a modo de resumen son:

  1. El número de resoluciones publicadas entre mayo, junio y julio de 2013 ha sido de 174.
  2. La cuantía de las resoluciones que han finalizado en sanción asciende a 5,5 millones de euros.
  3. El número de resoluciones del sector de telecomunicaciones fue de 104 (60% del total) cuya cuantía de las sanciones asciende a 4,1 millones de euros (74% del total).
  4. El número de resoluciones del sector bancario fue de 22 (13% del total), con una cuantía de las sanciones que asciende a 538.000 euros (10% del total).
  5. De las 174 resoluciones 23 no supusieron sanción (13% del total), pues 21 fueron archivadas y 2 terminaron en apercibimiento.

En cuanto a los artículos infringidos, cabe destacar lo siguiente:

  1. El número de resoluciones más veces repetida por incumplimiento de la LOPD hace referencia al artículo 4.3, con un total de 95 resoluciones (55% del total) siendo la cuantía de las sanciones de 4,2 millones de euros (76% del total).
  2. El artículo 6.1, ha sido infringido en 55 resoluciones (32% del total) siendo la cuantía de las sanciones de casi 2,7 millones de euros (49% del total).
  3. El artículo 21 de la LSSI, ha sido infringido en 20 resoluciones (11% del total) aunque la cuantía de las sanciones es baja, la mayoría de 600€.
  4. El número de resoluciones por no cumplir con el apercibimiento (Artículo 37.1.f) de la AEPD fueron 7 (4% del total) con una cuantía total de las sanciones de 35.000 euros (0,6% del total).

En definitiva, que las sanciones a la banca y sobre todo a las operadoras de telecomunicaciones, constituyen casi el 75% de los procedimientos sancionadores y se corresponden con el 84% sobre el total de la cuantía de las multas impuestas.

Que las reclamaciones presentadas ante la AEPD por la inclusión de deudas en ficheros de morosidad que no debieron ser tratadas como tales, en muchos casos (22 de los 25) terminan en sanciones en las que se resuelve que se han infringido los artículos 4.3[1] (principio de calidad de los datos) y 6.1[2] (consentimiento del afectado), suponiendo en estos casos una sanción doble por una cuantía de 50.000€, si bien en casi la mitad de las mismas se ha considerado una reducción del importe por aplicación del artículo 45.5 de la LOPD.

Otras de las resoluciones que más se repiten, son aquellas en las que se vulnera el artículo 4.3 en relación con el 29.4[3] (prestación de servicios de información sobre solvencia patrimonial y crédito), de las que podemos determinar que no se cumple que dichas entidades hayan actuado ante la existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de cuya existencia o cuantía no haya entablado el deudor reclamación judicial, arbitral o administrativa.

Que el artículo 21 de la LSSI, ha sido de los más infringidos aunque la cuantía de las sanciones es baja, la mayoría de 600€ ya que se trata de “entidades pequeñas”, salvo una sanción de 30.001€ a un Banco, siendo el motivo principal de las sanciones, el envío de correos sin acreditar autorización previa y expresa, ni relación previa y en menor medida se sanciona el envío de SMS sin incluir un medio de oposición, es decir, hacer lo de toda la vida, envíos comerciales que todos tenemos constancia que algunas empresas continúan haciendo sin “haberles invitado”.

En este nuevo repaso, hemos vuelto a leer algunas resoluciones llamativas, entre la que destacamos la PS-00747-2012 de la que en su momento ya nos había alertado Jesús Pérez Serna en su post “El spam más absurdo jamás visto”, un caso en el que se produce una transmisión vía fax de nueve mensajes comerciales no solicitados a dos líneas titularidad de la propia AEPD, produciéndose una vulneración de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) por infracción del artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse de la remisión a un mismo destinatario de más de tres mensajes de Fax de venta directa en un intervalo de tiempo inferior al plazo de un año, sin que la AEPD le hubiera prestado su consentimiento expreso, previo e informado para ello, vamos que se metieron con “el mismísimo primo de Zumosol”.

En definitiva, curiosidades aparte, vemos como la trilogía banca-telecomunicaciones-morosos suman 3 de cada 4 denuncias, cuestión que nos hace plantear si realmente los ciudadanos somos conscientes que nuestra privacidad, la protección de nuestros datos de carácter personal y su tratamiento son aspectos que competen a nuestra vida, más allá de la banca y las telecomunicaciones o la videovigilancia, pues parece que el resto de actividades profesionales cumple con la normativa, cuando hay cifras que indican que un 70% de las empresas/profesionales/entidades no cumplen con la misma.

Nos cansamos de escuchar que estamos hartos de recibir spam, llamadas telefónicas, que recaben datos sin consentimiento, que los publiquen sin las debidas garantías, etc. pero por lo que se ve, no denunciamos (salvo a las grandes compañías) y eso que es gratis, aunque el no beneficiarnos directamente de la sanción parece que influye en nuestra motivación.

 


[1] Artículo 4.3.- Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

[2] Artículo 6.1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

[3] Artículo 29.4.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€

La AEPD ha publicado dos sanciones con 3 días de diferencia a dos establecimientos por no hacer caso de apercibimiento. Las multas han sido de 6.500€ por ignorar las “advertencias” de la AEPD y en ambos casos la denuncia, formulada por la policía municipal (de Huelva y Madrid), estaba vinculada a sistemas de vídeovigilancia que los establecimientos habían instalado sin haber inscrito el fichero correspondiente y por no disponer de los carteles de zona video vigilada, ni de los formularios de acceso para los afectados.

photo credit: woodleywonderworks via photopin cc

photo credit: woodleywonderworks via photopin cc

Del procedimiento (PS-00059-2013) comentar de manera breve que “acuerda requerir a la entidad, de acuerdo con lo establecido en el apartado 6 del artículo 45 de la Ley 15/1999 para que acredite, en el plazo de un mes desde este acto de notificación, el cumplimiento de lo previsto en el artículo 5 de la LOPD, aportando fotografía que acredite tener en el establecimiento denunciado los carteles informando de la presencia de las cámaras y en los que se especifique a la persona o entidad ante la cual ejercitar los derechos de acceso, rectificación, cancelación y oposición. Asimismo, se le requiere que acredite en el mismo plazo de un mes el cumplimiento de lo previsto en el artículo 26 de la LOPD, mediante la inscripción del fichero con la finalidad de “Videovigilancia” a nombre del denunciado”.

Del segundo procedimiento, fuimos conscientes a raíz de un tweet de @fjavier_sempere aunque en un primer momento pensamos que era el mismo, ya que en ambos no se atendieron las notificaciones de la AEPD, aunque sí es cierto que en éste, la notificación fue devuelta en dos ocasiones por el servicio de correos con la indicación “AUSENTE REPARTO”, posteriormente expuesta en el tablón de edictos del Ayuntamiento de Huelva durante 20 días y finalmente en el Boletín Oficial del Estado.En el caso que ya comentamos en el anterior post Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa), tampoco fue atendida alegando posteriormente que “nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión”.

Hay que recordar que la figura del apercibimiento (BOE 5-2-2011), vino a “aliviar” en gran medida a las entidades que incumpliendo la normativa evitaban ser sancionadas de forma directa, mediante un “tirón de orejas” (salvo las infracciones muy graves o que el infractor no hubiese sido sancionado o apercibido con anterioridad) debiendo en el plazo que la AEPD determine, acreditar la adopción de las medidas correctoras notificadas.Siempre hablamos de la importancia de tener bien presentes determinados aspectos de la LOPD que siendo tan previsibles, nos pueden acarrear, no solo una mala imagen sino una sanción fácilmente evitable, aunque me temo que en ambos casos los “gestores” que les han asesorado nunca serán como los profesionales de las asesorías especializadas en la materia les puedan prestar y todos sabemos que lo barato (o “gratis” a lo LOPDCOSTECERO) a la larga, sale caro.

En fin, curioso que en tan corto plazo de tiempo, se hayan conocido sendas sanciones tan similares si bien es cierto que en lo que llevamos de año ya se han dictado cerca de 20 procedimientos con parecidas características (infracción del artículo 37.1.f) de la LOPD) y las que se han resuelto con sanción la multa ha sido de 6.500€ en la mayoría de los casos.

Conclusión: Si la AEPD te apercibe y “tira de las orejas”, no hagas “oídos sordos” y atiende su solicitud o prepara 6.500€ para la multa.

 

Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa)

En abril de 2011 la Policía Municipal de Madrid comunica a la Agencia Española de Protección de Datos (AEPD) una posible infracción de la LOPD motivada porque un “establecimiento” tiene 8 cámaras de vídeo-vigilancia instaladas y no cuentan con los oportunos carteles de zona vídeo-vigilada, ni con los formularios de acceso para los afectados.

La denuncia señala que las 8 cámaras, están conectadas a un monitor central receptor, no pudiendo comprobar el sistema de grabación empleado, observando que se encuentran conectadas a un vídeo y a un módem de una compañía telefónica.

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Los Servicios de Inspección de la Agencia iniciaron actuaciones previas con objeto de determinar si el tratamiento de los datos personales, a través del citado sistema de vídeo-vigilancia, cumplían las condiciones que impone la normativa.

Es de suponer que el establecimiento, antes de la llegada de los Servicios de Inspección de la Agencia, colocaron los carteles preceptivos y editaron el formulario informativo que debe estar a disposición de los ciudadanos acorde a la Instrucción 1/2006, ya que la inspección constató su existencia, aunque por lo que se ve “olvidaron” registrar el fichero ante la AEPD.

La inspección, también constató que las cámaras grababan las imágenes en un grabador sin que se pudiese precisar durante cuánto tiempo, ya que el sistema había sido instalado por los anteriores propietarios y estaba protegido el acceso por una clave que los actuales propietarios decían desconocer y no podían saber (pues la empresa que instaló el sistema ya no existía).

El procedimiento de la AEPD señala que “se pone de manifiesto que las cámaras efectúan grabaciones, no constando que dicho fichero se encuentre inscrito en el Registro General de Protección de Datos de esta Agencia” y la AEPD decide APERCIBIR (A/00050/2012) al  establecimiento por infracción del artículo 26 de la LOPD (“Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la AEPD”), tipificada como leve por la LOPD.

En este caso, el establecimiento se “iba de rositas”, ya que simplemente debía inscribir en el plazo de un mes (marzo de 2012) dicho fichero, advirtiéndole la Agencia que en caso contrario se iniciaría la apertura de un procedimiento sancionador, como finalmente ha sido.

En éste tiempo, la Agencia por dos veces (mayo y septiembre de 2012) reitera al establecimiento, por medio del servicio de correos con acuse de recibo, lo requerido en el procedimiento de apercibimiento (inscripción de fichero con finalidad de vídeo-vigilancia) sin que se hayan adoptado las medidas correctoras solicitadas.

Por ello el 4 de febrero de 2013, el director de la AEPD acordó iniciar el procedimiento sancionador por presunta infracción del artículo 37.1.f) de la LOPD (“son funciones de la AEPD: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”) tipificada como grave, pudiendo ser sancionada con multa de 40.001 € a 300.000 €, de acuerdo a la LOPD.

Una vez notificado, el Establecimiento formuló alegaciones, entre otras y de manera textual las siguientes:

“…En cuanto tomamos conocimiento de dicha notificación nos pusimos en contacto telefónico con la Agencia Protectora de Datos, solicitando más información sobre el tema, allí muy amablemente la persona que se puso al habla no comunico bien de que iba todo el tema, y nos aclaró que ya hacía bastante tiempo que nos envían notificaciones si respuesta alguna de nuestra parte.

Allí fue nuestro asombro ya que todo lo referente a nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión.

Esta persona por lo visto no les ha presentado ningún tipo de notificación haciendo quedar a la empresa como irresponsable, de todos modo con excusarnos en otra persona no queremos evitar alguna responsabilidad, sino todo lo contrario.

… Por lo expuesto reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos.”

En resumen que la culpa es del gestor (seguramente sea así) y como manifiestan “haciendo quedar a la empresa como irresponsable” aunque ellos insisten en su incomprensión ya que “reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos”.

Estamos seguros que no van a volver a corroborarlo y que ya no se irán de rositas, ya que se le ha impuesto una multa de 6.500€ por la infracción mencionada del artículo 37.1.f) de la LOPD.