Entradas

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa

Viene siendo una actuación que se repite y lo cierto es que aunque se pueda pensar en que no tiene sentido no atender los requerimientos que te hagan para evitar una sanción, sencillos por otra parte, algunos siguen no atendiéndolos y por tanto terminan sancionados.

La denuncia: Instalar una cámara de videovigilancia en la ventana de una vivienda pudiendo captar la vía pública y propiedades de terceros

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Image courtesy of nipitphand at FreeDigitalPhotos.net

Sobre este tema ya hemos hablado en nuestro artículo de julio de 2013: Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€ y nuevamente nos encontramos un caso similar en la que un particular instala una cámara de videovigilancia que según la resolución de la Agencia Española de Protección de Datos (AEPD) se aprecia en las fotografías que acompañan la denuncia, la cámara está instalada en la ventana de la vivienda denunciada y orientada hacia el exterior, pudiendo captar por su altura y ángulo de orientación la vía pública y propiedades de terceros.

La denunciada no formula alegación alguna en el plazo que la AEPD establece y una vez acreditados los hechos, es decir, presunta infracción del artículo 6.1 de la LOPD que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

¿Pero, en qué consiste la figura del apercibimiento?

Recodemos que la figura del apercibimiento (BOE 55, 5-3-2011 Disposición final quincuagésima sexta) supuso una “gran noticia” para los infractores en materia LOPD, ya que aunque incumplan la LOPD pueden evitar ser sancionados, salvo que se trate de una infracción muy grave o si ya hubiesen sido sancionados o apercibidos con anterioridad.

En definitiva, que sólo tienes que acreditar la adopción de las medidas correctoras que la AEPD determine, aunque hayas incumplido la normativa.

¿Qué requisitos debe cumplir un sistema de videovigilancia según establece la LOPD?

  1. Respetar el principio de proporcionalidad.
  2. Si el sistema está conectado a una central de alarma, únicamente podrá ser instalado por una empresa de seguridad privada 
  3. No captar imágenes de las personas que se encuentren fuera del espacio privado (en lugares públicos sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado)
  4. Cumplir con el deber de informar a los afectados (Instrucción 1/2006, de la AEPD, sobre el Tratamiento de Datos Personales con Fines de Vigilancia a través de Sistemas de Cámaras o Videocámaras), concretamente:
    • Colocar, en las zonas video vigiladas, al menos un distintivo informativo (cartel de aviso) ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
    • tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la LOPD

¿Qué señala la AEPD en su resolución?

De manera literal, la sentencia indica que “La denunciada tiene instalado un sistema de videovigilancia con una videocámara orientada hacia el exterior de la vivienda donde está instalada […], no consta que dicha responsable tenga legitimación para el tratamiento de estas imágenes, realizando por tanto un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos”.

No obstante la AEPD, que es muy benévola, acuerda apercibir al tener en cuenta que “no consta vinculación de su actividad con la realización de tratamientos de datos de carácter personal, ni que existan beneficios obtenidos como consecuencia de la comisión de la infracción” instándola a que en el plazo de un mes:

  1. Cumpla lo previsto en el artículo 6.1 de la LOPD, es decir, a que justifique la retirada de la cámara, o bien su reubicación o reorientación para que ni se oriente ni capte espacio público.
  2. E informe a la AEPD del cumplimiento del requerimiento, acreditando la adopción de dichas medidas, por medio de fotografías que evidencien la retirada de la cámara o fotografías que muestren lo que capta la cámara una vez se haya reubicado o reorientado.

La denunciada no contestó a las solicitudes y finalmente ha sido sancionada con 1.000€ (enlace a la resolución)

La AEPD envía 2 escritos al domicilio de la denunciada con acuse de recibo, que no son atendidos y finalmente la denunciada ha sido sancionada con una multa de 1.000€ por la infracción del artículo 37.1.f) de la LOPD que señala que “son funciones de la Agencia de Protección de Datos: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”.

En definitiva, y como conclusión, repetimos que: si la AEPD te apercibe, atiende su solicitud o prepárate para la multa.

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Delete Button For Erasing Or Deleting Trash by Stuart Miles in FreeDigitalPhotos.net

Aunque sobre este tema ya hemos hablado en algún que otro post, queremos hacer hincapié en la utilidad de cumplir nuestros propios protocolos, no sólo por la sanción que nos puedan imponer, sobretodo por no manchar nuestra imagen de marca o negocio.

No atender convenientemente el ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición) al tratamiento de los datos personales de un cliente o usuario, es uno de los motivos más recurrentes de sanción en el ámbito de la LSSI (Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD)

Normalmente las entidades que han realizado un proyecto de adecuación normativo, habrán establecido un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que habrá notificado a todo su personal con el fin de atenderlos convenientemente, de lo contrario el proyecto de adecuación normativo a la LOPD no ha sido ni completo ni riguroso.

La eterna lucha contra el SPAM

Recordemos que se denomina “spam” a todo tipo de comunicación no solicitada que se realiza por vía electrónica y que se lleva a cabo mediante el envío de correos electrónicos comerciales, SMS o por medios de comunicación electrónica equivalentes.

Como el coste es mínimo y se trata de envíos que se realizan de manera sencilla y ágil, esta práctica se ha extendido entre aquellas empresas que prefieren arriesgarse y lograr una publicidad efectiva antes que legal y respetuosa con sus clientes y los que pudieran llegar a serlo.

El SPAM se considera grave cuando se realiza de forma masiva, abusiva e indiscriminada según se establece en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, modificado por el Real Decreto-Ley 13/2012, de 30 de marzo.

En definitiva, cualquier envío de comunicación con publicidad por medios de comunicación electrónica estarán supeditados a que exista un consentimiento previo, específico, inequívoco e informado, salvo relación contractual anterior y que no se indique voluntad en contra – Comunicaciones electrónicas no deseadas: motivo recurrente de sanción.

La AEPD resuelve que queda acreditado el envío de 3 correos publicitarios una vez manifestó su oposición.

La AEPD acredita en su resolución que el denunciante solicitó en 2 ocasiones la petición del cese en el envío de información comercial, señalando respecto al envío de los 3 correos electrónicos publicitarios lo siguiente:

“[…] No contaba con el consentimiento previo y expreso de la denunciante, toda vez que se enviaron con posterioridad a que éste hubiera manifestado su oposición a la recepción de envíos publicitarios. Por ello, los 3 correos electrónicos enviados […] incumplían la prohibición de remitir comunicaciones comerciales no autorizadas o solicitadas establecida en el artículo 21.1 de la LSSI, ya que se trataba de envíos publicitarios no consentidos por su destinatario, quien había manifestado a la citada entidad su voluntad de no continuar recibiendo publicidad circunstancia perfectamente conocida por dicha entidad”.

Respecto a la culpabilidad de conducta de la imputada, la AEPD señala que:

[…] Le era exigible otra conducta diferente de la que observó, habida cuenta que no adoptó todas las precauciones necesarias en orden a asegurarse que los procedimientos instaurados para tramitar las bajas en el envío de comunicaciones publicitarias funcionaban correcta y efectivamente, considerándose que el argumento de la buena fe resulta insuficiente en atención a la diligencia que le resulta exigible como empresa habituada a la remisión de envíos publicitarios por medios de comunicación electrónica, debiendo, por tanto, velar por el cumplimiento de los derechos de los destinatarios de tales mensajes recogidos en la LSSI, causa por la que debió actuar con más prudencia para justificar la legalidad de su conducta.”

La sanción no fue mayor, ya que la AEPD valoró como circunstancias atenuante la ausencia de intencionalidad, o que hubieses ocasionado perjuicios relevantes al denunciante o generado beneficios a la empresa imputada como resultado de los envíos.

La importancia de cumplir con nuestros procedimientos de respuesta y actuación ante el ejercicio de derechos ARCO

Aunque en la resolución podemos ver que aunque la entidad denunciada manifestó que: disponemos de protocolo interno de atención a cualquier solicitud ARCO referenciada al email […] o por correo ordinario, con personas responsables y sistemas de comunicación. En esta ocasión y debido a que la empresa en esas fechas estaba inmersa en cambios estructurales se ha demorado en el tiempo proceder a la cancelación de los datos solicitada por la denunciante. Entienden que ha habido una demora en el tiempo de ejecución de la mencionada cancelación.”

En definitiva, aunque la entidad manifestó su error al no atender la petición, alegando estar en un momento de cambios internos, no le valió para librarse de la sanción, por eso insistimos a nuestros clientes que si han realizado un proyecto de adecuación normativo riguroso, y por tanto han implementado un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que presten especial atención a los mismos al igual que con la gestión de las suscripciones a los boletines o newsletter,

Seguir los procedimientos que hemos implementado y se encontrarán recogidos en nuestro documento de seguridad es vital para cumplir tanto la LOPD como de la LSSI y de paso trasmitir una imagen de garantías a nuestros clientes y a los potenciales a los que nos queremos acercar.

Puedes encontrar más información acerca de los derechos ARCO en este artículo que tenemos publicado: Como cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”

Sanción AEPD: El Responsable del Fichero “también” responde del incumplimiento del Encargado de Tratamiento | Eurovima Consulting S.L.

Sanción AEPD: El Responsable del Fichero “también” responde del incumplimiento del Encargado

En esta ocasión queremos hablaros de una sanción que la Agencia Española de Protección de Datos (AEPD) ha impuesto a dos empresas, una que actuaba como responsable de fichero y otra como encargada de tratamiento de la anterior. El motivo de la sanción es el incumplimiento del deber de información regulado en el art. 5 de la Ley de Protección de datos (LOPD).

La primera de ellas, responsable del fichero, encomendó a la segunda, encargada de tratamiento, la gestión de los servicios de “Call Center” de ésta.

En su defensa inicial, el responsable del fichero y el encargado de tratamiento alegaron que la LOPD no les es aplicable porque tratan datos de entidades jurídicas, y en su caso, de las personas que trabajen para estas entidades, por lo que les sería de aplicación la excepción del art. 2.2 del Reglamento que desarrolla la LOPD (RDLOPD). Pero a lo largo del procedimiento se ha demostrado que se trataban datos de otras personas como familiares o cualquier persona que llamase al “Call Center” con motivo de la relación con la responsable del fichero y se atendían llamadas por personas interesadas en adquirir vehículos de ocasión, siendo desestimada dicha excepción del art. 2.2 del RDLOPD

El origen de la denuncia

Partió del representante sindical que denunció que si bien las llamadas recibidas por el “Call Center” se grababan por acuerdo entre las partes, posteriormente el encargado de tratamiento, y por su cuenta envió un correo electrónico a los coordinadores del servicio diciendo a sus empleados que no se debía informar a los llamantes de que las conversaciones eran grabadas.

La AEPD resuelve que existe corresponsabilidad de ambas entidades

La resolución pone de manifiesto que: “Es al responsable del fichero y tratamiento, a quien corresponde adoptar las cautelas para el cumplimiento de los mandatos de la LOPD y su inobservancia le hace responsable del tratamiento de datos objeto de de la denuncia, con independencia de la actuación del encargado del tratamiento” añadiendo que “no ha aportado elementos de juicio suficientes que permitan entender que dio instrucciones precisas al respecto y no había previsto ningún mecanismo ni establecido ningún control al respecto, ni una obligación cierta, expresa y determinada

Esta corresponsabilidad, viene marcada en la sentencia que establece: “Sobre este particular decir que interpreta el art. 12.4 de la LOPD la sentencia de 14/03/2007 Recurso 280/2005, que haciéndose eco de la anterior Sentencia de 13/04/2005 Rec.241/2003, establece que lo que determina la LOPD en el mismo es que si el encargado del tratamiento destina los datos a una finalidad distinta a la indicada, los comunica o los utiliza incumplido las estipulaciones del contrato “… “será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

“El término “también” deja claro que no se establece allí un mecanismo de sustitución ni de derivación de responsabilidades sino de agregación, pues el responsable del tratamiento no pierde su condición de tal, ni queda exonerado de responsabilidad por el hecho de que al encargado del tratamiento, que incumpla lo estipulado, se le atribuya “también” la consideración de responsable del tratamiento…”

Pese al incumplimiento del encargo del Responsable del Fichero, ambos fueron sancionados con 2.300€

En definitiva, aunque el encargado de tratamiento por propia iniciativa es responsable de haber dado instrucciones específicas y expresas a sus trabajadores para que no informen sobre las grabaciones, el responsable del fichero o tratamiento responderá de las infracciones cometidos con motivo del encargo, aunque el encargado del tratamiento haya incumplido sus instrucciones, por no vigilar que esté cumpliendo con la normativa sobre protección de datos.

¿Qué conclusiones podemos extraer de todo lo expuesto?:

  • El deber de información del art. 5 de la LOPD, debe ofrecerse siempre, aunque se haga de forma telefónica, incluso teniendo el consentimiento del titular de los datos para tratar los mismos, por ejemplo por motivo de un contrato previo.
  • Cuando se traten datos de empresas o sus empleados, se hará siempre cumpliendo con la finalidad para los que se recabaron los mismos. Los datos de los empleados que están excluidos de la norma son nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
  • Debe existir siempre un contrato, entre el responsable de fichero y el encargado de tratamiento, conforme al 12 de la LOPD, que regule la situación del tratamiento de datos por cuenta del responsable del fichero, en el que se darán instrucciones precisas de cómo se debe actuar por parte del encargado de tratamiento.
  • El incumplimiento de dicho contrato, o de la normativa sobre protección de datos por parte del encargado de tratamiento, con motivo de esta relación, le convierte en responsable de tratamiento, y por tanto se le podrá sancionar. Pudiendo sancionar también al responsable del fichero por no vigilar que el encargado cumpliendo con la normativa sobre protección de datos.

Si queréis más información sobre este procedimiento lo podéis consultar en este enlace.

Desde Eurovima, recomendamos a las empresas regular muy bien las relaciones con los terceros con los que contratamos nuestros servicios y que traten/accedan a datos personales de los que somos responsables, como puedan ser asesores, hosting, informáticos, “Call Center”… y sobre todo que seamos “diligentes” a la hora de elegirlos, cuestión que genera controversia en materia LOPD, al ser un argumento que ha empleado en distintas ocasiones y sobre el que ya hemos hablado: “Nube” o Cloud Computing. Seamos diligentes…