Entradas

Agencia Española de Protección de Datos | Eurovima Consulting S.L.

LOPD, MEMORIA AEPD: Las Sanciones en 2013 suben un 6% hasta 22,3 millones€

El pasado día 13 de octubre de 2014, la Agencia Española de Protección de Datos (AEPD) publicó su memoria anual, en la que se recogen las actuaciones más significativas, entre otras las relativas a las sanciones impuestas.

Pocos aspectos llaman la atención, para aquellos que venimos siguiendo la actividad diaria de la Agencia, pues la línea de actuación se mantiene, si bien a modo de resumen destacaremos algunos aspectos.

 

Mayor sensibilidad de ciudadanos y Organizaciones:

El conocimiento y la importancia que tanto ciudadanos como organizaciones manifiestan por el cumplimiento normativo sigue en aumento, cuestión que se refleja en el incremento de:

  • El número de consultas realizadas (en el que las relativas a la cesión de datos son las más realizadas).
  • Los Ficheros inscritos,
  • La solicitud de informes
  • Consolidación en el nº de denuncias y reclamaciones presentadas por los ciudadanos (por ejemplo, la demanda sobre la cancelación de datos de los ciudadanos ha crecido un 8%).
  • Se ha consolidado las reclamaciones sobre el llamado “derecho al olvido en Internet”, si bien, será en este 2014 cuando las cifras van a ser particularmente elevadas.

 

Las multas: cuantías, gravedad, normativa infringida y sectores más sancionados

Hay un dato muy curioso, y es que si bien el número de denuncias baja un 1,7%, la cuantía de las mismas sube el 6% y eso que en más del 80% de los casos, la AEPD aplicó los criterios de moderación y atenuación de sanciones previsto en la LOPD, aunque sí es cierto, que en el procedimiento contra Google se declararon 3 infracciones por una sanción de 900.000€ en total.

Según la gravedad, el 90,85% han sido infracciones leves, el 9,15% graves y no han existido infracciones muy graves.

Según la Ley infringida, el 93,9% de las infracciones corresponden a la LOPD, el 5,8% a la LSSI y apenas el 0,3% a la LGT.

Sectores más sancionados: Las denuncias siguen afectando en mayor medida a las empresas de los mismos sectores que en años anteriores, si bien se producen algunas variaciones que señalamos:

  1. Telecomunicaciones (15 millones€). Lo que supone un 67% del total frente al 73% del total en 2012
  2. Empresas del sector de suministro y comercialización de agua y energía (2,1 millones€). Sube hasta el 9% frente al 6% del 2012. Pasa de la tercera a la segunda posición.
  3. Entidades Financieras (1,8 millones€) Baja hasta el 8% desde el 13,5% del año 2012.

 

Otros datos de interés: Videovigilancia, apercibimiento y Administraciones Públicas

Destacar también el número de denuncias presentadas sobre la videovigilancia con 918 actuaciones de investigación (el 11,7% del total) que acapara el 60% de los procedimientos de apercibimiento.

Significativa es también el caso de las Administraciones Públicas, con un incremento del 52,6% en el número de infracciones declaradas, cuyo incremento es especialmente significativo en el ámbito Autonómico.

 Puede consultar la memoria completa en este enlace

En Protección de Datos, asumir la culpabilidad y alegar un error no indulta la sanción de AEPD (1.200€)

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Hace poco, en concreto en diciembre de 2013, escribíamos un artículo titulado: «Si un Cliente es baja de tu newsletter, no le envíes más correo. Sanción de la AEPD« y hoy nuevamente volvemos a escribir para incidir en una situación muy similar, que concluyó con una sanción de 1.200€ de la Agencia Española de Protección de Datos (AEPD).

Hablamos de la enésima sanción de la AEPD por el envío de correos comerciales no solicitados, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica).

En este caso, queremos resaltar que por una parte el denunciado reconoció su culpabilidad y por otra los argumentos que el denunciado alegó para tratar de librarse de la multa. Pero antes de entrar a valorarlos, vayamos por partes.

La denuncia:

Nos encontramos ante el “típico” caso de una persona que recibió un par de correos electrónicos (comunicación comercial) de una empresa de la que nunca había sido cliente ni había mantenido contacto alguno, a la que posteriormente les notificó mediante un email que le diesen de baja de su base de datos e indicasen cuando les había autorizado para recibir su publicidad.

Según la denunciante, no obtuvo respuesta y siguió recibiendo sus emails (hay que recordar que la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas).

La Agencia solicita información a la entidad, señalando que la dirección IP desde la que se enviaron los correos, estuvo asignada esos días y a esas horas a la denunciada (verificando lo indicado en la denuncia).

Las alegaciones de la Entidad denunciada:

Como respuesta a la solicitud de información del inspector de la AEPD, la empresa denunciada remitió un escrito en el que manifestaron, entre otras cuestiones, lo siguiente:

  • Que la dirección de correo electrónico de la denunciante se incluyó por error de un miembro de su personal en dos correos informativos que remiten frecuentemente a antiguos clientes, clientes que les solicitan información y empresas con las que tienen una relación habitual.
  • El origen del dato de la dirección de correo electrónico es una consulta realizada en Internet, aunque no disponen de acreditación del consentimiento prestado por el reclamante para la remisión de correos comerciales.
  • No han recibido solicitud alguna del reclamante solicitando el ejercicio de derechos ARCO.

Posteriormente la AEPD inició procedimiento sancionador por la presunta infracción del artículo 21 de la LSSI, tipificada como leve (cuya sanción puede llegar a los 30.000€), a la que la denunciada presentó alegaciones, reiterando y reconociendo que “por error de un miembro de nuestro personal la dirección de correo electrónico a la que se hace referencia se incluyó en dos de los correos informativos que remitimos frecuentemente a antiguos clientes, clientes que nos solicitan información …“  y que “ha existido un error puntual en el proceso de tratamiento de la información y rogamos tengan en consideración que no se ha actuado en ningún caso de mala fe. Así mismo esta empresa aumentará sus esfuerzos por controlar las actuaciones de nuestro personal en el cumplimiento de la normativa.…”.

Una vez la entidad denunciada reconoce los hechos, la agencia resuelve y le sanciona con 1.200€, aplicando una disminución en la cuantía de la sanción:

Al haber reconocido los hechos y la responsabilidad derivada,  y en aplicación del artículo 8.1 del Real Decreto 1398/93 que señala que “Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda”, la Agencia resuelve desestimar su alegato sobre que “obtuvo la dirección de correo destinataria de la red internet….de una fuente accesible al público (la página web de la denunciante)”, ya que la AEPD considera que “ni tenía la autorización previa y expresa y tampoco una relación comercial previa y por tanto ha resultado probado que el denunciado envío dos comunicaciones comerciales por medios electrónicos incumpliendo lo dispuesto en el art. 21.1 de la LSSI”.

No obstante, la Agencia aplica los criterios de graduación de las sanciones ante la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos por la entidad denunciada imponiendo una sanción de 1.200 €.

En definitiva, asumir el error ha servido para que la Agencia simplificase el procedimiento, pero no para considerar las alegaciones de que se trató de un “error” cometido por un empleado o que tuviese legitimidad para el envío por el simple hecho de  que el origen del dato de la dirección de correo electrónico fuese una consulta realizada en Internet.

Una vez más, queremos recordar a nuestros lectores y Clientes, ser muy cuidadosos con la gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos). Hay que seguir los procedimientos previstos y recogidos en el documento de seguridad y sobre todo, que es mejor una consulta previa a nuestro servicio de asesoría para valorar las implicaciones normativas tanto de la LOPD como de la LSSI, respecto a cualquier acción o campaña de marketing que suponga una comunicación comercial.

 

Enlace a la Resolución de la AEPD: PS-00598-2013

 

La AEPD sanciona con 6.000€ a aseguradora por revelar datos del consorte al cónyuge

Antes de entrar a comentar la resolución de la AEPD (PS-00424-2013) que concluyó con una sanción de 6.000€, nos haremos la siguiente pregunta: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Los hechos que motivaron la denuncia ante la AEPD

Una pareja casada, presentó sendas reclamaciones, cada uno por su lado, ante la compañía aseguradora con la que tenían contratado un plan de pensiones porque ésta no les informaba sobre la rentabilidad de los mismos. Se da la circunstancia que cada uno de ellos tenía como asegurado y como beneficiario al otro. Finalmente la aseguradora respondió a cada uno de ellos por separado, pero informando en cada una de las comunicaciones sobre la rentabilidad de los dos planes tal y como señala la resolución “no solo la información relativa a su Plan, sino también la relativa al Plan de su cónyuge”.

Esta acción que en principio pudiera parecer lógica, tiene una compleja y variada fundamentación legal.

Si repasamos el Código Civil, en su artículo 71 indica que ninguno de los cónyuges puede atribuirse la representación del otro sin que le hubiere sido conferida. Sin embargo y para el régimen económico matrimonial de la sociedad de gananciales, situación económica  en la que se encuentran gran mayoría de los Españoles, el artículo 1.375 indica que en defecto de pacto en capitulaciones, la gestión y disposiciones de los bienes gananciales corresponde conjuntamente a los cónyuges. Esto implica que un Cónyuge podría solicitar datos del otro siempre que los mismos puedan incluirse dentro de la administración de bienes gananciales, y con finalidad de gestionar los mismos. Pero es que además la misma norma en su artículo 1.346, apartado 5, indica que los bienes y derechos patrimoniales inherentes a la persona y los no transmisibles inter vivos se consideran bienes privativos.

Desde la perspectiva de la LOPD, ¿cuál ha sido el incumplimiento?.

En el artículo 10, la LOPD obliga al responsable del fichero a guardar secreto sobre los datos de los clientes que se están tratando y que el responsable del fichero (la empresa denunciada) o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no puede revelar ni dar a conocer su contenido teniendo el deber de guardarlos.

Además el artículo 9 obliga al responsable del fichero a adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

El incumplimiento lo encontramos claramente reflejado en la resolución: “Por tanto, no ha actuado con la diligencia debida al no comprobar correctamente los datos y documentos remitidos a cada uno de los denunciantes, por lo que debe considerarse que ha vulnerado el artículo 10 de la LOPD”, “al enviar a cada uno de los denunciantes carta en la que constaba no solo el nombre y apellidos del cónyuge, sino también el Certificado de Pago de Primas y la Información Trimestral de Plan de Previsión Asegurado contratado por cada uno de ellos, información que había sido solicitada individualizadamente por cada uno de ellos en reclamación de 29/08/2012, sin que hubiese obtenido el consentimiento o autorización de los denunciantes para la revelación de los mismos, conculcando el deber de secreto recogido en el citado artículo 10 de la LOPD, por lo que su actuación ha de ser merecedora de sanción.

Resolvamos la pregunta planteada al inicio: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Atendiendo a las normas mencionadas, la respuesta es NO.

Con respecto a la legislación civil, el fundamento legal es que se trata de un derecho inherente a la persona, no transmisible inter vivos, del que no se tiene representación, por resultar un derecho privativo, y por tanto no entra dentro del régimen económico matrimonial de gananciales.

Con respecto a la LOPD, la sanción impuesta por la AEPD a la aseguradora, ha sido por el incumplimiento del mencionado deber de secreto, no obstante la Agencia ha considerado la peculiaridad del caso, aplicando una graduación (disminución) en la sanción, que finalmente ascendió a 6.000€, una vez valorados los criterios de graduación de las sanciones que la LOPD contempla, tanto favorables como adversos, que en este caso han sido los siguientes:

  1. Adverso.- La resolución señala que se “trata de una gran compañía aseguradora por cuota de mercado; todo ello, en vez de atenuar su responsabilidad, le impone un mayor deber de diligencia en su actuación”.
  2. Favorable.- Por otra parte la AEPD entiende que “concurre en el presente caso una cualificada disminución de la culpabilidad de la compañía aseguradora, pues si bien incluyó en la comunicación dirigida a cada uno de los denunciantes información del Plan del respectivo cónyuge, información que era absolutamente prescindible; sin embargo, los citados denunciantes son cónyuges, la reclamación de los mismos ante la oficina de Algeciras se realiza simultáneamente en la misma fecha, su contenido es prácticamente idéntico, tienen la misma dirección y son beneficiarios de los respectivos Planes”.

En conclusión podemos responder a la pregunta inicial y asegurar que sí que pueden existir secretillos en el matrimonio y que la próxima vez atiendas con mayor rapidez las solicitudes de información de tus clientes, o de lo contrario aprovecharán cualquier «error» para «ajustar» cuentas.

Como siempre, estaremos encantados de recibir vuestras opiniones.

 

 

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Primera sanción a web en España por mal “uso” de cookies; 3.500€

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima ConsultingComo señala la resolución: “Una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello”.

Los antecedentes:

Dicho esto, hay que recordar que el pasado mes de agosto nos hacíamos eco de la noticia: el inicio de un primer procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa por no cumplir con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSICE o LSSI y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo;Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.

En septiembre escribimos un primer artículo: COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” en el que explicábamos que un mes después del revuelo inicial, un montón de artículos y opiniones posteriores, esperábamos impacientes a la resolución de la AEPD (que por fin ha llegado) al objeto de tratar de resolver cuestiones como:

  1. ¿Qué hay detrás de la “Ley de Cookies”?
  2. Ver si con la resolución del procedimiento tendríamos más claro “qué y cómo” hacer para cumplirla, por supuesto, al menor coste posible para todos.
  3. Por último, que queda claro que para el Usuario pasa inadvertida la finalidad de la norma, y se trata de un texto que molesta en la visualización de la Web.

 

La Resolución de la Agencia

Una vez conocida la resolución (R/02990/2013), podemos resumir los aspectos más destacados en:

  1. La Agencia recomienda ofrecer la información en dos capas, que deben cumplir una serie de requisitos. La información que se considera necesaria debe ser “completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas, e identidad de quienes instalan y utilizan las cookies”. El incumplimiento de estos requisitos “Invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.
  2. Para que el consentimiento para la instalación sea válido la información debe ser correcta. La aceptación de esta información puede realizarse bien mediante la aceptación expresa, al pinchar sobre un enlace; o presunta, si se continúa navegando por la Web.
  3. La configuración previa del navegador para la aceptación de la instalación de las mismas, siempre que sea técnicamente posible, se considera suficiente, siempre que la información ofrecida sea correcta.
  4. Se debe ofrecer la posibilidad de desinstalar las Cookies, así como el borrado de la información almacenada por éstas.
  5. La Agencia considera que se ha incumplido el artículo 22.2 de la LSSI, tanto al inicio del procedimiento como con las modificaciones adoptadas por los inculpados durante la tramitación del mismo. Esto implica que una vez iniciado el procedimiento, la modificación de las cláusulas sólo sirve para atenuar la sanción por reparación del daño y no para evitar la misma.
  6. Que pese a que el consentimiento debe ser previo a la instalación de las Cookies y a quedar demostrado que existe un doble incumplimiento, solo sanciona la falta de las obligaciones de información, aunque se haya probado que la instalación de las cookies se realizó sin mediar el consentimiento previo informado, pues la vulneración de este requisito previo a la instalación de cookies no resulta sancionable (no recogido en la redacción del artículo 38.4.g).
  7. La AEPD atenúa la cuantía de la sanción, pero no puede aplicar el apercibimiento (opción que en casos “similares” que afectan a la LOPD se ha aplicado) pese a que no apreció intencionalidad, no habían sido apercibidas/sancionadas con anterioridad, pese a que adoptaron medidas tratando de subsanar las carencias o que no se lucraron de su infracción de manera directa (solicitó su facturación directa por ese medio del último año) pues no está contemplado en el régimen sancionador de la LSSI (sí en la LOPD).

 

Las sanciones:

Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma.

La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5.1 y 5.2, con 1.500€, aplicándole una rebaja en la cuantía pero no así el apercibimiento solicitado, ya que considera que dicho incumplimiento afectaba a todos los sitios web de su titularidad (7 en total).

 

Y ahora qué?

Desde EUROVIMA, una vez informados de manera general, lo siguiente será revisar cliente a cliente como se está gestionando el uso de las cookies, señalando las acciones y las medidas oportunas que se han de adoptar.

Para el resto, la respuesta la podemos encontrar en la propia web del denunciado, en donde nos encontramos una política de cookies extensa y aparentemente muy completa, tan completa que seguramente será INSANCIONABLE, permítannos la expresión, pero que nos lleva al planteamiento inicial de que harán los usuarios ante tantas palabras y palabros juntos; pues darle a aceptar, por supuesto.

En cualquier caso, no volvernos locos y pensar que debemos distinguir entre aquellas páginas web que hacen Comercio Electrónico, admiten publicidad o permiten la recogida de datos relacionados con sus equipos y perfiles de navegación, al objeto de usarlos o facilitárselos a terceros, para realizar acciones de marketing en base a los datos recogidos, ya que al fin y al cabo, eso tratan de lograr quienes nos instalan esas cookies. Estas web frente al resto (+-90% de las páginas web, hoy en día) cuyas cookies tendrán una finalidad simple, como conocer el número de visitantes, procedencia, los tiempos, las páginas visitadas, etc…

Y por supuesto, además habrá que poner énfasis en el tipo de producto o servicio que ofrecen/venden ya que el tipo de datos que pretendan recabar puede ser muy sensible (salud, creencias, sexuales, etc).

Por tanto, lo primero que les recomendamos es que sus proveedores de servicios o alojamiento les informen de que cookies están usando y para qué, recordando que usar cookies, no significa que se almacene y por tanto traten datos de carácter personal.

 

Y entre tanto, nos hacemos nuevas preguntas:

¿Cuántas denuncias pendientes de resolución pueden estar en marcha en la Agencia?. Pues parece que varias, según publican algunos medios 19.

¿Usamos los ciudadanos la LOPD y la LSSI para ajustar rencillas personales/profesionales?. Pues por lo visto en este caso y las múltiples consultas que nos llegan, podemos afirmar categóricamente que SI y nos tememos que cada vez más, aunque muchos se desilusionan al saber que ellos no recibirán compensación económica por la sanción de la AEPD y que eso supone ir por otra vía (que ya le implica un coste).

¿Qué coste supondrá para las pymes o profesionales, cumplir con este aspecto?. Ya hemos leído que habrá quien ofrezca el cumplimiento a cambio de un curso coste0 y obsequio un jamón pata negra (pero cuidado¡¡¡¡ que seguro no será pata negra).

Como siempre nuestro servicio de asesoría en protección de datos se pone a vuestra disposición, eso sí, sin entregar jamones ni a cambio de LOPD COSTE0.

Foto: Frédéric BISSON de Flickr

Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD

Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Some Flying Envelopes – By renjith krishnan in www.freedigitalphotos.net

Cuántas veces escuchamos aquello de que recibimos correos comerciales que no hemos solicitado, ni sabemos de dónde han obtenido nuestros datos, vamos, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica). Pues muchas, pero al final muy pocas personas se deciden a denunciar. La cuestión es que si se denuncia, la Agencia Española de Protección de Datos (AEPD) actúa, analizando lo sucedido y sancionando cuando, como en el caso que nos ocupa, se incumple la normativa.

Este ha sido el caso de una persona que recibió un correo electrónico (comunicación comercial) de una empresa a la que si bien había comprado un producto en su día, decidió posteriormente que no quería recibir información comercial de dicha empresa y se dio de baja en la suscripción del newsletter al objeto precisamente de no recibir más correos electrónicos o comunicaciones comerciales de dicha empresa, llegando el denunciante a recibir un correo que confirmaba haber procesado su petición y que sus datos de contacto quedaba excluidos de la lista de clientes que admitían e-mail.

Posteriormente recibió un nuevo correo electrónico con contenido comercial, denunciándolo ante la AEPD, quien en su resolución de 21-11-2013, señala que “Spames cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

Como la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, finalmente la AEPD impuso una sanción de 600 € por infracción de dicho artículo.

La cuantía de la sanción fue baja, ya que si bien pudo llegar a ser de hasta 30.001€, la AEPD concluyó que:

  • Fuese considerada leve (al no tratarse de un envío masivo a distintos destinatarios, ni más de tres envíos al denunciante).
  • Le fuesen aplicados los criterios de graduación de las sanciones recogidos en el artículo 40, y en este caso por la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos.

Como habitualmente indicamos a nuestros clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos) y seguir los procedimientos que tenemos implementados y recogidos en nuestro documento de seguridad y sobre todo, que antes de hacer cualquier campaña de marketing que suponga una comunicación comercial nos consultéis previamente, que nuestro servicio de asesoría está a vuestra disposición para señalaros las implicaciones normativas tanto de la LOPD como de la LSSI y la manera de gestionarlo de forma correcta y segura.

NEWS 30/Octubre/2013 Memoria 2012 de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) acaba de publicar su Memoria de 2012.
Como datos llamativos que reflejan la memoria podemos destacar que la cuantía total de las sanciones ascendió a 21 millones de euros, las denuncias aumentaron 12% respecto al 2011, el 73% de las sanciones son a empresas del sector telecomunicaciones y que tres de los principales operadores suman el 71% del importe global de multas y sin embargo las multas a la banca descienden un 27%.
En el ámbito de empresas-entidades privadas, más del 34% de las denuncias concluyeron en apercibimiento, es decir, tiron de orejas y a subsanar el error (por estar adecuados a la normativa, pero haber incurrido en falta no muy grave), por eso la importancia de cuando menos adecuarse a la Ley Orgánica de Protección de Datos (LOPD).
Las multas por SPAM (correos electrónicos sin copia oculta) y correos o comunicaciones electrónicas no solicitadas/autorizadas han aumentado un 77% en el último año, un dato muy significativo y con el que hay que tener especial cuidado a la hora de hacer nuestra actividad comercial y alegar que el servicio es realizado por un tercero no nos exime de nuestra responsabilidad.
A la vista de éstos datos y de la seriedad de las sanciones si necesitas cualquier tipo de asesoría en materia de Protección de Datos o de adecuación a la LSSI, nuestro departamento de Asesoría LOPD, LSSI está disponible para ti.

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD? - Eurovima Consulting

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD?

Queremos comentaros el reciente y curioso procedimiento sancionador PS/00213/2013, publicado por la Agencia Española de Protección de Datos (AEPD) cuya resolución ha sido sancionar a la entidad GALP, con una multa de 20.000€ por infracción del  artículo 6.1 de la LOPD relativo al “consentimiento del afectado”, tipificada como grave (multa de 40.001€ a 300.000€.).

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD? - Eurovima Consulting

Businessman Signing Document Stock Photo
By Naypong in www.freedigitalphotos.net

La denuncia es de un particular que dice recibió una carta de GALP comunicándole que había sido dada de alta en los suministros de luz y gas, todo ello sin su conocimiento ni consentimiento (ni de ninguno de sus familiares).

La AEPD solicitó información a GALP que manifestó tener datos de la denunciante, pues existió para el suministro de gas un contrato con fecha de alta 11/07/2012 al 11/08/2012 (baja por cambio de comercializadora), indicando que la contratación fue telefónica y a través de una tercera empresa con la que tenía suscrito un Contrato para la Prestación de Servicios.

GALP aportó copia de la grabación de la llamada telefónica, en la que se constata cómo un hombre que se identifica como el marido de la afectada dice tener su autorización para realizar la contratación, confirmando todos los datos personales necesarios para el alta.

Así mismo, GALP reconoce haber recibido una reclamación por escrito de la denunciante exponiendo que ha recibido la carta de bienvenida como cliente pero que ella no ha contratado nada. GALP le respondió a los 20 días informandole que el contrato ya se diera de baja, por cambio de comercializadora y que emitió una única factura en concepto de liquidación del servicio por importe de 12,91 €, relativos al consumo de gas.

El Director de la AEPD acordó iniciar, procedimiento sancionador a GALP por presunta infracción del artículo 6.1 de la LOPD, tipificada como grave, formulando GALP alegaciones en las que solicitó el archivo del expediente sancionador y, con carácter subsidiario, la imposición de las sanciones que pudieran corresponderle con arreglo a la escala prevista para las infracciones leves, a tenor de los artículos 45.5 y 45.4 de la LOPD. (es decir y para entendernos, una rebaja de la misma).

Como alegaciones, GALP manifestó lo siguiente:

  • La contratación se realizó con el marido de la denunciante, que en la grabación de la teleoperadora contesta “sí” cuando se le pregunta si está autorizado a realizar el cambio.
  • En la grabación, la teleoperadora informa al marido que recibirá en su domicilio copia del contrato como confirmación de la contratación, no se dice que sea necesaria la devolución firmada de dicho contrato para que la contratación se lleve a efecto (el art. 5 del Real Decreto 1906/1999, señala que es necesario que la contratación telefónica se acredite mediante cualquier medio que permita constatarla y GALP dispone de la grabación).
  • GALP dice haber adoptado medidas correctoras para que no vuelvan a suceder situaciones similares, que su actuación para la resolución fue rápida y con la diligencia debida.

Para comprender bien esta “rocambolesca” sanción, hay que señalar que el artículo 6 de la LOPD hace referencia a la necesidad de contar con el  consentimiento del afectado para que puedan tratarse sus datos personales (salvo las excepciones contempladas en la ley).

El procedimiento sancionador hace referencia a distintos sentencias, de las que no vamos a hablar para no extendernos, todas ellas en torno al derecho del afectado a consentir sobre la recogida y uso de sus datos y a saber de los mismos, destacando que si bien consta un CD con la grabación, no existe el consentimiento inequívoco, debiendo recordar, que es al denunciado al que corresponde la carga de la prueba del consentimiento del titular de los datos.

Según la AEPD, en el presente caso no ha quedado acreditado el consentimiento de la titular de los datos y la entidad denunciada no aportó prueba fehaciente del consentimiento inequívoco de la denunciante para el tratamiento de sus datos.

Aun cuando se trata de una infracción grave, la AEPD analizó la actuación estimando aspectos como la culpabilidad, la inobservancia o la imprudencia al desatender un deber legal, todo ello ponderando el grado de profesionalidad del sujeto denunciado en el manejo de datos de carácter personal (obvio por su actividad y tamaño).

Finalmente la Agencia indicó que “en el asunto que nos ocupa no existe ninguna duda de la presencia del elemento subjetivo de la culpabilidad, concretado en la grave falta de diligencia demostrada por GALP, responsable del fichero al que se incorporaron los datos de la denunciante asociados al alta de un contrato de gas, sin contar con su consentimiento de la titular del servicio” señalando también que “no adoptó con ocasión de la contratación la diligencia que es exigible, máxime cuando el desarrollo de su actividad profesional conlleva un continuo tratamiento de datos personales”.

Respecto a la “rebaja en la sanción”, aún cuando se consideró que si bien no había una cualificada disminución de la culpabilidad del imputado, “ya que la empresa por su actividad debería estar habituada al tratamiento de datos personales y por ello ser especialmente diligente (mantuvo a la denunciante con una deuda pendiente a fecha 22 de octubre de 2012, (fecha de entrada en esta Agencia de la solicitud de información por parte de la inspección”) la AEPD consideró el comportamiento e intervención de un tercero (supuesto marido)circunstancia que ha podido influir en los hechos valorados y aunque no exime a la entidad denunciada de responsabilidad  permite aplicar las previsiones contenidas en el citado artículo 45.5 b) de la LOPD” (rebaja en la sanción).

En definitiva, creo que nos habrá quedado claro que nuestra pareja no es quién para autorizar una contratación en nuestro nombre en base a la LOPD.

News 27/08/2013 Procedimiento sancionador por instalación de cookies sin autorización previa

News 27/08/2013 Procedimiento sancionador por instalación de cookies sin autorización previa

La AEPD inicia procedimiento sancionador a una empresa por la instalación de cookies sin autorización (previa) del usuario.

Según hemos podido leer en las redes sociales y en multitud de noticias y blogs relacionados, la Agencia Española de Protección de Datos (AEPD) ha notificado el inicio de un procedimiento sancionador a una empresa por instalar cookies sin la autorización del usuario de la web de la empresa en cuestión.

De confirmarse, estaríamos ante una primera resolución de este tipo, en la que se analizará la aplicación del artículo 22.2 de la LSSI en el que se establece lo siguiente: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” .

Hemos querido subrayar la palabra después ya que en ella está la clave de la denuncia (o eso es lo que cuando menos se ha estado indicando, ya que no hemos tenido acceso al procedimiento).

La cuestión es que parece ser que las cookies investigadas son de las más empleadas en páginas webs, como son Google Analytics, Maps o WordPress, es decir, muy comunes.

Recordemos que la AEPD, presentó en abril de este año la primera guía en Europa sobre el uso de cookies, elaborada junto a los representantes de la industria y que de facto, parece que ha supuesto el pistoletazo de salida para su cumplimiento, ya que ha sido en ese momento cuando las empresas han incorporado en sus páginas web la información sobre el uso de las cookies, información que parece ser no cumple con la normativa, si bien, trataremos de analizarlo con calma y por supuesto esperaremos expectantes la resolución que publique la AEPD.

Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€

La AEPD ha publicado dos sanciones con 3 días de diferencia a dos establecimientos por no hacer caso de apercibimiento. Las multas han sido de 6.500€ por ignorar las “advertencias” de la AEPD y en ambos casos la denuncia, formulada por la policía municipal (de Huelva y Madrid), estaba vinculada a sistemas de vídeovigilancia que los establecimientos habían instalado sin haber inscrito el fichero correspondiente y por no disponer de los carteles de zona video vigilada, ni de los formularios de acceso para los afectados.

photo credit: woodleywonderworks via photopin cc

photo credit: woodleywonderworks via photopin cc

Del procedimiento (PS-00059-2013) comentar de manera breve que «acuerda requerir a la entidad, de acuerdo con lo establecido en el apartado 6 del artículo 45 de la Ley 15/1999 para que acredite, en el plazo de un mes desde este acto de notificación, el cumplimiento de lo previsto en el artículo 5 de la LOPD, aportando fotografía que acredite tener en el establecimiento denunciado los carteles informando de la presencia de las cámaras y en los que se especifique a la persona o entidad ante la cual ejercitar los derechos de acceso, rectificación, cancelación y oposición. Asimismo, se le requiere que acredite en el mismo plazo de un mes el cumplimiento de lo previsto en el artículo 26 de la LOPD, mediante la inscripción del fichero con la finalidad de “Videovigilancia” a nombre del denunciado».

Del segundo procedimiento, fuimos conscientes a raíz de un tweet de @fjavier_sempere aunque en un primer momento pensamos que era el mismo, ya que en ambos no se atendieron las notificaciones de la AEPD, aunque sí es cierto que en éste, la notificación fue devuelta en dos ocasiones por el servicio de correos con la indicación “AUSENTE REPARTO”, posteriormente expuesta en el tablón de edictos del Ayuntamiento de Huelva durante 20 días y finalmente en el Boletín Oficial del Estado.En el caso que ya comentamos en el anterior post Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa), tampoco fue atendida alegando posteriormente que “nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión”.

Hay que recordar que la figura del apercibimiento (BOE 5-2-2011), vino a “aliviar” en gran medida a las entidades que incumpliendo la normativa evitaban ser sancionadas de forma directa, mediante un “tirón de orejas” (salvo las infracciones muy graves o que el infractor no hubiese sido sancionado o apercibido con anterioridad) debiendo en el plazo que la AEPD determine, acreditar la adopción de las medidas correctoras notificadas.Siempre hablamos de la importancia de tener bien presentes determinados aspectos de la LOPD que siendo tan previsibles, nos pueden acarrear, no solo una mala imagen sino una sanción fácilmente evitable, aunque me temo que en ambos casos los “gestores” que les han asesorado nunca serán como los profesionales de las asesorías especializadas en la materia les puedan prestar y todos sabemos que lo barato (o “gratis” a lo LOPDCOSTECERO) a la larga, sale caro.

En fin, curioso que en tan corto plazo de tiempo, se hayan conocido sendas sanciones tan similares si bien es cierto que en lo que llevamos de año ya se han dictado cerca de 20 procedimientos con parecidas características (infracción del artículo 37.1.f) de la LOPD) y las que se han resuelto con sanción la multa ha sido de 6.500€ en la mayoría de los casos.

Conclusión: Si la AEPD te apercibe y “tira de las orejas”, no hagas “oídos sordos” y atiende su solicitud o prepara 6.500€ para la multa.

 

Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa)

En abril de 2011 la Policía Municipal de Madrid comunica a la Agencia Española de Protección de Datos (AEPD) una posible infracción de la LOPD motivada porque un “establecimiento” tiene 8 cámaras de vídeo-vigilancia instaladas y no cuentan con los oportunos carteles de zona vídeo-vigilada, ni con los formularios de acceso para los afectados.

La denuncia señala que las 8 cámaras, están conectadas a un monitor central receptor, no pudiendo comprobar el sistema de grabación empleado, observando que se encuentran conectadas a un vídeo y a un módem de una compañía telefónica.

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Los Servicios de Inspección de la Agencia iniciaron actuaciones previas con objeto de determinar si el tratamiento de los datos personales, a través del citado sistema de vídeo-vigilancia, cumplían las condiciones que impone la normativa.

Es de suponer que el establecimiento, antes de la llegada de los Servicios de Inspección de la Agencia, colocaron los carteles preceptivos y editaron el formulario informativo que debe estar a disposición de los ciudadanos acorde a la Instrucción 1/2006, ya que la inspección constató su existencia, aunque por lo que se ve “olvidaron” registrar el fichero ante la AEPD.

La inspección, también constató que las cámaras grababan las imágenes en un grabador sin que se pudiese precisar durante cuánto tiempo, ya que el sistema había sido instalado por los anteriores propietarios y estaba protegido el acceso por una clave que los actuales propietarios decían desconocer y no podían saber (pues la empresa que instaló el sistema ya no existía).

El procedimiento de la AEPD señala que “se pone de manifiesto que las cámaras efectúan grabaciones, no constando que dicho fichero se encuentre inscrito en el Registro General de Protección de Datos de esta Agencia” y la AEPD decide APERCIBIR (A/00050/2012) al  establecimiento por infracción del artículo 26 de la LOPD (“Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la AEPD”), tipificada como leve por la LOPD.

En este caso, el establecimiento se “iba de rositas”, ya que simplemente debía inscribir en el plazo de un mes (marzo de 2012) dicho fichero, advirtiéndole la Agencia que en caso contrario se iniciaría la apertura de un procedimiento sancionador, como finalmente ha sido.

En éste tiempo, la Agencia por dos veces (mayo y septiembre de 2012) reitera al establecimiento, por medio del servicio de correos con acuse de recibo, lo requerido en el procedimiento de apercibimiento (inscripción de fichero con finalidad de vídeo-vigilancia) sin que se hayan adoptado las medidas correctoras solicitadas.

Por ello el 4 de febrero de 2013, el director de la AEPD acordó iniciar el procedimiento sancionador por presunta infracción del artículo 37.1.f) de la LOPD (“son funciones de la AEPD: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”) tipificada como grave, pudiendo ser sancionada con multa de 40.001 € a 300.000 €, de acuerdo a la LOPD.

Una vez notificado, el Establecimiento formuló alegaciones, entre otras y de manera textual las siguientes:

“…En cuanto tomamos conocimiento de dicha notificación nos pusimos en contacto telefónico con la Agencia Protectora de Datos, solicitando más información sobre el tema, allí muy amablemente la persona que se puso al habla no comunico bien de que iba todo el tema, y nos aclaró que ya hacía bastante tiempo que nos envían notificaciones si respuesta alguna de nuestra parte.

Allí fue nuestro asombro ya que todo lo referente a nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión.

Esta persona por lo visto no les ha presentado ningún tipo de notificación haciendo quedar a la empresa como irresponsable, de todos modo con excusarnos en otra persona no queremos evitar alguna responsabilidad, sino todo lo contrario.

… Por lo expuesto reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos.”

En resumen que la culpa es del gestor (seguramente sea así) y como manifiestan “haciendo quedar a la empresa como irresponsable” aunque ellos insisten en su incomprensión ya que “reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos”.

Estamos seguros que no van a volver a corroborarlo y que ya no se irán de rositas, ya que se le ha impuesto una multa de 6.500€ por la infracción mencionada del artículo 37.1.f) de la LOPD.