En la resolución R/02762/2015 de la AEPD observamos la sanción que sufren dos asociaciones políticas y sociales para la defensa de la autonomía catalana por tratar datos de ideología sin consentimiento expreso e informado de sus titulares.

En junio y septiembre de 2015 se presentan en la AEPD varios escritos, algunos de ellos anónimos, en los que se denuncia el tratamiento de datos personales por las citadas organizaciones, los cuales fueron recopilados de forma engañosa fingiendo ser una encuesta estadística sobre nuestro país.

Estas entidades deciden organizar la realización de unas encuestas puerta a puerta entre la ciudadanía cuyo fin, según los afectados, no es sino crear una “lista negra” para distinguir a los titulares de los domicilios y sus habitantes entre afectos y no afectos a un posible proceso de independencia de Cataluña y cuyas respuestas y reacciones son anotadas por los encuestadores.

Tras las investigaciones de la AEPD, se verifica la existencia de los formularios en los que se recabaron los datos de los encuestados sin su consentimiento expreso, ni mediante la firma, ni mediante el marcando de una casilla, para aceptar el tratamiento de los datos.

 

Resultado: Sanción de 200.000 € a cada entidad por infracción del Artículo 7.2 de la LOPD tipificada como muy grave en el artículo 44.4.b), más 40.000 € a la primera por una infracción del artículo 9 de la LOPD.

 

En el procedimiento sancionador de la AEPD PS/00118/2015 podemos ver la sanción que recibe una clínica de estética por enviar un mensaje electrónico dirigido a cerca de 1.400 destinatarios sin ocultar su dirección electrónica personal.

Según los hechos, la denunciante que se encontraba en la lista de destinatarios, puso el hecho en conocimiento de la AEPD aportando copia impresa del mensaje electrónico enviado desde la clínica en el que se les informaba de la creación de un nuevo canal de comunicación en YouTube.

Se acuerda por el Director de la Agencia Española de Protección iniciar procedimiento sancionador a la denunciada por la posible vulneración del deber de secreto respecto de los datos objeto de tratamiento. 

 

A falta de alegaciones remitidas por la denunciada, y establecido que "...De no efectuar alegaciones sobre el contenido de la iniciación del procedimiento, la iniciación podría ser considerada propuesta de resolución, de acuerdo con el artículo 13.2 del Real Decreto 1398/1993, de 4 de agosto.", la AEPD procedió a resolver.

 

Resultado: sanción a la entidad con una multa de 1.000 € por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, de conformidad con lo establecido en el artículo 45 apartados 2 y 5 de la citada Ley Orgánica

 

 

En el procedimiento sancionador PS/00454/2014de la AEPD podemos ver la sanción que sufre una compañía aérea a la que se solicitó el cese del envío de publicidad comercial, continuando el denunciante recibiendo correos electrónicos, a pesar de que la entidad le confirmó la baja en los mismos.

 

Según los hechos, notificado el acuerdo de inicio del procedimiento sancionador, la entidad alegó que el envío del correo electrónico objeto de denuncia se debió a una incidencia en el sistema de envío de newsletter que fue corregido de forma urgente el día en que fue detectado.

 

En fechas posteriores, la entidad remitió nuevos correos electrónicos comerciales a la dirección de correo del denunciante.

 

Ante el requerimiento de la AEPD, la entidad emisora de los correos manifiesta la ausencia de intencionalidad y de culpabilidad en su conducta, ya que debido a una deficiencia técnica, la solicitud de oposición no había sido correctamente ejecutada por el sistema.

 

A pesar de no existir dolo por la imputada sí existe responsabilidad en la comisión de la infracción ya que la imputada no adoptó todas las medidas necesarias para tramitar las bajas en el envío de comunicaciones publicitarias.

Resultado: Sanción de 3.500 € por  una infracción del artículo 21.1 de la LSSI, tipificada como leve.

 

 

Es práctica habitual entre empresas la comunicación de datos entre ellas: para contratar la gestión de la contabilidad o las nóminas con la asesoría; informar de la situación de los trabajadores a la contratista; compartir la base de datos de clientes de un grupo de empresas, etc…

 

Todas ellas, tienen en común la transmisión de datos entre entidades. Sin embargo, de cara a la LOPD no se gestionan de igual forma. Hemos de distinguir dos figuras bien distintas:

 

  • Habrá cesión o “comunicación de datos”, según el artículo 11 de la LOPD, cuando la empresa responsable de los datos personales, los cede a otra para una finalidad concreta o de modo general, obligándose pues quien los recibe a observar las disposiciones de la Ley, convirtiéndose así también en Responsable de los datos.

    Para que la cesión sea lícita, deberá recogerse el consentimiento informado previo del titular de los datos.

 

Por el contrario, habrá encargo del tratamiento, según el artículo 12 de la citada Ley, cuando quien recibe los datos sólo pueda utilizarlos de acuerdo a las instrucciones dadas por el Responsable del fichero para la prestación de un servicio. En este caso, la relación entre ambas habrá de regularse a través de un contrato.

 

 

 

IMPORTANTE

 

En la transmisión de datos entre entidades, habrá que diferenciar la mera cesión o comunicación de datos de  un encargo del tratamiento.

 

 

 

 

 

 El artículo 5.1 de la LOPD establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de al menos:

 

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

 

b) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

 

c) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

 

 

 

Por tanto, es recomendable (que no obligatorio) incluir la cláusula informativa en las facturas y/o documentos que se le entreguen al cliente y aquellos en donde se le recojan datos personales, de forma que estemos informando en todo momento al cliente de los extremos señalados anteriormente y, llegado el caso, podamos demostrar a la AEPD que hemos cumplido con el deber de información exigido.

 

 

 

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como el origen de dichos datos y las cesiones previstas de los mismos.

 

 

El responsable del fichero o tratamiento podrá denegar el acceso en estos casos:

 

a) Cuando la solicitud sea formulada por una persona distinta del afectado y no se acredita que actúa en representación de aquél.

 

b) Cuando el derecho ya se ha ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.

 

c) Cuando lo prevea una Ley o una norma de derecho comunitario.

 

Es decir, que el titular de los datos solo podrá solicitar un derecho de acceso una vez cada 12 meses, siempre que no acredite un interés legítimo para acortar este plazo de tiempo.

 

 

 

IMPORTANTE

 

 

 

El responsable del fichero dispone de un mes para estimar la solicitud de acceso, y cuenta con 10 días para responder a dicha solicitud una vez estimada.

 

Cuando se incorpora un trabajador a la entidad, debemos realizar las siguientes acciones:

1.      Identificar el perfil al que pertenece ese usuario y, si es necesario, crear un perfil nuevo para él si no existe perfil adaptado a su tratamiento.

2.      Incorporar este usuario a la lista de usuarios y accesos autorizados, de forma que conste en el documento de seguridad los ficheros a los que va a tener acceso de forma efectiva.

3.      Crearle un identificador único para el acceso a los sistemas y una contraseña personal.

4.      Crearle las autorizaciones que precise ese trabajador para sus funciones:

a.      Salida de soportes y/o documentos fuera de las instalaciones.

b.      Uso de portátiles.

c.       Trabajo fuera de los locales.

d.      Dispositivos a los que tiene acceso.

e.      Etc.

5.      Darle a firmar el compromiso de confidencialidad y deber de secreto.

 

6.      Darle una formación LOPD relacionada con sus funciones.  

 

El informe 00376 de la AEPD resuelve la consulta planteada sobre si el servicio que se suministra a una empresa de recuperación de impagados se ajusta a la normativa de protección de datos.

 

La consulta en concreto se plantea sobre si la localización de teléfonos de morosos se adecúa a la LOPD, así como de la situación que se produce cuando dicha empresa contacta con un teléfono que no corresponde al deudor y para realizar la verificación de la identidad, se facilita el DNI del deudor y el importe de la deuda.

 

De dicho informe jurídico se extrae lo siguiente:

 

  1. La compañía que le busca el teléfono es encargada del tratamiento de la primera. Por tanto, debe de existir un contrato de acceso a datos por cuenta de terceros entre ambas.

  2. Siempre y cuando la búsqueda del teléfono sea en fuentes accesibles al público, no precisa del consentimiento de los titulares de los datos.

 

Es este supuesto, la comunicación de datos a una persona distinta al titular de los datos, si no existe  previo consentimiento del interesado, sería contrario a lo previsto en la LOPD.

 

 

La LOPD establece que el Documento de Seguridad deberá mantenerse actualizado, de forma que refleje en todo momento la realidad de la organización.

 

A tal efecto, deberemos estar atentos a los siguientes cambios para actualizar el Documento de Seguridad:

 

  • Usuarios que acceden a los ficheros.

  • Modificaciones en los procedimientos.

  • Encargados del tratamiento y servicios prestados.

  • Equipamiento informático.

  • Actualizaciones/instalaciones de software.

  • Incidencias que se produzcan.

  • Personas autorizadas para salidas de soportes, uso de portátiles, etc.

  • Administradores de los ficheros y responsables de seguridad.

  • Comenzamos a recoger datos que antes no se recogían (ej. Correo electrónico de los clientes).

    Nuevos soportes que deban incluirse en el inventario de soportes y documentos.

 

 

En el procedimiento sancionador PS/00517 de la AEPD podemos ver la sanción que puede sufrir una empresa si no toma las medidas necesarias para asegurarse de que se cumplen las medidas de seguridad descritas en el Documento de Seguridad.

Según los hechos, fue un ciudadano el que alertó a la Policía Local de que documentación con datos personales se encontraba en un contenedor de basura. 

En la inspección se comprobó que dicha documentación estaba en un contenedor de residuos orgánicos correspondiente a una gestoría. 

Dicha gestoría tenía inscritos los ficheros en la AEPD, disponía de Documento de Seguridad en regla y todo el personal había sido instruido sobre las medidas de seguridad instauradas, así como los procedimientos a llevar a cabo para el tratamiento de los datos.  

Dichos documentos habían terminado en el cubo de la basura por descuido de una persona de limpieza, que había vaciado en el cubo de basura documentación que debía destruirse previamente. 

Este hecho infringe los artículos 9 y 10, relativos a la seguridad de los datos y al deber de secreto. 

Resultado: Sanción de 4.000€ por vulneración del artículo 9 de la LOPD, relativo a la seguridad de los datos.

 

IMPORTANTE

No es suficiente con detallar perfectamente las medidas de seguridad en el Documento de Seguridad. Además, han de cumplirse