Luz verde a la Autoridad de Protección de Datos de Catalunya

El Pleno del Parlament ha aprobado la Ley de la Autoridad de Protección de Datos de Catalunya. Esta norma configura el nuevo organismo como la autoridad independiente que debe garantizar el derecho a la protección de los datos de carácter personal en el ámbito de las competencias de la Generalitat.

La Autoridad de Protección de Datos de Catalunya (APDC), que sustituye la Agencia Catalana de Protección de Datos, creada en 2002, se adapta a las nuevas disposiciones que respecto a la protección de datos de carácter personal hace el Estatuto de Autonomía de Cataluya de 2006, e introduce varias mejoras técnicas fruto de la experiencia de estos últimos años. El objetivo principal es reforzar la independencia y objetividad.

eco-shredder, empresa especializada en la destrucción de documentos confidenciales “in situ”.

OJO CON LA MANERA EN QUE TRATAMOS LOS DATOS DE NUESTROS CLIENTES

Una inmobiliaria tendrá que pagar 60.101, 21 euros a una vecina de Santa Cruz de Tenerife por dar sus datos sin su permiso a la compañía de electricidad Unelco. Así lo ha determinado la Agencia Española de Protección de Datos (AEPD) que ha rechazado un recurso presentado por la inmobiliaria.

El organismo público, sin embargo considera probado que esta empresa facilitó los datos personales y bancarios de la propietaria de este inmueble a fin de que pudiera cumplimentar el formulario llamado “Póliza de abono para suministro de energía eléctrica” para la activación del alta de este servicio.

Sin embargo, según denunció la propietaria del inmueble el formulario de póliza de abono confeccionado por personal de la compañía contenía datos personales de la cliente, tales como dirección y de correspondencia que había sido proporcionados por la inmobiliaria. En el contrato se puede observar una rúbrica debajo del epígrafe donde dice “cliente” que no es la de la contratante.

La empresa argumentó que no era necesario obtener consentimiento de la vecina para comunicar los datos a un tercero, ya que la denunciante había expresado su aceptación en un documento que sin embargo, luego había desaparecido. Para la empresa la cesión de los datos a Endesa “es una consecuencia que procede conforme a la buena fe, al uso y a la ley”. La Agencia no duda en imputar a la inmobiliaria de una infracción de la Ley Sobre la Protección de Datos de Carácter Personal al considerar que este tipo de referencias “sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y de cesionario con el previo consentimiento del interesado”.

Este tipo de infracciones pueden ser penadas con multas que oscilan entre los 300.506,05 euros y los 601.012,10. “En el presente caso ha quedado acreditado que la empresa cedió a Endesa los datos personales de la persona denunciante para una finalidad diferente para la que fueron recabados no habiendo podido justificar que contara con el consentimiento de la afectada para tal cesión.

En el presente caso no ha quedado acreditado ni el consentimiento de la vecina, ni en su defecto, que existiera una Ley que amparara esta cesión”. La Agencia indica que la empresa mantenía una relación contractual con la dueña del inmueble que le obligaba a custodiar y proteger los datos personales de su cliente y a no cederlos a nadie, fuera de los casos previstos por las leyes o con el consentimiento expreso de la titular. La inmobiliaria poseía datos personales y bancarios de su clienta para el cumplimiento del contrato de adquisición de la vivienda y también para la realización de algunas gestiones relacionadas con la vivienda y los servicios que se necesitan para que la misma esté en disposición de ser habitada por el dueño que la adquiere de nuevas.

“La confianza dada por esta empresa para conseguir determinadas certificaciones y constituir la comunidad de propietarios de las nuevas viviendas, la buena fe en la ejecución y el fin que se persigue que es beneficioso para el propietario, de proporcionar suministró eléctrico a la vivienda son circunstancias concurrentes que, si bien no liberan totalmente de responsabilidad a la empresa imputada, si disminuyen de forma cualificada la misma”. Por este razón se decidió bajar la cuantía de la sanción y reducirlas hasta los 60.000 euros. El organismo cree que el consentimiento para utilizar los datos debe ser “inequívoco”.

eco-Shredder, empresa especializada en la destrucción de documentos “in situ”.

Protección de Datos multa con 60.000 euros a la SGAE por grabar una boda sin permiso

La Agencia Española de Protección de Datos ha multado con 60.101 euros a la Sociedad General de Autores y Editores (SGAE) por grabar sin permiso una boda en Sevilla y aportar el vídeo a un juicio, lo que constituye “una clara violación del derecho constitucional a la intimidad y a la propia imagen”.
Protección de Datos , considera que la SGAE incurrió en una infracción “muy grave”, pues grabó un acto privado como es un banquete de bodas, sin la “autorización inequívoca” de los interesados, como exige la ley.
La SGAE, en el contexto de su política para cobrar derechos de autor, contrató a un detective, que se coló en una boda en el restaurante “La Doma” de San Juan de Aznalfarache (Sevilla) y grabó a los invitados bailando al ritmo de canciones protegidas.
El salón de bodas fue condenado a pagar 43.179 euros de canon musical en base a otras pruebas periféricas, ya que la sentencia del juzgado de lo Mercantil sevillano declaró nulo el vídeo porque constituía “una clara violación del derecho constitucional a la intimidad y a la propia imagen”, al ser la boda un “acto privado y reservado”, y más aún cuando la grabación se ejecutó “a escondidas, cuando la celebración estaba ya avanzada”.
Al conocer la sentencia, la Asociación para la Protección de Datos de los Consumidores (Consudato) denunció los hechos a la Agencia de Protección de Datos, que ha sancionado a la SGAE con una multa de 60.101 euros.
La resolución dice además que la actuación del detective vulneró la Ley de Seguridad Privada, que prohíbe a esos profesionales usar en sus investigaciones “medios técnicos que atenten contra el derecho al honor, a la intimidad y a la propia imagen”.
La SGAE contrató a un detective que se coló en la boda para grabar
En su defensa, la SGAE alegó que se limitó a contratar al detective sin decidir sobre los medios que debía utilizar para conseguir pruebas, y que la filmación no pretendía generar un fichero de datos personales, que es el aspecto protegido por la ley.
La resolución recuerda que los contrayentes declararon no haber autorizado a la SGAE a filmar su boda y que, pese a ello, la novia aparece en varios momentos de la grabación.
La ley, según la resolución, exige el “consentimiento inequívoco del afectado” para la captación o tratamiento de sus datos personales, definidos como “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, tratamiento o transmisión y concerniente a una persona física identificada o identificable”.
Por su parte, Consudato ha elevado otra denuncia similar ante Protección de Datos porque la SGAE ha vuelto a presentar una demanda judicial contra otro salón de bodas, en este caso “El Vizir” de Espartinas (Sevilla) con el apoyo del vídeo de un detective.
El detective “se introdujo en la boda simulando ser invitados y ocultando la cámara de vídeo” ya que dicho recinto “no estaba abierto al público sino solo a unas personas determinadas”.
Consudato afirma que se trata de una infracción “muy grave” pues la prueba se consiguió “de forma engañosa y fraudulenta” y además constituye “una reiteración en una actuación ya sancionada por Protección de Datos”.

eco-Shredder, empresa especializada en la destruccion de documentación confidencial in situ.

Currículums en la calle ¿cuándo empieza el cómputo de la prescripción?

La Guardia Urbana de Barcelona localiza diversa documentación abandonada en la calle, entre la que encuentra unos 100 currículums vitae con datos personales. Algunos de esos documentos (unos 35) incluyen además una ficha de la entrevista personal llevada a cabo entre el candidato y el entrevistador (con anotaciones referidas a la impresión causada y a su disponibilidad).

Tras la denuncia de la Guardia Urbana, la AGPD (PS/00525/2008, R/00474/2009) inicia un proceso sancionador, destacandose que en el momento de los hechos el responsable no disponía de documento de seguridad, lo que añadido a la presencia de los currículums en la calle, lleva a la AGPD a imputarle la infracción de dos deberes, el de seguridad (art. 9 LOPD) y el de secreto (art. 10 LOPD).

Una cuestión interesante que se discute entre el responsable del fichero o tratamiento y la AGPD es en qué momento empieza el cómputo de la prescripción de las infracciones, si debe iniciarse cuándo se produce el vertido de la documentación en la vía publica (argumento del responsable), o bien, tratándose de una infracción continuada, la misma comienza cuándo dicha documentación es depositada en la calle a la vista de terceros y finaliza en el momento en que la Guardia Urbana localiza las carpetas.

La AGPD se decanta por esta segunda tesis ya que se trata de una infracción permanente (citando la SAN 3-12-2008) con lo que la alegación de prescripción del responsable finalmente no prospera.

La AGPD expone además que el responsable debió adoptar las medidas de seguridad necesarias para impedir cualquier recuperación posterior de la documentación, medidas que no fueron tomadas (art. 44.3.h LOPD, infracción grave de seguridad) y que con su conducta, el responsable tambien vulneró el deber de confidencialidad, que tiene como finalidad evitar que quienes están en contacto con los datos personales, realicen filtraciones de los mismos no consentidas por los titulares de los mismos (art. 44.3.g LOPD).

Dado por tanto que el responsable quebrantó dos deberes (seguridad y secreto) y que ambas infracciones son de caracter grave, por aplicación del art. 4.4 del RD 1398/1993 (reglamento de procedimiento de la potestad sancionadora) las dos se subsumen finalmente en una sola (en este caso, infracción del deber de seguridad, art. 9 LOPD).

La sancion que se impone al responsable es de 4000 euros, importe inferior al habitual en estos casos, al haber ponderado la AGPD diversas circunstancias concurrentes que justifican la reducción del importe de la misma (por aplicacion del art. 45.5 LOPD) como son, por una parte, la existencia de un cambio de titularidad en la empresa meses antes del vertido y tambien por el hecho que la empresa estaba en periodo de cambio de sistemas de informacion, uno de cuyos motivos era precisamente, adaptarse a la LOPD.

eco-Shredder, empresa especializada en la destrucción de documentos confidenciales in situ”.