Category Archives: jurídico

cámaras que no graban

Según la propia Agencia de Protección de Datos (AEPD) la mayoría de las denuncias que recibe están relacionadas con la videovigilancia, es decir, con las cámaras de grabación.

Conocemos a personas y empresas que tienen puestas cámaras en la fachada, en el garaje, dentro del bar y otros sitios y cuando les preguntas si son legales te suelen responder, si hay una cierta relación, que tranquilo, no graban.

Pues antes del verano la AEPD ha archivado una serie de denuncias relacionadas con las cámaras de entre las cuales hemos querido destacar una de ellas, que fue motivada por la instalación de cámaras de videovigilancia en un edificio enfocadas hacia la calle, sin carteles de advertencia, colocadas por el administrador del edificio.

Ante el requerimiento de la AEPD solicitando información, el titular respondió que las videocámaras no graban por estar desconectadas, alegación ante la cual la AEPD le requirió pruebas:

• “Justificación documental (factura, envoltorio, ticket de compra o documento similar) a través de los cuales se acredite fehacientemente que las cámaras instaladas son CÁMARAS FICTICIAS. 
• Documentación gráfica (fotografías) en las que se aprecie que se trata de cámaras simuladas, que NO FUNCIONAN y/o que se encuentran DESCONECTADAS. 
• Se le requiere formalmente para que retire o redirija las cámaras, de modo que no enfoque la vía pública ni áreas o espacios pertenecientes a terceras personas.” 

El denunciado envió escrito indicando que había procedido a la retirada de las cámaras, a las que se refiere la denuncia, que se encontraban instaladas en la fachada de su local de negocio, aportando fotografías de las que se desprende que ha procedido a su retirada y, en consecuencia, la AEPD archiva las actuaciones.

Pero, cuidado porque la AEPD se ha manifestado negativamente sobre las cámaras en varias resoluciones, llegando a sancionar con 1.500€ (PS/00139/2012) una situación en la que la cámara no existía, desestimando las alegaciones presentadas y el posterior recurso de reposición.

En definitiva, si repasamos estas resoluciones de la AEPD y las motivaciones esgrimidas, aun siendo evidente que si existe una cámara falsa o real (que esté apagada y por tanto sin funcionar) no existirá tratamiento de datos, la AEPD ha considerado que genera una “falsa apariencia”, argumento con el que no estamos de acuerdo.

Es muy importante ante estas situaciones, sobre todo, si llega un apercibimiento de sanción, responder en tiempo y modo a las notificaciones de la AEPD, sin olvidarnos de cuidar mucho nuestras alegaciones, ya que de todo ello puede depender que seamos sancionados o que la Agencia considere que por esta vez seamos apercibidos o en el mejor de los casos archiven la denuncia.

Ejemplos de multas por infracción LOPD

Algunos ejemplos de típicas (y no deliberadas) infracciones de la normativa de protección de datos y su correspondiente multa (gracias a Datadesk)

INFRACCIONES LEVES (de 900 a 40.000 euros)

1. Si envías comunicaciones comerciales por email o a través de otra vía de comunicación electrónica sin que los destinatarios hayan autorizado expresamente que están de acuerdo con dicho envío.

2. Debes saber que has de comunicar al registro público el nombre del dominio de tu página web.

3. No darle a la Agencia Española de Protección de Datos la información que te solicite, de acuerdo a las competencias que la Ley otorga a la agencia.

INFRACCIONES GRAVES (de 40.001 a 300.000 euros) éstas ya son palabras mayores

4. El destinatario del servicio ha de conocer las condiciones generales a que se sujete el contrato.

5. No modificar o rectificar datos de carácter personal cuando estos errores afecten a los derechos de las personas nombradas.

6. No facilitar y obstruir la función inspectora.

7. Envío masivo de comunicaciones comerciales vía email u otra vía de comunicación electrónica cuando los destinatarios no hayan autorizado que se les mandase dicha comunicación.

INFRACCIONES MUY GRAVES (de 300.001 a 600.000 euros) Si incurres en una de estas infracciones, tienes el infarto asegurado

8. Si tu empresa no cumple con la obligación de suspender el alojamiento de datos, el acceso a la web u otro servicio equivalente relacionado con la intermediación, cuando un órgano administrativo le obligue a ello.

9. Cuando se recaben o recojan datos e información de manera engañosa o fraudulenta.

10. Si se transfieren datos de carácter personal a otros países que no proporcionen el mismo nivel de protección del país de origen sin la pertinente autorización del director de la Agencia Española de Protección de Datos.

Consejos sobre protección de datos

Consejos para que tu empresa se adapte fácilmente a la normativa de protección de datos: 

derecho al olvido

Recientemente el Tribunal de Justicia de la Unión Europea se ha pronunciado respecto del derecho al olvido. Intentaré explicar brevemente en qué consiste y las previsibles consecuencias de dicha sentencia que tanta repercusión está teniendo en los medios de comunicación.

El derecho al olvido es realmente el ejercicio de los derechos de oposición y cancelación con la consecuencia fundamental de eliminar un dato personal que no cumple los requisitos de calidad según la normativa de protección de datos, es decir, no es exacto, ni actual ni pertinente. El caso en cuestión tiene su origen en 1998 cuando La Vanguardia publica una información con enlaces a una subasta de inmuebles embargados por deudas a la Seguridad Social que con el tiempo fue levantado por el afectado. Cuando éste teclea su nombre en Google sale esa noticia que él entiende que le perjudica. En España se resuelve dando la razón a La Vanguardia al tener una justificación legal pero se ordena a Google que haga desaparecer en su buscador dicho enlace, por lo que la multinacional recurre a la Audiencia Nacional. En 2012, la Audiencia plantea una cuestión prejudicial al TJUE.

Esta sentencia supone dos cambios fundamentales en la materia:

– El tribunal establece que los buscadores realizan un tratamiento de datos de carácter personal. Esta actividad está sometida a las normas de protección de datos de la UE, dado que Google vende espacios publicitarios en un Estado miembro a través de su filial Google Spain. El tribunal comunitario considera al buscador “responsable” de la información que figura en la lista de resultados de una búsqueda.

– Existe el derecho al olvido. Cuando hay un conflicto entre la libertad de información y un derecho fundamental de una persona, el buscador ya no es neutral. Si un ciudadano quiere que le borren un dato lesivo e irrelevante tiene dos opciones: puede ir al medio que publica la información y, además, ir directamente al buscador para que elimine el contenido.

Esto no quiere decir que los buscadores tienen que eliminar aquellos datos que no nos interesen sino que los Tribunales tendrán que ponderar, caso a caso, si prevalece el interés general de que todos conozcamos algo o el interés particular del sujeto. Por tanto, buscadores de Internet como Google deben retirar los enlaces a informaciones publicadas en el pasado si se comprueba que son lesivas para alguna persona y carecen de relevancia. Solo se elimina de los resultados de los buscadores para que los datos lesivos no permanezcan eternamente en Internet, no de la publicación original.

Es previsible que el fallo tenga influencia en la tramitación del nuevo reglamento europeo sobre protección de datos personales y sobre las estructuras de las multinacionales propietarias de los buscadores en Internet. Además de los más de 200 casos pendientes en la Audiencia Nacional sólo con Google.

Primera sanción a web en España por mal “uso” de cookies; 3.500€

Tras un procedimiento de 5 meses, la AEPD ha sancionado a dos empresas por el uso indebido de cookies. De tal resolución (R/02990/2013), extraemos las siguientes ideas:

Cuidadín con la banca online y el teléfono móvil

Una entidad bancaria ha sido (PS-00344-2013) por la Agencia Española de Protección de Datos (AEPD) tras la denuncia presentada por dos particulares en la que reflejaban que utilizando sus propias claves de acceso a sus cuentas de banca on-line mediante teléfonos móviles, han podido acceder a los datos de otros clientes, aportando impresiones de pantalla como prueba.

Tras recibir la denuncia, la AEPD inició las actuaciones previas de investigación para esclarecer los hechos y en la inspección la entidad manifestó que tuvo conocimiento de dichas incidencias por una llamada recibida en su Call Center, siendo bloqueado dicho sistema de acceso a los 12 minutos de dicha llamada. No sólo reconoce la entidad los hechos denunciados sino que inmediatamente emprende acciones para resolver el problema e introduce mejoras de seguridad. El problema afectó a 27 clientes, con los que el Departamento de Atención al Cliente, contactó.

La AEPD imputó a la entidad bancaria la vulneración del principio de seguridad de los datos personales, establecido en el artículo 9.1 de la LOPD, que establece el “principio de seguridad de los datos” que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Asumidos los hechos por la entidad bancaria, la AEPD refleja que ha quedado acreditado que la citada entidad incumplió ésta obligación, como lo recoge el informe descriptivo de la incidencia habida y se refleja en el acta de inspección llevado a cabo en la sede de la compañía, puesto que la aplicación para el acceso mediante móviles y utilizando el código de usuario y clave, no impidió que los denunciantes pudieran acceder a datos personales de otros clientes usuarios de la entidad denunciada.

cuidado con las campañas virales en Facebook

Recientemente la AEPD ha resuelto un procedimiento que afecta a las redes sociales que tanto usamos. En este caso, en el muro de diversos perfiles de usuarios de la red social Facebook aparecían mensajes provenientes de otros usuarios de la red social con el texto “sabes que sales en un video” y un enlace web denominado www……………………1 acompañado de una imagen en formato video que, a su vez, dirigía al destinatario a un conjunto de sitios web alojados en el dominio blogspot.com. que simulaban mediante su aspecto ser parte de la red social Facebook, informando que se requería la instalación de un complemento para el navegador que permitiese visualizar dicho video, se solicitaba permiso del usuario para instalar un software desde el sitio web www……………………2.

Resulta acreditado que cuando el usuario decidía instalar el complemento se mostraba un mensaje indicando que, para comprobar la mayoría de edad era necesario proporcionar un número de móvil al que se remitiría un código de activación redirigiendo la navegación a un sitio web de suscripción de servicios de tarificación adicional y ejecutando un software que contenía un virus, que utilizaba el identificador de la red social Facebook del usuario y otras funcionalidades replicaba de manera automática y si que el usuario fuese consciente, el mensaje recibido en los muros de 30 de sus amigos.

En el sitio web donde se debía introducir el número de teléfono móvil es propiedad de FROGGIE, avirtiéndose que los datos del usuario serían tratados por medios automatizados con el objetivo de obtener perfiles de usuario y que se podrían ejercitar los derechos de acceso, rectificación, cancelación y oposición.

FROGGIE encomendó una campaña de publicidad a PI2006 quien, en nombre de aquella encargó a USERS2CASH la ejecución de la campaña. Resulta acreditado que FROGGIE, a través de PI2006 decidió el segmento de destinatarios de su campaña, utilizó Publisher independientes sin poder determinar la identidad de éstos, para conseguir la máxima expansión de la campaña en Internet.

Para la AEPD hay tratamiento de datos en dos momentos o estadios de los hechos analizados y sobre los que recae la imputación a FROGGIE y a USER2CASH. Por un lado, en la captación de los números de teléfono de los potenciales clientes ya que tanto las cuentas de correo como los perfiles de usuario de una red social pueden ser considerados dato personal; y por otro lado en difusión de la publicidad de FROGGIE, es decir, a través de perfiles de usuarios de la red social.

En el presente caso ha existido un tratamiento de datos personales sin consentimiento por cuenta de FROGGIE a la vista de que en ejecución de su campaña publicitaria encargada a PI2006, y subcontratada a USER2CASH que mediante virus de tipo troyano se suplantaron identidades de usuarios de la red social Facebook para mediante engaño ser redirigidos a sitio web de FROGGIE donde insertaban el número de teléfono móvil y se incorporaba a una base de datos de ésta, suscribiéndose a un servicio de tarificación adicional (SMS PREMIUM).

En consecuencia, la Agencia Española de Protección de Datos resuelve:

Imponer a la entidad USERS2CASH NETWORK IBERICA, S.L., por una infracción del artículo 6 de la LOPD, una multa de 40.001 € y a la entidad FROGGIE S.L., por una infracción del artículo 6 de la LOPD en relación con el artículo 46 del RDLOPD, una multa de 6.000 €.

Sanción por Spam

Alguna vez nos ha pasado que hemos comprado algo por Internet y, consciente o inconscientemente, nos hemos suscrito a la newsletter de la web en cuestión. Tiempo después, cansados de recibir información comercial de dicha página, nos damos de baja en el boletín y nos llega el acuse de recibo confirmando la baja de nuestros datos de contacto de la base de datos de la empresa.

Al cabo de unos meses nos llega un nuevo correo con información comercial de dicha empresa. ¿Qué hacemos? Denunciarlo a la AEPD por SPAM, por ser un correo con publicidad comercial no solicitado. Hay que perder el miedo. La AEPD sanciona este incumplimiento de la normativa de protección de datos. A vuestra disposición un caso reciente.

Sanción a Google

Muy recientemente, tras un largo proceso coordinado con las Autoridades de Protección de Datos de Alemania, Francia, Holanda, Italia y Reino Unido, la Agencia Española de Protección de Datos declara ilegales los tratamientos de datos personales realizados por Google con su nueva política de privacidad. (Ver nota de prensa). Los medios se han hecho eco de tal condena Elmundo, ElPais, ABC, Elconfidencial.

La AEPD ha constatado que:

– Google no da a los usuarios información suficiente sobre qué datos recoge y para qué fines los utiliza, ya que se considera que Google utiliza una terminología imprecisa, con expresiones genéricas y poco claras. «Google emplea términos como podremos, podrá, podrán o es posible. Todo ello, sumado a otras expresiones sumamente ambiguas como mejorar la experiencia del usuario, da lugar a una política de privacidad indeterminada y poco clara«, asegura la AEPD.

Sanción por inclusión indebida de un presunto moroso en ASNEF

Seguro que conocemos a personas de nuestro entorno que se las han tenido tiesas con el famoso ASNEF. Aunque realmente no es un problema de este registro de morosos sino de la entidad que comunica tal deuda. Pues bien hace poco la AEPD ha sancionado a una entidad por no aplicar el rigor debido.

Un particular denunció la inclusión de sus datos de carácter personal en el fichero de solvencia patrimonial y crédito ASNEF sin requerimiento previo de pago por parte de una entidad financiera, que la vamos a denominar CREDIFIMO.

CREDIFIMO reconoce en su escrito que los datos del denunciante fueron incluidos en ASNEF sin que se hubiera practicado previo requerimiento de pago y, por tanto, sin advertencia de la posibilidad de inclusión en caso de impago en tal fichero. En este sentido, manifiesta que una vez detectó la incidencia, CREDIFIMO se dirigió a ASNEF para solicitar la cancelación de los datos del denunciante en dicho fichero, lo que se produjo de manera efectiva al día siguiente. Por consiguiente, CREDIFIMO se reconoce responsable de la comisión del hecho descrito, y, consecuentemente, culpable de la infracción.

Al reconocerse culpable de la infracción, junto con la rapidez para enmendar el error, solicitaba dicha entidad a la AEPD la aplicación de lo establecido en el artículo 45 de la LOPD, sobre graduación de sanciones, y, pretendía que se dejara sin efecto la incoación del procedimiento sancionador.

La Resolución sancionadora afirma que de lo expuesto en el procedimiento se deduce que CREDIFIMO no se ha limitado a transmitir la información al responsable del fichero común sobre solvencia patrimonial, sino que ha tratado automatizadamente los datos de solvencia en sus propios ficheros, los ha comunicado a través de tratamientos automatizados al fichero común, y, particularmente, ha decidido sobre la finalidad del tratamiento (la calificación en sus ficheros como deudor), el contenido de la información (una supuesta deuda), y el uso del tratamiento (la incorporación a un fichero común de información sobre solvencia patrimonial y crédito, al que pueden acceder terceras entidades para realizar una evaluación o perfil económico de las personas incorporadas al mismo). Todo ello, sin que los datos mantenidos en el fichero de CREDIFIMO respondiera a la situación actual del denunciante.

Para la AEPD las empresas que por su actividad están habituadas al tratamiento de datos personales deben ser especialmente diligentes y cuidadosas al realizar operaciones con ellos y la inclusión como moroso del denunciante en ASNEF, en consecuencia, debería de haberse realizado con todo rigor por la entidad imputada para salvaguardar la veracidad de la información a transmitir a los ficheros de solvencia económica que la Ley Orgánica y su Reglamento exigen.

Por lo tanto, la AEPD resuelve que CREDIFIMO incurre en una infracción del principio de la calidad de dato, básico del derecho fundamental a la protección de datos, y tras apreciar la existencia de motivos para reducir la posible sanción económica, se le IMPONE a la entidad CREDIFIMO una multa de 20.000 € (veinte mil euros).