Category Archives: jurídico

  • 0

Cuidadito con lo que se sube a Youtube

Otro caso, llamativo y más frecuente de lo que se piensa, es el de la grabación de imágenes con cámara oculta y su posterior subida a youtube.

La AEPD actuó tras la publicación en youtube de dos grabaciones de video con imágenes y voz de la denunciante y de sus hijos menores de edad, captadas sin su conocimiento por una Asociación, que la denominaremos PROJUSTICIA, en la que constan datos personales de la denunciante, con información pormenorizada sobre la separación matrimonial de la denunciante, identificada con su nombre y apellidos, y el régimen de visitas de los hijos.

Del visionado de los videos y de la orientación de la cámara se desprende que las imágenes y el sonido podrían haber sido captados mediante una cámara oculta. Se ha verificado que ambos videos son accesibles.

En el presente caso, se ha acreditado por un lado, el tratamiento de los datos personales por parte de PROJUSTICIA, consistentes en la imagen, nombre y apellidos de la denunciante, y por otro, el tratamiento de los datos personales de los menores por parte de PROJUSTICIA, consistentes en la imagen y, además, captadas directamente sin conocimiento, ni consentimiento, grabadas en un lugar próximo al colegio y referidas a la entrega de los mismos entre los progenitores, sin que ningún interés informativo se aprecie en la difusión de las imágenes de dichos niños que son accesibles a un gran número de personas, como lo son los usuarios de la red internet, a los que es accesible en abierto, por mucho que pretenda justificar PROJUSTICIA el carácter de periodístico por la razón de que en la web conste un apartado denominado “noticias”, tal afirmación resulta inaceptable por simplista.

En consecuencia la AEPD impone a PROJUSTICIA dos multas (pichar aquí):

1. Por el tratamiento de datos personales de la denunciante, consistente en una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 b) de dicha norma, una multa de 1.000 € (mil euros) de conformidad con lo establecido en el artículo 45 de la LOPD.

2. Por el tratamiento de los datos personales de los menores de edad, consistente en una infracción del artículo 6 de la LOPD, en relación con el artículo 13 del RDLOPD, tipificada como grave en el artículo 44.3 b) de dicha norma, una multa de 2.000 € (dos mil euros) de conformidad con lo establecido en el artículo 45 de la LOPD.


  • 0

Multa a Vodafone

Una particular denuncia a VODAFONE ESPAÑA, S.A. para anular una deuda de 51,52 € que dicha entidad le venía reclamando y para su exclusión de ficheros de morosidad en los que había sido incluida por esta entidad por ser deuda incierta.

En primer lugar acudió a la Junta Arbitral de Consumo de Canarias que media entre ambas partes. VODAFONE alega por escrito que había procedido al abono de la susodicha cantidad lo que suponía la eliminación del saldo reclamado.

Con posterioridad VODAFONE reclamó a la denunciante el pago de 72,03 € por el impago de las facturas de agosto y septiembre de 2011 sin advertencia de la posibilidad de inclusión caso de impago. La denunciante rechaza la posibilidad del acuerdo propuesto y manifiesta su intención de seguir con la mediación y VODAFONE la incluye en ficheros de morosidad, aunque solicita, en el plazo de una semana, la baja de la correspondiente inclusión por existir la reclamación en consumo.

Poco tiempo después, VODAFONE emitió a nombre de la denunciante la factura rectificativa por importe de -72,03 €, antes de impuestos, por la que se rectificaban las facturas de agosto y septiembre de 2011.

La AEPD acude para fundamentar su decisión a una sentencia del Tribunal Supremo de 15 de julio de 2010 en la que se afirma de manera contundente que se entenderá como deuda cierta a los efectos de la calidad de los datos que ésta ha de ser irrefutable, indiscutible como consecuencia del principio de veracidad y exactitud que consagra el artículo 4.3 de la LOPD y anula por inconcreción del texto el último inciso del artículo 38.1.a) del RLOPD. En definitiva, una deuda en litigio a través de reclamación judicial, arbitral o administrativa impedirá que pueda hablarse de una deuda cierta hasta que recaiga resolución firme y, por tanto, la inclusión de la misma en los ficheros de solvencia patrimonial y crédito.

La AEPD (para leer el procedimiento sancionador, pinchar aquí) impone a la entidad VODAFONE ESPAÑA, S.A. multa de 50.000 € por la infracción del artículo 4.3 de la LOPD, en relación con el artículo 29.4 de la misma norma y en relación también con los artículos 38 y 39 del RLOPD; tipificada como grave en el artículo 44.3.c) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica.


  • 0

multa de 100.000 euros a Canal Plus por vulneración LOPD

En agosto de 2011 Canal Plus, que entonces utilizaba el nombre comercial de Digital Plus, advirtió a un cliente de Sevilla, que tenía una deuda de 175 euros por un segundo contrato dado de alta en el mes de marzo en la localidad gaditana de Jerez de la Frontera y que, posteriormente, se trasladó a un domicilio sevillano que no coincidía con el suyo. El usuario advirtió que no había solicitado ese alta y exigió que le enviara por correo toda la documentación del contrato. Sin embargo, la compañía se limitó a remitirle facturas para exigirle su pago.
Ante la sospecha de que alguien había suplantado su identidad y que Digital Plus había admitido un alta de forma irregular, el usuario denunció el caso ante la Policía y acudió a FACUA para que pusiese en marcha acciones en defensa de sus derechos. Digital Plus también se negó a enviar la copia del contrato a FACUA, que interpuso una denuncia ante la Agencia Española de Protección de Datos.


Pero la compañía no se quedó ahí sino que además, en agosto de 2012, incluyó al afectado en el fichero de morosos Asnef, de la empresa Equifax, por no pagar las facturas fruto del fraude, que elevó a 668 euros.

Tras una denuncia de FACUA-Consumidores en Acción, la Agencia Española de Protección de Datos (AEPD) ha resuelto que Digital Plus ha vulnerado el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal “ante la falta de acreditación por parte de la entidad imputada del consentimiento inequívoco del denunciante para el tratamiento de sus datos personales”. En su resolución, la Agencia recuerda que cuando una empresa trata datos personales, debe “asegurarse suficientemente de que la persona que da su consentimiento es efectivamente el interesado. Esto tiene especial importancia cuando el consentimiento se autoriza por teléfono o en línea“.

Añade que Digital Plus ha incurrido en una infracción grave al “tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario”. Asimismo, al haber hecho caso omiso a la reclamación del afectado e incluirlo en un registro de morosos sin serlo, la empresa ha cometido otra infracción grave. Así, el artículo 4.3 de la Ley dispone que “los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

En consecuencia, la AEPD ha impuesto a Canal Plus (DTS Distribuidora de Televisión Digital) dos sanciones de 50.000 euros cada una.

  • 0

Sanciones por 21 millones de euros por incumplimiento LOPD

La Agencia Española de Protección de Datos aplicó sanciones por 21 millones de euros en 2012 a entidades que incumplieron con la protección de datos de los usuarios, como informó su director, José Luis Rodríguez, durante el I Congreso Internacional de Protección de Datos Personales celebrado en Lima durante este mes de septiembre.
Las sanciones de la agencia española se aplicaron el año pasado a entidades de telecomunicaciones (73 %), financieras (13 %) y de suministro de energía y agua (6 %), y emitió 10.995 resoluciones sobre diversos aspectos del cumplimiento y protección de este derecho fundamental.


El Gran Hermano no existe jeje.

  • 1

Pepephone se autodenuncia ante la Agencia de Protección de Datos

El pasado día 29 de abril, la empresa comercialmente conocida como Pepephone, Operador de Telefonía Móvil Virtual, publicaba en su propio perfil de Twitter este tuit “Algunos clientes habéis recibido por un error humano un correo con direcciones de email. Hemos metido la pata. Perdonad y borradlo por favor”.

Pedían disculpas por haber procedido al envío de un correo electrónico masivoa clientes cuyas direcciones electrónicas no habían sido ocultadas. Es decir, todos y cada uno de los destinatarios de dicha comunicación comercial visualizaban las direcciones de email del resto de clientes a los que Pepephone había remitido la comunicación.

Al mismo tiempo que reconocían su error, lo achacaban a un fallo humano, solicitaba a todos los clientes que hubieran recibido dicho correo electrónico que lo borraran de sus bandejas de entrada.

Poco tiempo después, ese mismo día, era la propia compañía la que anunciaba que se autodenunciarían ante la Agencia Española de Protección de Datos por el error cometido: “Mañana nos auto-denunciaremos a la APD por el error que hemos cometido al enviar un mail a 4.800 personas sin copia oculta. Lo lamentamos”.

Aparte de la honradez de reconocer y rectificar un error ¿puede existir alguna otra razón que justifique dicha actuación?.

La dirección de correo electrónico de una persona física es un dato de carácter personal amparado por la normativa de protección de datos y si una empresa envía un correo electrónico con las direcciones de todos sus clientes visibles para el resto (en vez de incluirlas como Copia Oculta-CCo), los destinatarios de dicha comunicación podrán visualizar las direcciones electrónicas personales del resto de clientes de dicha compañía lo que, claramente supone una vulneración del deber de secreto profesional (art. 10 LOPD) por parte de la empresa remitente del correo electrónico.Esta vulneración está tipificada como infracción grave y la sanción económica puede alcanzar los 300.000€. Es posible que Pepephone haya reconocido de manera inmediata y espontánea este error para evitar tal cuantía, ya que según el art. 45.4 LOPD, dicha sanción podría verse considerablemente disminuida atendidas una serie de circunstancias como pueden ser el beneficio obtenido o el grado de intencionalidad. En un post anterior comentábamos un caso similar en el que la sanción definitiva fue de 2.000€. Veremos qué decide la Agencia Española de Protección de Datos.


  • 0

Twitter y la protección de datos de los usuarios

La Agencia Española de Protección de Datos ha archivado una denuncia presentada por la Asociación de Consumidores y Usuarios en Acción-FACUA en la que se denunciaba a Twitter por una posible vulneración de la LOPD en relación al derecho de información a los usuarios. 

Hace unos meses la Asociación de Consumidores y Usuarios en Acción-FACUA denunció a Twitter, Inc. por considerar que ésta podría vulnerar el derecho de información contemplado en el artículo 5 LOPD por una inadecuada implementación de la funcionalidad “Encontrar amigos” en la versión para terminales móviles, al entender que esta funcionalidad transmite la información de la agenda de contactos del teléfono del usuario a los servidores de la compañía, donde al parecer se almacena durante 18 meses.

Tras recibir la denuncia, la Agencia Española de Protección de Datos (AEPD) inició una investigación sobre el asunto, examinando en primer lugar la política de privacidad de Twitter, en concreto el apartado “información adicional”, donde ya se contemplaba que opcionalmente se podía aportar a Twitter determinada información.

Se requiere a la compañía estadounidense para que aclare los procedimientos relacionados con la manera de recabar el consentimiento de los usuarios de la red social Twitter para tratar los datos de carácter personal contenidos en las agendas de contactos de sus respectivos terminales móviles, el tratamiento de los datos recabados de las agendas de contactos de sus usuarios, el período de conservación de los datos en los servidores de Twitter, Inc. y, por último, por el procedimiento de revocación del consentimiento.

La red social manifestó que los usuarios siempre han tenido que aceptar expresamente el uso de su agenda para comunicarse con sus amigos y que “ningún contacto fue enviado a Twitter sin la acción afirmativa de un usuario, y el proceso de “encontrar amigos” implicaba varios pasos durante los cuales se daba al usuario notificación contextual de que la información de la agenda de direcciones estaba siendo importada, y los usuarios tenían la capacidad de [elegir] al respecto”. En ningún caso es obligatorio, sino opcional por parte del usuario.

Además, Twitter añadió que dada su política de privacidad, la única información de la agenda de contactos que Twitter utiliza o conserva para “encontrar amigos” es la dirección de correo electrónico y el número de teléfono porque a través de estos datos los usuarios de Twitter pueden elegir ser encontrados por otros. Como resultado, Twitter no utiliza ninguna otra información de la agenda de contactos, tal como el nombre real, la dirección física u otra información que pueda estar contenida en una agenda de contactos para ningún otro propósito al ya mencionado. Cuando Twitter considera que la información utilizada ha dejado de ser útil y si el usuario no la ha borrado, es la propia compañía quien lo hace cuando hayan transcurrido 18 meses. Además, las direcciones de correo electrónico no son asociadas con los números de teléfono para el mismo contacto. Cada uno es guardado en un registro separado.

A pesar de ello y gracias a las acciones de la AEPD, Twitter modificó en agosto de 2012 el apartado de “información adicional” de su política de privacidad aclarando estos puntos e indicando con más precisión cómo utiliza esta información.

Como consecuencia de todo lo anterior, la AEPD termina archivando la denuncia por determinar que el mecanismo utilizado por Twitter respeta lo establecido en el artículo 5.1 de la Ley Orgánica de Protección de Datos.


  • 0

Recogida de firmas para iniciativas populares

Es posible que nos haya llegado en los últimos tiempos correos en los que solicitaban nuestro apoyo para adherirse a diversas peticiones vía Internet  Si queríamos mostrar nuestra solidaridad con la causa en cuestión debíamos completar en la web un formulario con nombre y apellidos, dirección, DNI… Casi siempre la web en cuestión pertenece a alguna organización sin ánimo de lucro, con loables finalidades pero ¿no os suena que el nombre, apellidos, dirección, correo electrónico, DNI son datos de carácter personal? ¡Qué manera más fácil de obtener nuestros datos! Ni nos planteamos algún tipo de duda al facilitar los datos ya que se tratan de iniciativas normalmente solidarias.

Recientemente el grupo de delitos tecnológicos de la Guardia Civil ha emitido un comunicado alertando del peligro de suministrar datos personales vía web. Y recalcan algo fundamental según nuestra legislación: para que nuestra firma tenga validez jurídica tiene que ser o bien manuscrita o bien firma electrónica mediante DNI electrónico o certificado digital en vigor.

Espero que a partir de ahora tengamos más cuidado, empezando por mí, a la hora de suministrar datos por Internet.


  • 0

Eliminación de la imagen de una matrícula en Google Street View

El pasado mes de enero la Agencia española de protección de datos (AEPD) emitió una resolución que afecta a una de las multinacionales más conocidas en el mundo. En el presente caso, el reclamante solicitó a GOOGLE SPAIN, S.L. el derecho de cancelación para la eliminación/difuminación de la matrícula de su motocicleta que aparece en la conocídisima aplicación “Google Street View”.

Al tratarse de una multinacional, debe delimitarse primero quien es el responsable del fichero a los efectos de la ley española. La propia Google Inc. reconoce expresamente que tiene designado a Google Spain como su representante ubicado en territorio español, conforme a lo exigido por el artículo 3.1.c), segundo párrafo del RLOPD. Luego ante Google Spain, S.L. hay que ejercitar los derechos de acceso, rectificación, cancelación y oposición en relación con el fichero “GOOGLE STREET VIEW”.

Durante la tramitación del procedimiento, Google difumina los números de la matrícula del vehículo del reclamante. No obstante, no queda acreditada la contestación expresa por parte de la entidad reclamada, informando al reclamante que se ha atendido el derecho solicitado, por lo que se le requiere para que expresamente informe al reclamante de tal hecho.


En este caso Google se libra de la sanción económica.

  • 0

multa 2000€ por envío masivo sin copia oculta

El pasado mes de diciembre, la Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 2.000 euros a una Fundación cultural palentina, por enviar un correo electrónico a unos mil destinatarios sin generar una copia oculta de las direcciones, lo que según la AEPD constituye infracción del artículo 10 de la Ley Orgánica de Protección de Datos. 

Los hechos se remontan al pasado mes de Mayo de 2012, cuando la Fundación envió un correo electrónico a sus clientes para informarles de que la entidad estaría presente en la Feria del Libro de Madrid. Según la propia Fundación el correo se remitió sin ocultar las direcciones de los destinatarios “por un error involuntario” de la persona que realizó el envío a través de Microsoft Outlook. Una de los destinatarias, cuya dirección había facilitado al adquirir una colección de DVD’s a la fundación, denunció a la entidad por este hecho.

Por su parte, el Director de la Agencia decidió iniciar, en noviembre de 2012, procedimiento sancionador contra la Fundación tipificando el error como infracción grave, lo que conllevaba una sanción económica entre 40.000 y 300.000€, a lo que la entidad alegó que era “absolutamente desproporcionado“.

Según expone la Agencia de Protección de Datos, la dirección de correo electrónico es considerada un dato de carácter personal y su tratamiento ha de estar sometido a la citada Ley Orgánica, por lo que, con carácter general “no será posible su utilización o cesión si el interesado no ha dado consentimiento para ello”.

Además, la AEPD asegura que en este caso ha quedado acreditado en el expediente que el denunciante recibió un corro electrónico que facilitaba datos personales de numerosísimas personas, por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.

En su resolución, la AEPD resuelve que teniendo en cuenta los criterios de graduación de las sanciones recogidos en el artículo 45 de la LOPD, y al haber reconocido el denunciado su culpabilidad y acreditado la ausencia de intencionalidad y de reincidencia, debe imponerse la sanción dentro del intervalo de las infracciones calificadas como leves y, concretamente, en 2.000 euros.


  • 0

Whatsapp

La Oficina de protección de datos CBP (Holanda) y el Comisariado para la protección de la vida privada (Canadá) han iniciado una investigación conjunta del popular sistema de mensajería instantánea para ‘smartphones’, WhatsApp.


La utilización del servicio de WhatsApp supone necesariamente que los usuarios deben permitir el acceso a su agenda de contactos. De esta forma, todos los números de teléfono incluidos en el móvil del cliente se transmiten a WhatsApp para facilitar la identificación de otros usuarios.

En lugar de borrar el número de teléfono de los no usuarios, WhatsApp los almacena. Sólo aquellas personas que dispongan del terminal IPhone de Apple, con el software IOS6, pueden evitar la inclusión automática de los datos de sus contactos, agregando manualmente los que se deseen, sin incluir los restantes.

Esta falta de elección contraviene las leyes de privacidad. Tanto los usuarios como los no usuarios deben tener el control sobre sus datos personales y los usuarios deben ser capaces de decidir libremente qué datos de contacto desean compartir con WhatsApp” ha indicado Jacob Kohnstamm, máximo representante de la Autoridad de Protección de Datos holandesa.

Además, los dos organismos mencionados arriba también han detectado que los mensajes enviados a través de esta aplicación no son encriptados y, por tanto, pueden ser interceptados, especialmente cuando han sido enviados desde una conexión Wi-Fi no segura. WhatsApp no comenzó a cifrar estos mensajes hasta septiembre de 2012.

Se pone de manifiesto, como vemos, las deficiencias de seguridad en WhatsApp ya que se puede, entre otras cosas, robar conversaciones de historiales. Desde WhatsApp se ponen parches a los problemas pero no se acometen soluciones definitivas aunque bien es verdad que la compañía ha expresado en recientes declaraciones que efectuarán los cambios necesarios para proteger la privacidad dentro de los extremos objeto de análisis. En este sentido, se ha asegurado por parte de la misma que se incluirá la posibilidad de llevar a cabo la adición manual de los contactos de nuestra agenda.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies