La Agencia de Protección de Datos abre una investigación a BuyVip

La Agencia Española de Protección de Datos (AEPD) ha iniciado de oficio actuaciones previas de investigación a la tienda online BuyVip por una posible acceso no autorizado a datos personales de sus clientes, según ha informado el organismo.

La decisión de la AEPD se produce después de que la tienda online propiedad de Amazon enviara una notificación a sus clientes en los que se les advertía de que algunos datos personales se habían visto comprometidos debido a un acceso no autorizado a datos como nombres, direcciones o direcciones de correo electrónico. Los datos bancarios no habrían sido afectados.

A raíz de las informaciones publicadas en diversos medios de comunicación relativas a estos accesos no autorizado, la AEPD ha iniciado actuaciones para averiguar si se ha producido una vulneración de las previsiones de la Ley de Protección de Datos en materia de seguridad y, en su caso, determinar las responsabilidades atribuibles.

BuyVip es una comunidad de compras por Internet de artículos de moda y estilo de vida con más de seis millones de usuarios registrados en países como España, Alemania e Italia que ofrece a sus clientes descuentos de las principales marcas de moda y tendencias

UNA TESIS DE LA UNIVERSIDAD DEL PAÍS VASCO CRITICA EL DERECHO DE LA PROTECCIÓN DE DATOS SANITARIOS POR ESTAR «DETRÁS DE LA REALIDAD»

Imagine que su hijo de 14 años acude al médico y en pleno acto de rebeldía adolescente se niega a decirle por qué motivo ha acudido a la consulta. Aunque usted mismo se presente a la mañana siguiente donde el facultativo para solicitar la información, no tiene derecho a saber nada del asunto allí tratado, a no ser que presente la firma del menor. Lo contrario supondría una cesión de datos inconsentida, considerada como una infracción muy grave, que equivaldría a una sanción de entre 300.000 a 600.000 euros, ya que las personas a partir de esa edad se consideran, a efectos de la protección de datos, como adultos.

El allanamiento de la intimidad, como el de una morada, solo puede justificarse por derechos superiores de otros, tales como que de la revelación del secreto médico se extraiga un beneficio para personas indefensas. Este caso sería el de, por ejemplo, revelar que una prostituta con el VIH no usa protección alguna con sus clientes infectando a todo aquel que mantenga relaciones con ella. Pero sería una excepción a la confidencialidad de los datos sanitarios, ya que si ésta se vulnera, no solo está en peligro la intimidad, sino el ejercicio de otros derechos fundamentales, como el de la educación o el del trabajo. Precisamente, la pregunta «¿Qué consecuencias sociolaborales tendría para un paciente la filtración de que un paciente es seropositivo?» sirve de punto de partida para la tesis Los principios de la protección de datos aplicados a la sanidad, del jurista de la Universidad del País Vasco UPV/EHU Unai Aberasturi.

La respuesta a esta cuestión para Aberasturi no puede ser más fácil: es vital que la información sanitaria no se use para ninguna discriminación, por lo que hay que regular la protección de datos médicos. A estos resultados llega tras estudiar lo que dice la Ley Orgánica de Protección de Datos (LOPD) sobre este ámbito, llegando a la conclusión de que, habitualmente, el derecho de confidencialidad va por detrás de la realidad. Se deja en manos de la interpretación, de ahí que el investigador advierta de la inseguridad jurídica respecto a esta materia, y recalque la necesidad de una normativa concreta que regule los datos sanitarios.

Aun así, Aberasturi puntualiza que la LOPD otorga una protección especial a los datos de salud (artículo 7), por lo que les reconoce una salvaguarda más estricta. Bajo este régimen, se deben respetar ciertos principios, como el de finalidad, según el cual los datos no podrán emplearse para un fin distinto al que motivó su recogida. Aberasturi critica que se debería especificar a qué objetivo de todos los posibles en el sector sanitario (asistencia, investigación, entre otros) responde dicha recogida. En cuanto al principio de pertinencia, el autor de la tesis considera conveniente no recabar más datos de los necesarios, ya que el investigador suele creer que, ante la duda, es mejor que sobre información a que le falte, ya que si no podría ser perjudicial para la salud. Otra cuestión a controlar es el principio de veracidad, que implica cancelar los datos del pasado a medida que se actualizan.

LOS PERSONALES Aberasturi también opina que algunos derechos de las personas resultan conflictivos en el ámbito sanitario. Por ejemplo, el de rectificación: «Los datos sanitarios son difíciles de comprender para el ciudadano de a pie, por lo que su titular no debería corregirlos unilateralmente». El autor entiende que se trata de una labor fundamental, pero que debe llevarse a cabo en colaboración con los profesionales sanitarios. También cree que hay que mirar más con lupa el derecho de cancelación porque choca con la normativa sanitaria, que obliga a conservar la documentación clínica durante cierto tiempo. Como solución, en este caso, se debe garantizar que solo se guarden los estrictamente necesarios y que se disocia la información en la medida de lo posible.

El paciente también tiene el derecho de ser informado de un modo que pueda comprender acerca del responsable, destino y uso de sus datos personales. Pero también a que se le brinde toda la información sobre el diagnóstico, tratamiento y pronóstico de su enfermedad en un lenguaje sencillo. Además de ello, hay que darle la posibilidad de participar en las decisiones relacionadas con su tratamiento e incluso de negarse a él, después de que su doctor le explique los pros y los contras de someterse al mismo.

La cancelación de los datos personales no impide la utilización de éstos para reclamar deudas vencidas

La Sala anula la sanción impuesta a Endesa, pues, en contra de lo que entendió la Agencia Española de Protección de Datos, sí atendió a la solicitud del interesado de la cancelación de los datos personales que constaban en sus ficheros, considerando correcta la reclamación posterior a dicha cancelación de una deuda derivada de la previa relación contractual entre las partes. Al respecto señala la Sala que el hecho de que Endesa al acceder al derecho de cancelación no especificase que la misma sólo produciría efectos “pro futuro”, no puede ser interpretado como la imposibilidad de utilizar los datos del interesado para reclamarle deudas vencidas y exigibles correspondientes al periodo en que la relación comercial entre ambos subsistía, pues resultaría contrario a los principios inspiradores del derecho administrativo sancionador que la conducta lícita y legal de la actora dejase de serlo porque accedió a la petición de cancelación sin especificar que ello no impedía la posibilidad de reclamar las deudas pendientes.

 

AUDIENCIA NACIONAL

Sala de lo Contencioso-Administrativo

Sentencia de 29 de abril de 2011

RECURSO Núm: 211/2010

Ponente Excmo. Sr. DIEGO CORDOBA CASTROVERDE

SENTENCIA

Madrid, a veintinueve de abril de dos mil once.

Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del presente recurso contencioso-administrativo número 211/2010, interpuesto por el procurador de los Tribunales don Iñigo Muñoz Duran, actuando en nombre y representación de la entidad Endesa Energía SA Unipersonal, contra la resolución de fecha 17 de noviembre de 2009, confirmada

en reposición por resolución de 25 de enero de 2010, dictadas por el Director de la Agencia Española de Protección de Datos por la que se impuso una sanción de 6000 E por una infracción del art. 16 de la LOPD tipificada como leve en el art. 44.2.a) de dicha norma. Ha sido parte la Administración del Estado, asistida y representada por el Abogado del Estado.

ANTECEDENTES DE HECHO

PRIMERO. Interpuesto el presente recurso y previos los oportunos trámites, se confirió traslado a la parte actora por término de veinte días para formalizar la demanda, lo que verificó por escrito presentado el 5 de julio de 2010 en el que tras exponer los hechos y fundamentos de derecho que estimó pertinentes, solicita sentencia estimatoria del recurso por la que se anule la resolución recurrida.

SEGUNDO. La Administración demandada, una vez conferido el tramite pertinente para contestar la demanda, presentó escrito en el que alegó los hechos y fundamentos de derecho que estimó pertinentes, solicitando una sentencia en la que se declare la conformidad a derecho de las resoluciones impugnadas.

TERCERO. Tras la práctica de las pruebas que se consideraron pertinentes, con el resultado obrante en las actuaciones, y no estimándose necesaria la celebración de vista pública, se confirió traslado a las partes por termino de diez días para la formulación de conclusiones. Presentados los oportunos escritos quedaron las actuaciones pendientes de señalamiento para votación y fallo, fijándose al efecto el día 27 de abril de 2011, fecha en que tuvo lugar la deliberación y votación.

Siendo PONENTE el Magistrado ILMO. SR. D. DIEGO CORDOBA CASTROVERDE.

FUNDAMENTOS JURIDICOS

PRIMERO. El presente recurso tiene por objeto la resolución de fecha 17 de noviembre de 2009, confirmada en reposición 25 de enero de 2010, dictadas por el Director de la Agencia Española de Protección de Datos por las que se impuso la entidad recurrente una sanción de 6000 E por una infracción del art. 16 de la LOPD tipificada como leve en el art. 44.2.a) de dicha norma.

De los datos obrantes en el expediente, así como de las alegaciones formuladas por las partes y pruebas practicadas en el curso de las presentes actuaciones, resultan probados los siguientes hechos con relevancia para dictar la resolución que nos ocupa:

– D. Jesús Luis contrató a finales del año 2005 el suministro de energía eléctrica y de gas natural con la entidad Endesa Energía al considerar que su oferta era más ventajosa que la tenía con la entidad Gas Natural, básicamente por el ahorro que suponía la exención del canon IRC.

– El 2 de abril 2008 se le giró una factura por importe de 108,91 E por el concepto «repercusión canon IRC distribuidora».

– Mediante escrito de fecha 22 de julio de 2008 el Sr. Jesús Luis remitió al entidad Endesa Energía una petición de cancelación de sus datos, indicando que estos no podrían ser cedidos a persona o entidad alguna y que se procediera a acordar la cancelación de los datos personales obrantes en los archivos de dicha empresa o cualquiera otra vinculada a la misma.

– Endesa contestó a esta solicitud el 30 de julio de 2008 comunicándoles que como respuesta a su solicitud de cancelación u oposición a la cesión y el tratamiento de datos a otras empresas «me complace comunicarle que ambas solicitudes han sido atendidas de acuerdo con sus indicaciones. La cancelación dará lugar a la supresión o, en su caso, al bloqueo de datos, conservándose únicamente aquellos que por obligación legal deban mantenerse a disposición de las Administraciones Públicas, Jueces y tribunales para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de estas».

– El Sr. Jesús Luis recibió comunicación del Registro Sectorial de Morosidad de la Asociación Española de la Industria Eléctrica (UNESA) fechado el 4 de febrero de 2009 en el que se le informaba que en esa fecha «ha sido incluido, a instancias de la compañía comercializadora Endesa Energía SAU, en el Registro de Morosidad en el sector de la Comercialización de electricidad y Gas (RSM) detallándose que los datos de impago se refieren a una deuda de gas por importe de 141,17 E con fecha de vencimiento de 2 de junio de 2008.

SEGUNDO. La entidad recurrente funda su recurso en los siguientes motivos de impugnación:

1.º Vulneración del principio de legalidad. Inadecuación de procedimiento. Vulneración del principio de confianza legítima y de la doctrina de los actos propios.

Considera que la Administración demandada no ha iniciado el procedimiento legalmente previsto para garantizar la atención de los derechos de oposición y cancelación sino que prescindiendo del procedimiento legalmente establecido ha acordado incoar un expediente sancionador, por lo que se ha prescindido del procedimiento previsto en los artículos 117 y ss del Real Decreto 1720/2007 contraviniendo el principio de legalidad, falta de motivación y vulneración de confianza legítima y la doctrina de los actos propios. Todo ello por entender que frente a la reclamación del Sr. Jesús Luis la Administración debería haber iniciado un procedimiento de tutela de derechos de oposición y cancelación para que Endesa atendiese adecuadamente los derechos del denunciante.

2.º Vulneración del principio de antijuricidad y tipicidad.

Considera que cuando el denunciante ejercitó su derecho de cancelación de datos personales la entidad atendió a su solicitud y procedió a evitar el tratamiento de sus datos con fines comerciales y cesión de sus datos y que únicamente le reclamó la deuda porque le devolvió una factura al existir obligaciones pendientes de pago derivadas del contrato de suministro cuando este estaba vigente a tenor de lo establecido en el art. 33.1 del Real Decreto 1720/2007 en el que se afirma la posibilidad de la denegación del derecho de rectificación y cancelación cuando los datos personales deban conservarse en base a las relaciones contractuales de las partes.

3.º Vulneración de los principios de culpabilidad y proporcionalidad.

No es posible apreciar en la conducta desplegada por la entidad dolo o culpa alguna por cuanto procedió a contestar al reclamante en el plazo legalmente establecido aunque, al venir devuelta la factura del banco, no fuese procedente la cancelación de sus datos, por lo que no existe en su conducta elemento subjetivo que le haga merecedor de reproche jurídico alguno. Lo único que se ha producido es un error en la contestación al Sr. Jesús Luis puesto que no era procedente cancelar sus datos en relación con las deudas que tenía este pendientes durante la vigencia de su relación contractual.

4.º Falta de motivación en la graduación de la sanción aplicable.

La sanción impuesta vulnera los principios de motivación y proporcionalidad sin justificar las circunstancias la imposición de una multa por importe superior al límite mínimo previsto para las infracciones leves, por lo que de proceder la imposición de alguna sanción en ningún caso esta podría ser superior a los 601,01 E.

TERCERO. Un primer bloque argumental hace referencia a la inadecuación del procedimiento seguido por la Administración para enjuiciar el supuesto que nos ocupa. Esta alegación se sustenta en la afirmación de que se debería haber tramitado un procedimiento destinado a la tutela de los derechos del denunciante pero no un procedimiento sancionador contra dicha entidad. Alegación a la que anuda diferentes vulneraciones referidas al principio de legalidad, inadecuación de procedimiento, vulneración del principio de confianza legítima y de la doctrina de los actos propios.

No puede acogerse este motivo de impugnación, pues el denunciante acudió a la Agencia de Protección de Datos instando la iniciación de un procedimiento sancionador contra Endesa por entender que la citada entidad después de haber admitido y acogido su derecho de oposición y cancelación siguió tratando y cedió a un tercero (Registro sectorial de morosidad) sus datos personales por lo que consideraba que la conducta descrita podía constituir una infracción prevista y sancionada en la Ley de Protección de Datos.

La Agencia Española de Protección de datos consideró que Endesa con su conducta pudo incurrir en una infracción leve tipificada en el art. 44.2.a) de la LOPD «No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda» y tras instruir el correspondiente procedimiento sancionador la consideró responsable de la infracción descrita y le impuso una sanción de 6000 E.

La denuncia presentada por el afectado ante la Agencia de Protección de Datos contra Endesa no pretendía la tutela del derecho respecto a la falta de respuesta o negativa a proceder a la cancelación solicitada, pues la respuesta dada por la compañía Endesa satisfacía su petición de cancelación. El problema se centraba en determinar si pese al reconocimiento formal del derecho de cancelación del afectado, el tratamiento posterior de sus datos por parte de la citada entidad la hizo incurrir en alguna infracción de la LOPD, por lo que el cauce adecuado para depurar la pretendida responsabilidad de la compañía era el procedimiento sancionador seguido al efecto. Queda al margen de esta consideración si los hechos origen de estas actuaciones integran o no el tipo infractor por el que fue sancionada, cuestión que abordaremos a continuación.

CUARTO. La recurrente, en un segundo bloque argumental, impugna la sanción impuesta al considerar que la conducta descrita no constituye infracción alguna. Y ello al entender que cuando el denunciante ejercitó su derecho de cancelación la entidad atendió a su solicitud y procedió a evitar el tratamiento de sus datos con fines comerciales y cesión de sus datos y que únicamente le reclamó la deuda porque le devolvió una factura al existir obligaciones pendientes de pago derivadas del contrato de suministro cuando este estaba vigente. Y al mismo tiempo considera que se vulnera el principios de culpabilidad pues no es posible apreciar en la conducta desplegada por la entidad dolo o culpa alguna dado que contestó al reclamante en el plazo legalmente establecido aunque, al venir devuelta la factura del banco, no fuese procedente la cancelación de sus datos, por lo que no existe en su conducta elemento subjetivo que le haga merecedor de reproche jurídico alguno. Lo único que se ha producido es un error en la contestación al Sr. Jesús Luis puesto que no era procedente cancelar sus datos en relación con las deudas que tenía este pendientes durante la vigencia de su relación contractual.

La resolución administrativa considera infringido el art. 44.2.a) de la LOPD ) tipifica como infracción leve «No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda». Y para llegar a esta conclusión parte de una afirmación previa consistente en que «la relación contractual entre las partes, suministro de gas natural, exigía el uso de los datos personales del denunciante hasta que la relación hubiera concluido» y tras considerar que la relación contractual no había concluido afirma «En consecuencia, el uso de los datos personales del denunciante era necesario y la cancelación de los mismos no era procedente mientras esa relación no hubiera concluido».

En definitiva, considera que el tratamiento de los datos personales del denunciante, habida cuenta de la existencia de una relación contractual vigente y de la posible existencia de una deuda pendiente, era posible por lo que la compañía suministradora no estaba obligada a cancelar sus datos ni le estaba vedado poder seguir tratándolos para exigir el pago de las deudas que la relación contractual entre ambos había generado.

Pese a ello considera, que «La respuesta a la solicitud de cancelación debió de dejar bien claro que por ese motivo la cancelación debía de ser denegada. Al no hacerlo así estamos ante un supuesto de no atención -por motivos formales- de una solicitud de cancelación en los términos establecidos en el precepto citado».

Las conclusiones alcanzadas por la Agencia de Protección de datos, a la vista de estos razonamientos, resultan sorprendentes y no pueden ser compartidas. La entidad Endesa cuando fue requerida por el interesado para que cancelará los datos personales del afectado que constaban en sus ficheros no desatendió, ni por motivos formales ni de fondo, la solicitud del interesado, antes al contrario, contestó de forma expresa y por escrito al afectado haciéndole saber que accedía a su petición en los siguientes términos: «me complace comunicarle que ambas solicitudes han sido atendidas de acuerdo con sus indicaciones. La cancelación dará lugar a la supresión o, en su caso, al bloqueo de datos, conservándose únicamente aquellos que por obligación legal deban mantenerse a disposición de las Administraciones Públicas, Jueces y tribunales para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de estas». Es por ello que no puede sostenerse, tal y como afirma la resolución administrativa impugnada, que la entidad sancionada incumpliera el deber de atender la solicitud de rectificación o cancelación de datos instada por el interesado, y consecuentemente, no se alcanzan a comprender las razones que llevan a la Agencia Protección de Datos a considerar infringido el tipo por el que se le sanciona.

El problema que se plantea es otro bien distinto. La entidad recurrente, después de haberle comunicado al interesado que accedía a la cancelación y bloqueo de sus datos personales, le reclamó una deuda derivaba de su previa relación contractual y que al parecer había resultado impagada. El hecho de que Endesa al acceder al derecho de cancelación no especificase que dicha cancelación solo produciría efectos «pro futuro», tanto para dar por concluida la relación comercial que les vinculaba como para la futura remisión de publicidad u otro tipo de tratamiento de sus datos futuros, no podía ser interpretado como la imposibilidad de utilizar los datos del recurrente para reclamarle deudas vencidas y exigibles correspondientes al periodo en que la relación comercial entre ambos subsistía, otra interpretación de esta comunicación debe reputarse absurda y desproporcionada. El derecho de oposición y cancelación de datos no puede ser utilizado como mecanismo liberatorio o de condonación de deudas vencidas y, por ende, la entidad Endesa se encontraba autorizada a seguir tratando los datos personales del cliente con la finalidad de reclamarle las deudas pendientes, así lo reconoce la propia Agencia de protección de datos y lo dispone el artículo 6.2 de la LOPD («no será preciso el consentimiento cuando los datos de carácter personal…cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento») y el art. 16 de dicha norma, referente al derecho de rectificación y cancelación, dispone en su apartado quinto que «Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su cado, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado» y en similares términos se pronuncia el art. 33.1 del Real Decreto 1720/2007.

El hecho de que en respuesta a su petición de cancelación no se le especificase que dicha cancelación tan solo operaba para el futuro no puede considerarse el incumplimiento del deber de cancelación, ni puede reputarse un tratamiento inconsentido por lo que carece de toda lógica y resulta contrario a los principios inspiradores del derecho administrativo sancionador que la conducta lícita y legal de dicha entidad dejó de serlo porque accedió a la petición de cancelación sin especificar que ello no impedía la posibilidad de reclamar las deudas pendientes.

QUINTO. A los efectos previstos en el art. 139 de la Ley reguladora de esta jurisdicción en materia de costas procesales, no se aprecia temeridad o mala fe en ninguno de los litigantes.

VISTOS los preceptos citados y demás normas de procedente aplicación,

FALLAMOS

QUE PROCEDE ESTIMAR el recurso interpuesto por la entidad Endesa Energía SA Unipersonal, contra la resolución de fecha 17 de noviembre de 2009 y contra la resolución de 25 de enero de 2010 que la confirma en reposición, dictadas por el Director de la Agencia Española de Protección de Datos por la que se impuso una sanción de 6000 E por una infracción del art. 16 de la LOPD tipificada como leve en el art. 44.2.a) de dicha norma, anulando las resoluciones administrativas sin hacer expresa condena en costas.

Notifíquese a las partes la presente resolución indicándoles que contra la misma no cabe recurso de casación.

Así, por esta nuestra sentencia de la que se llevará testimonio a las actuaciones, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid a

LA SECRETARIA JUDICIAL

 

Nuevo director de AEPD lidiará con la nueva directiva de protección de datos

El nuevo director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, ha tomado hoy posesión de su cargo, desde donde tendrá que lidiar con la futura directiva de la Unión Europea que regirá en este ámbito.

El ministro de Justicia, Francisco Caamaño, ha presidido el acto en la sede de esta institución, tras la aprobación del nombramiento de Rodríguez Álvarez por Real Decreto en el Consejo de Ministros del pasado viernes.

«Al nuevo director y a esta Agencia les tocará, ni más ni menos, que lidiar con la nueva directiva europea de protección de datos», ha adelantado Caamaño, quien ha dicho que éste será un «nuevo reto» para España y para este organismo, siempre con el objetivo de velar por los derechos y las libertades de todos los ciudadanos.

El titular de Justicia ha expresado su confianza en la tarea que emprende ahora el responsable de la AEPD, con el compromiso de que la «responsabilidad pública» de su trabajo vaya «dirigida hacia los demás».

Ha confesado que esta tarea no resulta fácil en el «mundo cada vez más complejo» de la sociedad de la comunicación, con un «flujo constante» de datos, donde «la información es poder» y puede amenazar la intimidad de los ciudadanos.

Caamaño ha recordado que la Agencia «se ha labrado un sitio paso a paso, trabajo a trabajo, memorando a memorando, expediente a expediente» al tiempo que se ha fraguado un lugar en la comunidad internacional hasta convertirse en «un referente» del pensamiento y de los debates en torno a la protección de datos.

El 71% de los españoles, muy preocupado por dar datos personales en la Red

El 71 por ciento de los españoles se muestra muy preocupado ante la necesidad de revelar datos personales como su número de tarjeta bancaria, dirección domiciliaria y otros datos de carácter personal para poder acceder a servicios en la Red, un punto más que la media europea, y al 57% le parece motivo de preocupación tener que dar sus datos financieros, según una encuesta del Eurobarómetro publicada este jueves.

   A nivel comunitario, los europeos que más preocupados están por tener que dar datos personales en la Red son los luxemburgueses e irlandeses (83% cada uno), portugueses y griegos (80%) y británicos y checos (80%).

   En el lado opuesto, los europeos que menos reparos tienen en dar datos personales suyos en Internet son los suecos (33%), holandeses (49%) y malteses (51%).

   Asimismo, según datos de la encuesta europea, al 54 por ciento de los españoles le parece que tiene que dar demasiados datos personales o al menos más de los necesarios para poder acceder a un servicio en la Red, frente al 43 por ciento de media comunitaria. Junto con los españoles, los portugueses y los húngaros son los que también critican más que se tengan que dar más datos de los estrictamente necesarios.

DATOS FINANCIEROS, LOS MÁS SENSIBLES

   Además, el 57 por ciento de los españoles admite que ve problemático tener que dar sus datos bancarios o financieros en la Red, incluso para realizar compras, aunque al 37 por ciento no le parece una cuestión dramática.  

   La información más sensible para casi todos los ciudadanos europeos son sin duda sus datos personales financieros.

Primeras sentencias con el nuevo régimen sancionador de la LOPD

Son unas 13 las Sentencias de la Audiencia Nacional, que de uno u otro modo hacen referencia en su contenido a las modificaciones de la LOPD por la LES, siendo variadas las consecuencias de tal hecho.

Así por ejemplo, tenemos lo dispuesto en la Sentencia de 1 de abril de 2011, que viene a disponer la aplicabilidad al supuesto de uno de los nuevos criterios para la aplicación de la escala inferior de sanciones a aquélla inicialmente aplicables en función de la infracción. En concreto, se trata del ambiguo supuesto que indica que concurrirá tal disminución de la sanción «b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente». Ello da lugar a la «rebaja» de la cuantía de la sanción de 60.101,21 euros a 10.000 euros, por aplicación en el ámbito sancionador del principio de retroactividad de la norma más favorable.

Por otro lado, la mayoría de Sentencias emitidas desde el 6 de marzo de 2011 considerando ya el texto modificado por la LES de la LOPD, vienen a tener como efecto que la cuantía de la sanción se ve reducida, de manera que puede parecer automática, por la aplicación de los nuevos «tramos» de sanciones. El supuesto más habitual se produce respecto a las infracciones graves, al pasar de una cuantía mínima de 60.101,21 euros a 40.000 euros. Como ejemplos tenemos las Sentencias de 17 de marzo, 18 de marzo, o 13 de mayo,

El argumento para la aplicación del nuevo régimen sancionador viene compilado, por referencia a varias sentencias, en la de 12 de mayo de 2011, cuando dice que «Este Tribunal en diferentes sentencias, entre ellas SAN, Sección Primera, de 10 de marzo de 2011, de 17 de marzo de 2011, de 18 de marzo de 2011  y sentencia de 25 de marzo de 2011 y 11 de Abril del 2011 ha señalado que resulta aplicable esta norma pues es necesario atender al principio de la eficacia retroactiva de las normas sancionadoras más favorables que deriva de lo que señala el artículo 128.2 de la Ley 30/92: Las disposiciones sancionadoras producirán efectos retroactivos en cuanto favorezcan al presunto infractor.»

Cabe quizá destacar otra de las sentencias emitidas, también de abril de 2011, como otra de las ya citadas, en que se mantiene el resultado de la aplicación del artículo 45.5 de la LOPD sin que el cambio de redacción «sufrido» por el mismo afecte, ni para bien ni para mal, a la resolución impugnada. De hecho, la Audiencia Nacional viene a indicar expresamente que aplica el mismo criterio de graduación que en la Resolución recurrida, sólo que con los nuevos baremos establecidos en la Ley 2/2011.

En definitiva, todavía nos queda mucho por aplicar y conocer respecto a los últimos cambios en la LOPD. Y ello ya sólo con el «famoso» Apercibimiento del artículo 45.6 de la norma, incorporado (al menos) a las Resoluciones sancionadoras de 25 y 28 de marzo y 7 de abril de 2011. Pero en todo caso, las sentencias citadas y aquellas otras similares dictadas en los últimos meses nos ofrecen un apoyo interpretativo importante en los Procedimientos Sancionadores que tengamos abiertos. Saber aprovechar ese apoyo será clave para reducir el impacto, principalmente económico, de los mismos.

La AEPD demanda a empresas y organizaciones una especial atención en la garantía de la seguridad de los datos de sus usuarios en Internet

• Exige que se extreme la diligencia en la adopción de medidas de seguridad de los datos en la Red y se adopten medidas urgentes de mejora de sus políticas de privacidad
• En los últimos meses la AEPD ha abierto diversas investigaciones a empresas y organizaciones relativas a posibles “brechas de seguridad” que habrían permitido el acceso no autorizado a datos personales de miles de usuarios.
• La Ley impone obligaciones en materia de seguridad y confidencialidad de la información, que las empresas deben respetar en los servicios prestados a través de Internet al igual que en el ámbito off-line.
• La expansión de Internet requiere de garantías para los ciudadanos, que disminuyan la desconfianza en la seguridad para la privacidad de Internet.
• Con motivo del Día de Internet, la AEPD ha publicado una sección Web https://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/index-ides-idphp.php, con información práctica sobre el rastro de los datos personales en la Red, los riesgos asociados a servicios de Internet, guías, recomendaciones y vídeos.

Con motivo de la celebración del Día Mundial de las Telecomunicaciones y Sociedad de la Información -también conocido como Día de Internet-, la Agencia Española de Protección de Datos (AEPD), hace un llamamiento a los responsables de las empresas y organizaciones que prestan servicios a través de Internet para que adopten medidas urgentes de mejora de sus políticas de privacidad y una diligencia mayor en la implantación de medidas de seguridad de los datos de sus usuarios.
En las últimas semanas se han conocido destacados sucesos relativos a posibles brechas de seguridad o accesos no autorizados a datos personales de miles de usuarios de grandes compañías que ofrecen servicios a través de Internet, tales como Sony, Nintendo o Facebook, por las que la AEPD tiene actualmente abiertas investigaciones, que se suman a las ya iniciadas por hechos similares a otras compañías y organizaciones en meses anteriores.
En este sentido, en el marco del día de Internet, la AEPD, reclama a empresas y organizaciones un compromiso decidido con la adopción de políticas que garanticen la privacidad de los usuarios y la seguridad de los datos en la red, y recuerda que la Ley impone obligaciones en materia de seguridad y confidencialidad de la información, que las empresas deben respetar en los servicios prestados a través de Internet al igual que en el ámbito off-line.
Además, la AEPD destaca que el proceso de revisión de la Directiva de Protección de Datos del 95, actualmente en curso e impulsado por Comisión Europea al objeto de adaptar sus disposiciones al mundo de las nuevas tecnologías, fija entre las prioridades y líneas maestras del futuro marco legal europeo, reforzar el control de los ciudadanos sobre los propios datos, e introducir nuevos principios, como la noción de privacidad desde el diseño o “privacy by design”. Este principio exige la realización de un análisis escrupuloso de las implicaciones que
un servicio de Internet -antes de ofrecerlo a los usuarios- tiene para la privacidad y la adopción de las medidas necesarias para garantizar la seguridad de los datos personales.
Asimismo, la revisión de la directiva de protección de datos, contempla la extensión a otros sectores -como el financiero-, de la obligación de las empresas de telecomunicaciones (recogida en la Directiva 136/2009/CE), de notificar las brechas de seguridad a la autoridad nacional competente, así como a particulares y usuarios si la violación de datos personales pueda afectar negativamente a su intimidad o a sus datos personales.
Confianza ciudadana en la seguridad y privacidad en Internet
Para la AEPD, Internet se ha convertido en una herramienta imprescindible en todos los ámbitos de la sociedad actual, pero se hace necesaria la adopción de medidas necesarias para conciliar su expansión y funcionamiento con el respeto a los derechos y a las normas de privacidad que operan en el mundo físico, y disminuir los riesgos para la privacidad y seguridad de la información que se pueden plantear en la Red.
La expansión de Internet requiere de garantías para los ciudadanos que disminuyan la desconfianza existente en la seguridad de la privacidad de Internet. En este sentido, se recuerda que los datos de la encuesta del CIS sobre privacidad y protección de datos realizada a finales de 2009, reflejaban una alta desconfianza de los ciudadanos sobre la seguridad y privacidad de Internet. Entre otros indicadores, esta encuesta destacaba que un 56,6% de los ciudadanos españoles consideraban que Internet ofrece una seguridad y privacidad de los datos baja, y más del 70% cree que su uso favorece la intromisión en la vida privada.
Recomendaciones para usuarios
Con motivo del Día de Internet, la AEPD ha incluido un espacio en su página Web (https://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/index-ides-idphp.php), donde ofrece contenidos de diversa índole relacionados con Internet. La página destina un apartado a explicar el rastro que dejan los usuarios en Internet: desde los que se aportan voluntariamente al darse de alta en servicios (como las redes sociales, portales de contactos o de compra on-line), a los que puede generar nuestra navegación en Internet -como las Cookies-, u otros que pueden publicarse en sitios Web sin nuestro conocimiento.
Asimismo, se incluye un capítulo dedicado a explicar los servicios que ofrece Internet, así como los riesgos asociados a esos servicios. Se recogen servicios como correo Web, buscadores, redes P2P, chats o mensajería instantánea, aunque quizá el ejemplo más significativo es el de las redes sociales, cuyo auge ha provocado un nivel de divulgación de información personal sin precedentes, lo que aparte de ventajas, también entraña riesgos, sobre todo para el colectivo de menores. Por este motivo, la AEPD viene reiterando la necesidad de que los proveedores de servicios de Internet, como las redes sociales, se comprometan activamente para que la implantación de sistemas de verificación de la edad dejen de ser una asignatura pendiente en el campo de las plataformas sociales.
Además, se ha introducido un enlace desde el que se da acceso a guías con recomendaciones a usuarios de Internet, a menores, o sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales. Existe, no obstante, un enlace específico de recomendaciones que incide en la necesidad de crear una cultura para la protección de los datos de los ciudadanos en Internet, especialmente en entornos como las redes sociales. Finalmente, se incorporan secciones con vídeos y enlaces a otras páginas de interés.
Día de Internet
El Día de Internet es un proyecto cuyo objetivo es difundir y promover el uso de Internet en la sociedad y conseguir que sea cada vez más accesible para las personas que tienen alguna discapacidad. En definitiva, el Día de Internet, cuya primera edición tuvo lugar el 25 de octubre de 2005, pretende dar a conocer las posibilidades que ofrecen las nuevas tecnologías para mejorar el nivel de vida de los ciudadanos.

Crecen un 56% las reclamaciones para borrar datos personales de internet

El llamado «derecho al olvido en internet» es cada vez más reclamado por los ciudadanos. Según la memoria de la Agencia Española de Protección de Datos (AEPD), presentada hoy, las solicitudes de ciudadanos que piden que se cancelen sus datos en la Red o que se oponen a que éstos sean recuperados por buscadores ha crecido un 56 por ciento hasta acercarse al centenar, frente a las 57 recibidas en 2009, las 18 en 2008 y en 2007 sólo tres. En concreto, se trata de peticiones para que la Agencia tutele los derechos de cancelación y oposición, por la publicación de datos personales, principalmente, en diarios oficiales, medios de comunicaciones digitales y sentencias, y su indexación por parte de buscadores.

Asimismo, la AEPD resolvió en este ámbito en torno a 110 tutelas en 2010 -frente a las 24 de 2009-, de las cuales 98 se refirieron al derecho de cancelación y oposición de ciudadanos respecto a la indexación por buscadores de internet de datos. El 75,5% de las resoluciones estimaron las reclamaciones de los ciudadanos.

El director de la Agencia, Artemi Rallo -cuyo mandato finalizará en las próximas semanas tras cuatro años al frente de la institución-, ha explicado durante la presentación de la memoria que el número de actuaciones de investigación iniciadas en 2010, por denuncias y de oficio, alcanzó las 4.302, lo que supone un incremento respecto al año anterior del 4%, y que las solicitudes de ciudadanos para que la institución tutelase sus derechos a acceder, cancelar, oponerse o rectificar sus datos, alcanzaron las 1.643.

Por ámbitos de actividad que acumularon un mayor número de reclamaciones y actuaciones de investigación, en primer lugar se situó el sector de las telecomunicaciones, con 1.170 actuaciones de inspección iniciadas, y el sector de la videovigilancia, con 819, con un incremento porcentual cercano al 29% y al 14% respectivamente. Le siguen entidades financieras (691), sector que tradicionalmente se ubicaba en segunda posición, Internet (168), y las comunicaciones comerciales no solicitadas, spam (126).

Entre los principales motivos de denuncia y reclamación registrados en 2010, como en años anteriores, destacan las relativas al tratamiento de datos en la esfera de la morosidad, con cerca de 900 actuaciones previas de investigación -principalmente vinculadas a los sectores de telecomunicaciones y financiero, y suministros de energía-, por cuestiones como la inclusión indebida de datos en ficheros de morosidad, cesión de datos a empresas para el recobro de deudas, vulneración del deber de secreto al intentar cobrar la deuda, divulgando la supuesta cuantía a familiares y allegados para forzar el cobro, o la utilización de datos para la contratación fraudulenta de servicios.

En la esfera de la morosidad, destaca asimismo que en 2010, la AEPD inició 311 procedimientos de tutela de derechos que tenían relación con el derecho de cancelación, alegando una indebida inclusión en ficheros de morosos. Asimismo, se multiplicaron las consultas a la Agencia sobre ficheros de morosos, destacando el aumento de preguntas relativas al cobro de deudas por terceros distintos del acreedor, como despachos de abogados o empresas de recobro.

Entre las reclamaciones relacionadas con el ámbito de la videovigilancia, que se consolida como una inquietud habitual de los ciudadanos, destacan las reclamaciones sobre la ausencia de carteles informativos, la grabación o captación de imágenes de la vía pública, y la instalación de cámaras en espacios comunes en comunidades de propietarios y garajes.

Denuncias contra las redes sociales

La memoria evidencia también la consolidación de la relevancia adquirida por internet. En concreto, se iniciaron 168 actuaciones de investigación relacionadas con servicios prestados a través de Internet, y vinculadas principalmente a casos de insuficiente implantación de medidas de seguridad, difusión no autorizada de datos y suplantación de identidad.

Entre los servicios que aglutinaron mayor número de denuncias se encuentran las redes sociales, con una tendencia creciente de denuncias y tutelas; la difusión de datos en foros o blogs; portales de video, y portales de contactos personales; los servicios de correo electrónico, por no utilizar la copia oculta en el campo de direcciones; y Servicios de Comercio Electrónico y Administración Electrónica, por vulnerabilidad de los sistemas de seguridad de los datos. Asimismo, se han registrado denuncias relativas a servicios de localización de información personal, con datos personales no actualizados relativos a nombre y apellidos, domicilio, teléfono y operador incorporándose un mapa-callejero del domicilio, en directorios o buscadores de personas.

Empezamos hoy

Comenzamos hoy con este blog que pretende ser un acercamiento al mundo de la protección de datos desde Salamanca.

La Ley Orgánica de Protección de Datos exige que todas las entidades públicas o privadas adopten medidas para la protección de los datos de carácter personal que poseen. Estas medidas son, por un lado, de carácter jurídico, y por otro, de carácter tecnológico. Y todas ellas son las que te ayuda a instaurar Tformas, Consultores en LOPD y LSSI.