La mejor forma de evitar sanciones es mediante la correcta observancia y cumplimiento de la LOPD, así como con la completa cooperación con los inspectores de la AEPD si ésta considerase que la empresa en cuestión es susceptible de ser investigada.
Si pese a haberse cumplido en la medida de lo posible las anteriores premisas la Agencia considerase la empresa como infractora de alguno de los preceptos de la ley, y como consecuencia impusiera una sanción, deberá interponerse un recurso de reposición ante el órgano que dictó la resolución, en este caso la AEPD. Si de dicho recurso se desprende una resolución desestimatoria por parte de la Agencia, se cierra la vía administrativa.
En caso de que se dé la desestimación del recurso, contra dicha resolución que como se ha dicho cierra la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de la misma, recurso contencioso-administrativo, según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, ante la sala correspondiente de la Audiencia Nacional. Dicho recurso se realizará con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.
Si la Audiencia Nacional desestimase el recurso interpuesto, ratificando así la sanción interpuesta por la AEPD, siempre queda recurso ante el Tribunal Supremo, siendo éste el último escalón ante el que se puede acudir, de tal forma que si el Tribunal Supremo confirma la sentencia de la Audiencia, la sanción deviene firme.
Departamento de Comunicación
Áudea Seguridad de la Información
Las medidas de seguridad técnicas y organizativas recogidas en el RLOPD, deben aplicarse según la clasificación y sensibilidad de los ficheros que contienen los datos personales objeto de tratamiento.
Así, conforme a la tipología de datos personales pueden diferenciarse tres grupos
1.1 Nivel Básico
La información más habitual que comprende este nivel de seguridad, son los datos definidos como meramente identificativos, tales como: D.N.I. o N.I.F., NUM.S.S. o MUTUALIDAD, NOMBRE, APELLIDOS, DIRECCION, TELÉFONO, FIRMA/HUELLA u otra información biométrica de identificación, IMAGEN/VOZ, E-MAIL, NOMBRE USUARIO, FIRMA ELECTRÓNICA, NÚMERO DE TARJETA, MATRÍCULA, etc.
1.2 Nivel Medio
Los datos a los cuales se les aplica una seguridad nivel medio son aquellos contenidos en ficheros con información relativa a:
Además de las medidas de nivel básico, se aplicarán a los ficheros que contengan este tipo de información, las medidas correspondientes al nivel medio.
1.3 Nivel Alto
Las medias de seguridad de nivel alto se aplican a los ficheros que contengan datos personales en relación a la información sobre:
Las medidas de seguridad aplicables para esta tipología de datos corresponden a una acumulación de las de nivel básico, medio y alto.
No obstante, el RLOPD ha introducido una serie de excepciones sobre las medidas aplicables a los datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, permitiendo la aplicación de las medidas de nivel básico cuando:
Para los datos exclusivos de salud, se permite aplicar las medidas de nivel básico, cuando se refieran al grado de discapacidad o declaración de condición de discapacidad o invalidez de una persona, y siempre que el tratamiento esté asociado al cumplimiento de deberes públicos.
La introducción de estas excepciones en el RLOPD, permitirá facilitar el tratamiento de la información exclusivamente de salud a un gran número de Responsables del tratamiento, al posibilitar la declaración y aplicación a los ficheros relativos a la administración y gestión del personal de las medidas de nivel básico, siempre que puedan acogerse a dicha excepción.
Departamento de Comunicación
Áudea Seguridad de la Información
Las transformaciones de las sociedades avanzadas y la irrupción de las llamadas “nuevas tecnologías”, en todos los terrenos, han traído como consecuencia la popularización y el uso habitual de elementos que hasta hace poco eran privativos de entornos muy restringidos, bien por sus usos profesionales y aplicaciones muy específicas o simplemente por sus elevados costes.
Actualmente podemos contemplar con normalidad el uso de los CCTV (circuitos cerrados de televisión) y sistemas de videovigilancia por las empresas, comercios, escuelas o comunidades de vecinos que cada vez más optan por este sistema para blindarse contra los actos vandálicos.
El éxito de la implantación de los sistemas de videovigilancia se debe a la mayor sensación general de seguridad y el proceso de regularización de muchos de estos dispositivos que se están adecuando a la normativa de protección de datos y que ha propiciado de manera significativa el incremento del fenómeno de instalar estos mecanismos en los ámbitos privados.
De acuerdo con la información aportada por el director de la Agencia Española de Protección de datos (en adelante AEPD) Artemi Rallo en una reciente entrevista, últimamente, se han disparado las inscripciones de los ficheros de videovigilancia en el entorno privado.
En este sentido cabe destacar, que en el 2006 apenas eran unas 200 entidades que se declaraban responsables de cámaras de videovigilancia, para sumarse otras 5000 al año siguiente y a fecha de hoy son unas 21.000.
Además, en los dos últimos años, se ha triplicado el número de ficheros que tenían registrados las comunidades de vecinos en el Registro General de Protección de Datos (en adelante RGPD), y ha pasado de 341 ficheros en el año 2007 para alcanzar los 1.108 el año pasado. Con estas medidas se pretende evitar los actos de vandalismo, intrusismo y robos dentro de los vehículos en los parkings y garajes. Hay que tener en cuenta que a parte de poder grabar los posibles actos delictivos, las cámaras cumplen una función disuasoria y con su instalación los incidentes bajan, además de mejorar la convivencia entre los vecinos.
La sensación de seguridad que aportan los sistemas de videovigilancia a los empresarios, comerciantes y comunidades de vecinos ha provocado también el auge de las empresas de seguridad que instalan este tipo de dispositivos y que a pesar de la actual complicada situación económica, han visto incrementar sus ventas en el último año de hasta un 40%. En cuanto a los precios, los modelos de videovigilancia que se pueden encontrar actualmente en el mercado pueden ir desde los 1000 euros – con un grabador, dos cámaras y un monitor- hasta los más sofisticados a partir de los 6.000 euros.
Los principales motivos por los que se instalan las videocámaras en las empresas están dictados por la seguridad, su aplicación en los procesos de selección de personal y control y vigilancia de los puestos de trabajo. La instalación de las cámaras obliga a los empresarios a la inscripción de los ficheros de videovigilancia en el RGPD y la adopción de las medidas de índole técnica y organizativa que garanticen la seguridad de las imágenes y eviten su alteración, perdida, tratamiento o acceso no autorizado. Con carácter general a estos ficheros se aplica el nivel básico de protección, sin embargo puede ocurrir que su nivel sea más alto, por ejemplo en caso de su utilización en algunos procesos de selección de personal (nivel medio) o en medicina, para verificar las respuestas ante determinados estímulos (nivel alto). Igualmente, cuando las imágenes se cedan a la autoridad judicial o a las Fuerzas y Cuerpos de Seguridad con ocasión de un delito, entonces se convierten en datos relativos a las investigaciones policiales y los ficheros de estas autoridades aplicarán el nivel alto de seguridad.
No obstante, a parte de las ventajas que aportan los sistemas de videovigilancia, su instalación impone determinadas obligaciones a los empresarios. El montaje de las cámaras en las empresas no puede ser un acto arbitrario al gusto del empresario sino que debe estar justificado, se tiene que instalar de la forma menos agresiva posible para que sea lo menos intrusiva en la privacidad de los trabajadores. Se admitirá esta medida sólo en casos que impidan la adopción de otra más idónea. Por ejemplo, no se autorizará la instalación de las cámaras para el control horario del personal cuando exista la posibilidad de fichar con la tarjeta de acceso u otro medio equivalente.
Respetando en todo momento la dignidad e intimidad de las personas, los empresarios tienen que tomar en especial consideración, la correcta ubicación de las cámaras. En ningún caso se instalarán las cámaras en baños, vestuarios, taquillas o zonas de descanso. Para evitar las grabaciones de las conversaciones o actos de carácter privado, las imágenes sólo pueden captarse en los espacios indispensables para satisfacer finalidades de seguridad o control laboral. Además, los empresarios no pueden utilizar las imágenes de los empleados con fines comerciales, publicitarios o formativos salvo que medie la autorización de los interesados a tal efecto.
Así mismo, hay que garantizar el derecho a la información en la recogida de las imágenes con la información específica a la representación de los trabajadores. En las instalaciones, en los sitios visibles, se colocarán los carteles anunciadores. Conforme a lo establecido en la instrucción 1/2006 de la AEPD en el cartel informativo se identificará al responsable de tratamiento, su dirección y los derechos que puedan ejercer los afectados.
En particular las entidades privadas que quieran instalar los sistemas de videovigilancia deben cumplir con los siguientes requisitos:
- La creación de un fichero de videovigilancia exigirá su previa notificación de inscripción en el RGPD.
- El uso de las cámaras sólo será admisible cuando no exista un medio menos invasivo.
- Se tomarán las medidas de seguridad adecuadas al tipo de las imágenes captadas.
- Deberá informarse sobre la captación y/o grabación de las imágenes a los interesados. Se les facilitará el ejercicio de sus derechos a acceder a las imágenes y a cancelarlas
- Las imágenes tendrán que ser canceladas en un plazo máximo de un mes desde su captación.
- Si se contratase las empresas de seguridad que realizasen labores de videovigilancia se formalizarán con ellas los contratos de acceso por cuenta de terceros.
- Las empresas que realicen la instalación y el mantenimiento de los sistemas de videovigilancia en sus oficinas deben estar autorizadas por la Agencia Española de Protección de Datos
- Las cámaras y videocámaras no podrán obtener imágenes de espacios públicos. Se orientarán de manera que captarán sólo las imágenes de espacios privados.
Autor: Karol Sedkowski
Para una vez que aplaudimos de buena gana la potestad sancionadora de la Agencia Española de Protección de Datos, nos dura el regocijo lo que el agua en un cesto. Me refiero a la multa impuesta por los muchachos de Maese Artemi a los de Alí Babautista, digooooo, Teddy Bautista. Sí, damas y caballeros, la famosa multa de 60.101 euros a la SGAE por grabar a hurtadillas una boda se ha visto reducida a la nada virtud a la actuación de nuestra ilustre Audiencia Nacional.
En un afán recaudatorio sin precedentes (excepto cuando se presentan para cobrar los derechos por los conciertos benéficos a favor de los menos favorecidos), la entidad de gestión decidió en el año 2005 contratar los servicios de un detective privado quien, sin recato o pudor ninguno, allí se plantó y en la boda se coló (espero que no me cobren por esta cover version), dispuesto a grabar imágenes de la misma, en base a las cuales la SGAE cortó su parte del pastel por uso no autorizado de música protegida.
Cuando los alegres inspectores de la AEPD tuvieron conocimiento de tamaña tropelía, no lo dudaron un segundo y acudieron al rescate del indefenso, imponiendo a la SGAE la nada despreciable cantidad de 60.101 euros por recabar datos de los afectados sin solicitar el debido consentimiento. Algo que es cristalino para cualquiera de nosotros, añadiendo las agravantes de invasión de la intimidad, nocturnidad y alevosía y dando origen a una entretenida guerra de siglas… AEPD vs. SGAE.
Pues bien, llegado este punto, la SGAE decidió no rendirse, ni siquiera después de que el juzgado número uno de lo Mercantil de Sevilla declarase nulo el video por su inconstitucionalidad, afirmando además que se trata de una invasión de la intimidad y anulando por tanto la multa al salón de bodas. E hicieron bien. La Audiencia Nacional, en un inesperado giro de los acontecimientos, se puso a favor de los poderosos y desechó cualquier idea de que nos encontremos ante un tratamiento de datos sin consentimiento, demostrándonos de nuevo que la Justicia no es tan ciega como debería… o quizá demasiado.
¿Y en que se han basado los próceres de tan magna instancia para afirmar tal descalabro? Básicamente en que los datos no se incorporaron a un fichero “organizado o estructurado con arreglo a determinados criterios que permitan el tratamiento de los datos“.
¿Y qué consideran entonces nuestros queridos magistrados que es un fichero? Imagino que no deben compartir la definición ofrecida por la Ley (“todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso“).
Pero no nos quedemos a las puertas de esta fascinante obra de ficción. Afirma igualmente que “los datos personales de la denunciante, en concreto su imagen, no fueron recogidos con intención de ser incorporados a un fichero estructurado que permitiera posteriores tratamientos“. ¿Ah, no? ¿Y que querían hacer con la grabación? ¿Una película de Tom Hanks y Meg Ryan?
Nuevamente, la Audiencia parece no estar de acuerdo con la definición de tratamiento de datos que ofrece la Ley: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias“. Es decir, básicamente TODO.
¿¿Y acaso una cámara de video no permite todo eso?? ¿¿No se pueden recoger, grabar, conservar, elaborar, modificar, etc., datos en una cinta o cualquier otro soporte admitido en las actuales cámaras de vídeo? Creía yo que sí, vaya. Agradezcamos que han venido los señores magistrados, cual progenitores preocupados, con gesto adusto y dedo en alto, para sacarnos de nuestro error.
Vamos, que o yo soy tonto, lo cual es harto probable aunque irrelevante en este caso, o los magistrados de la Audiencia no saben leer. O, a pesar de saber leer interpretan lo que les da la gana. O lo que les da la gana a otros, vaya usted a saber. A ver si interpretan la Ley igual para esa asociación de vecinos de la calle Montera que grabó a una serie de prostitutas y proxenetas para denunciar la peligrosa situación que se vive en esa calle y a la que están continuamente expuestos. Aunque no creo, porque la finalidad de estos vecinos no es tan moralmente elevada como la de mis primos de la SGAE. O eso o no cuentan con el poderoso caballero, que diría aquel. Menos mal que la Audiencia admite, a regañadientes, eso sí, que “la conducta de la SGAE ¿pudo? vulnerar el derecho a la intimidad” que garantiza nuestra Carta Magna. Pudo, claro.
Por lo que he podido comprobar, han puesto a un grupo de corsarios a la caza del pirata. Bienvenido Mr. Francis Drake. Resulta que ahora la SGAE tiene patente de corso para saquearnos al gusto. Espero que no les dé a ustedes por cantar en la ducha, ya que al acecho podría encontrarse Hércules Poirot dispuesto a saltarse las más elementales normas del buen gusto y la decencia (grabarme a mí en la ducha y cantando es susceptible de garrote vil, pero no por el hecho, sino por el sujeto grabado) con tal de que ningún maleante aficionado a la música gratuita se las dé de listo y pretenda esquivar el justo canon.
Desde mi humilde punto de vista, Teddy Bautista es merecedor del Oscar al mejor actor de reparto por su Judas en Jesucristo Superstar, ya que lleva 34 años interpretando el papel. Y cada día mejor.
Autor: Rafael Eguilior
Áudea Seguridad de la Información
En apenas 3 años desde su creación, Tuenti ha conseguido posicionarse como la segunda página más visitada de España y ha entrado en el Top500 de Alexa como uno de los portales con mayor ritmo de crecimiento en Internet, convirtiéndose en la reina de las redes sociales del panorama español.
Esta estructura interactiva se soporta fundamentalmente gracias a la información aportada por los propios usuarios, sus comentarios, sus fotos, sus vídeos… en definitiva, sus datos personales.
Por ello, y como muestra de su preocupación por la protección de los datos de sus usuarios, el pasado mes de abril, Tuenti alcanzó un acuerdo con la Agencia Española de Protección de Datos que ha servido para marcar las buenas prácticas que permitan el cumplimiento de la normativa.
En Áudea, Seguridad de la Información, nos sentimos orgullosos de que Tuenti haya elegido nuestro servicio de asesoramiento continuo para cumplir con estas buenas prácticas y enfrentarse a la problemática que supone confrontar la privacidad de los usuarios con el espíritu de la web 2.0.
Estamos seguros de que la cooperación entre ambas partes nos permitirá alcanzar este objetivo del cual podrán beneficiarse todos los usuarios de Tuenti.
Gracias por confiar en nosotros.
Departamento de Comunicación
Áudea Seguridad de la Información
La denuncia presentada por la recepción de un SMS de contenido comercial en el que se me incitaba a enviar un SMS a un número corto para conocer a una chica (CONOCER AL 7440) se archiva por falta de pruebas.
Mi número de teléfono móvil no aparece en las bases de datos de la empresa denunciada, a pesar de ser la titular y beneficiaria del número 7440. Así de fácil parece saltarse la ley, borrando uno mismo sus propias huellas para que no encuentren pruebas.
En Mayo de 2007 presenté denuncia ante la Agencia Española de Protección de Datos por los hechos que describo con detalle en este artículo.
En resumen, recibí un SMS con el texto: “una persona muy interesada en contactar contigo y conocerte te envía su foto, para descargarla y verla envia la palabra CONOCER al 7440.Foto real C1.2m (mayores 18)“.
Investigando un poco por la red (leer el artículo anterior citado) encontré varias webs donde decenas de usuarios mostraban su descontento ante este mismo mensaje… así que me decidí denunciar los hechos e ir comentando por aquí los trámites por si alguien más se animaba.
Como decía, la denuncia ha sido archivada por falta de pruebas, sin embargo, me gustaría compartir con vosotros los motivos que se han alegado para concluir esto, y otros aspectos no menos relevantes, como que la Resolución guarda absoluto silencio sobre el resto de pretensiones de la denuncia, y un tema sobre acumulación procesal
El recurso de reposición ya ha sido interpuesto.
Para variar, me ha salido un artículo enorme. En azul para los que tengan prisa.
Bueno, los hechos son muy sencillos: recibo el SMS con el texto antes citado.
Al estar completamente convencido de no haber consentido para este tipo de mensajes, y tras descubrir quien anda detrás del “CONOCER 7440?, presentó la denuncia, cuyo texto íntegro facilite a aquellos que me lo solicitaron por email.
El escrito tuvo entrada en la Agencia Española de Protección de Datos el 30 de mayo de 2007.
Las pruebas respecto a la recepción del SMS en mi teléfono fueron una serie de fotocopias en la que se ve el mensaje y el resto de información (foto 1, foto 2, foto 3…).
Tras recibir la denuncia, los Inspectores se ponen manos a la obra y se determina que la empresa que está detrás del 7440 es SIMOES BIS, S.L. Personado el administrador solidario de esta sociedad, manifiesta que los números de teléfono de los destinatarios de los envíos son facilitados por ellos mismos, que previamente han enviado un mensaje al número corto 7440 con el texto del servicio que solicitan.
Por su parte la empresa MENSAJERÍA INALAMBRICA S.L. le presta servicios de apoyo a la gestión de los mensajes de SIMOES… en definitiva existen una relación contractual entre estas dos empresas (cuyos administradores vienen a ser los mismos… curioso).
En relación a la campaña denunciada (CONTACTO AL 7440), manifiestan los administradores de estas sociedades que se realizan campañas en prensa y televisión, pero desconocen si esa campaña en concreto es propia o ha sido contratada por un tercero (toma ya).
A continuación manifiestan que tienen una plataforma que gestiona un sistema de chat, basado en envío y recepción de SMS a usuarios finales; afirman que en ocasiones realizan campañas a usuarios de chat que lleven tiempo sin utilizar el servicio, asegurando que no realizan campañas a usuarios que no hayan usado el servicio ni tampoco se obtienen números de teléfono de personas que no sean clientes del servicio.
Los inspectores accedieron al sistema informático del chat con la herramienta de Microsoft SQL Server. En una tabla llamada “Histo recibidos”, figura el mensaje más antiguo de 1 de junio de 2007; se realizó una búsqueda en esa tabla con el parámetro coincidente a mi número de móvil, sin encontrar resultados (esto es, que mi número no se encontraba en una tabla donde se almacenan los números de los que envían algún SMS al chat).
Ya está, la Agencia ahora alude a diferentes artículos y jurisprudencia para concluir que en virtud del principio de presunción de inocencia, no ha quedado suficientemente demostrado que los titulares del número corto 7440, porque no existen indicios de los que se pueda derivar la existencia de infracción, al “NO CONSTAR MI NÚMERO DE TELÉFONO EN LAS BASES DE DATOS DE LAS EMPRESAS INVESTIGADAS”.
Analicemos la Resolución
De la lectura de las manifestaciones del administrador de la empresa denunciada se colige, sin lugar a dudas, que el usuario ha debido consentir expresamente la recepción de mensajes de contenido comercial remitidos desde el número 7440 ya que en caso contrario, como manifiesta, “no se obtienen números de teléfono de personas que no sean clientes del servicio”. (Como así debe ser según la LSSI).
Los Inspectores buscan en la tabla de la base de datos un mensaje enviado desde mi móvil para un servicio de Chat donde el mensaje más antiguo es de fecha 1/06/2007. Pues bien, esto llama la atención porque, obviamente, jamás se encontrará mi número en una tabla de “Mensajes RECIBIDOS” y menos aun teniendo en cuenta que el mensaje más antiguo es de fecha 1/06/2007 cuando el mensaje de contenido comercial no solicitado llegó a mi móvil el 24/04/2007, esto es, varias semanas antes.
Pero es que es más, aun suponiendo que se guardaran todos los mensajes recibidos, tampoco se encontraría mi número en una base de datos que guarda la información de Mensajes RECIBIDOS, ya que el denunciante no ha enviado ningún SMS en relación a ninguna campaña de Chat; Chat, que por otra parte, se trae a colación en la Resolución sin motivo alguno.
Si yo fuera Inspector no iría buscando en la “bandeja de entrada” de los mensajes, sino en la “bandeja de salida”. Porque entiendo yo, que de lo que se trata es de determinar si estas empresas me han enviado un SMS a mi móvil, no si yo he participado en una campaña de chat en los últimos meses (después de recibir el SMS).
Entiendo que se quisiesen buscar pruebas de que, según la LSSI, al participar en sus campañas de chat, ya habría consentido para la recepción de ese mensaje, pero es que, aun encontrando mi número en esa tabla, tampoco podría ser tenido en cuenta, porque yo recibí el SMS el día 24 de abril, y el mensaje más antiguo en la tabla es de 1 de junio.
Los artículos 21 y 22.1 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Correo Electrónico, según la modificación introducida por la disposición final primera de la Ley 32//2003, de 3 de noviembre, General de Telecomunicaciones, prohíbe el envío de comunicaciones comerciales no solicitadas, en definitiva, el envío de mensajes publicitarios o promocionales por correo electrónico u otro medio de comunicación electrónica, incluido el envío de mensajes SMS a terminales de telefonía móvil, debe haberse solicitado o autorizado expresamente por los destinatarios de los mismos.
Al referirse a las comunicaciones comerciales y a las ofertas promocionales por vía electrónica, el artículo 19 “Régimen jurídico” de la LSSI declara igualmente aplicable la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales. Esta rotunda previsión legal permite afirmar que, al margen de lo establecido en la LSSI, serán exigibles en el tratamiento de datos personales para la realización de comunicaciones comerciales y ofertas promocionales por medios electrónicos el conjunto de principios, garantías y derechos contemplados en la LOPD
Por tanto, en relación al consentimiento para el tratamiento de los datos con la finalidad de enviar comunicaciones comerciales por vía electrónica, es preciso considerar lo dispuesto en la normativa de protección de datos de carácter personal y, en concreto, la siguiente definición contenida en el artículo 3.h) de la LOPD:
“Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen“.
En consecuencia, el consentimiento, además de previo, específico e inequívoco, deberá ser informado. Y esta información deberá ser plena y exacta acerca del tipo de tratamiento y su finalidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.
En nuestro caso, a pesar de aportarse pruebas sobre la recepción del mensaje SMS de contenido comercial no solicitado, NO ha sido posible acreditar, por parte de la denunciada, que tenga el consentimiento anteriormente citado para realizar ese envío. Así, se ha manifestado que se parte del consentimiento de los usuarios, a través de diversas campañas, pero no ha sido posible aportar documento alguno donde se muestre el alta o aceptación por mi parte.
La carga de la prueba no puede recaer sobre el usuario ¿cómo va a probar el usuario que la empresa que envía el SMS NO tiene su consentimiento?… no tiene sentido, por eso se viene exigiendo que los que envían mensajes comerciales estén en disposición de poder probar que cuentan con el consentimiento de los destinatarios.
Casos similares se han resuelto en la Agencia, por ejemplo, el Recurso de Reposición respecto al PS/00219/2004 donde la Agencia afirma:
“CIFDSA manifiesta que disponía del consentimiento del afectado para el tratamiento de los datos realizado, expresado a través del cupón “Hojita Amiga” recibido en fecha 25/03/2002 cumplimentado con los datos en cuestión. Sin embargo, CIFDSA no ha aportado este documento, que hubiese permitido comprobar si el denunciante prestó su consentimiento con las finalidades indicadas y si tal consentimiento resultaba válido a tales efectos, atendidas las exigencias contenidas en las normas de aplicación.“
Yo lo veo claro: dices que tienes el consentimiento para enviar mensajes, muy bien, enséñamelo…. ah, que no lo has guardado… vaya…
Si aun seguís leyendo; En relación a la prueba indiciaria compuesta por fotocopia del teléfono móvil en las que puede leerse el SMS enviado, parece desprenderse de las alegaciones de la Agencia la falta de fuerza concluyente respecto a esta prueba.
No obstante, la propia Agencia no tuvo reparos en admitir esta misma clase de documentos probatorios en la Resolución R/00230/2007, así, en el Antecedente Tercero de esta Resolución, lo que luego daría paso al Hecho Probado 1, se expresa: “Dentro de las actuaciones previas de investigación practicadas por la Inspección de Datos, se han comprobado los siguientes extremos:
1. En la documentación aportada por el denunciante, se adjuntaba una fotocopia realizada sobre la pantalla de su teléfono móvil en el que figura el mensaje SMS recibido.”
Así, el Fundamento IV concluye que:” En el supuesto que se examina, tal y como ha quedado acreditado a través de la documentación que consta en el expediente, en fechas 17/03/2006, 27/04/2006 y 06/06/2006, FROGGIE, S.L. remitió al terminal de telefonía móvil del denunciante tres comunicaciones publicitarias, sin disponer de su autorización expresa y previa, y sin que conste acreditada una relación contractual previa, de conformidad con lo dispuesto en el artículo 21.2 de la LSSI.”.
La “documentación” que se menciona son fotocopias del móvil donde puede leerse el contenido de los mensajes citados.
¿Qué más pruebas puede aportar un usuario?.
Por otra parte, una conducta idéntica de la denunciada ya ha quedado sancionada con anterioridad a la notificación de mi Resolución, así, la Resolución R/00535/2008 instruye a SIMOES BIS, S.L. vista la denuncia presentada por el MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO – SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN, y en base a los mismos e idénticos antecedentes.
Esta Resolución R/00535/2008 contiene el mismo objeto litigioso en todos sus sentidos. Se cita el contenido del SMS de contenido comercial, que es idéntico al denunciado. Se cita como remitente el mismo número corto 7440.
A esto le podemos sumar, que misteriosamente, en los últimos 2 años, la Agencia ha recibido varias denuncias por la recepción sin consentimiento de este mismo mensaje, archivándolas todas por los mismos motivos (excepto la primera que sí fue sancionada).
Bueno, hasta aquí lo referente al mensajito.
Yo tengo una opinión muy clara: esta empresa está y ha estado enviando mensajes SMS de forma indiscriminada a todos los números de teléfono móvil para cazar a incautos. Cuando la denunciaron por primera vez, no supo que hacer y admitió el error, pagó la multa, PERO ¡ aprendió !. Ahora ya no dice que es un error, simplemente niega todos los hechos, e invita a inspeccionar sus sistemas a ver si encuentran algo; claro, ¿cómo van a encontrar algo?, es más que evidentemente que tal cual se envía el SMS comercial se borra toda huella de dicho envío.
¿Así de fácil resulta burlar la ley que nos protege contra estas actividades?.
Vayamos al otro punto.
Además de denunciar la recepción de este SMS, también denunciaba la inexistencia de fichero declarado en la AEPD respecto a esta empresa.
También denuncié que no se respetaba lo establecido en el artículo 21.2 párrafo segundo y del 22.1 ya que, como queda demostrado, la denunciada no ofrece al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Pues bien, sobre todo esto ni la más mínima referencia en la Resolución, cuando la Agencia está obligada a pronunciarse: El artículo 89 de la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común establece:
Artículo 89. Contenido.
1. La resolución que ponga fin al procedimiento decidirá todas las cuestiones planteadas por los interesados y aquellas otras derivadas del mismo. Cuando se trate de cuestiones conexas que no hubieran sido planteadas por los interesados, el órgano competente podrá pronunciarse sobre las mismas, poniéndolo antes de manifiesto en aquéllos por un plazo no superior a quince días, para que formulen las alegaciones que estimen pertinentes y aporten, en su caso, los medios de prueba.
2. En los procedimientos tramitados a solicitud del interesado, la resolución será congruente con las peticiones formuladas por éste, sin que en ningún caso pueda agravar su situación inicial y sin perjuicio de la potestad de la Administración de incoar de oficio un nuevo procedimiento, si procede.
Voy terminando.
Como dije, a quien me lo solicitó le envié copia de la denuncia que había presentado por si también quería denunciar él. Pues se ha dado la casualidad, que 3 meses después de tener entrada mi denuncia, tuvo entrada la de otro lector (saludos E.Q.R.)
Indica el artículo 73 de la Ley 30/1992: “El órgano administrativo que inicie o tramite un procedimiento, cualquiera que haya sido la forma de su iniciación, podrá disponer su acumulación a otros con los que guarde identidad sustancial o íntima conexión.”
Perfecto, la denuncia posterior se acumula a la mía inicial, sin problemas. Ahora bien, lo que ya no le encuentro sentido, es que se acumulen las dos pero nos envíen a ambos la misma Resolución, sin personalizar.
Me explico, yo he recibido la Resolución de mi denuncia, donde aparecen TODOS los datos de D. E.Q.R., su nombre y apellidos completos, su dirección y su teléfono móvil. Y a la inversa, él ha recibido todos mis datos.
¿Podría esto suponer una vulneración del artículo 10 de la LOPD?. Yo creo que sí; la acumulación procesal es correcta, pero la forma de comunicar la Resolución entiendo yo que vulnera la LOPD, ya que deberían haber hecho 2 versiones, una para mi, con sus datos anonimizados (como cuando publican las resoluciones), y otra para él, con mis datos anonimizados.
En fin, he presentado recurso de reposición, sobre todo para que me expliquen por qué han guardado silencio sobre el resto de las pretensiones, aunque también he hecho referencia a todo lo que acabo de exponer.
Fuente: www.samuelparra.com
El aumento de actividad de la Agencia Española de Protección de Datos ha conllevado que el Consejo de Ministros en estos días haya autorizado un suplemento, una provisión de fondos, de 1,1 millón de euros. Dicho importe está destinado a financiar aquellos gastos corrientes en bienes y servicios del organismo.
Ahondando en la noticia, la provisión irá destinada al mantenimiento de equipos informáticos, como el hosting y las comunicaciones telefónicas, web y postales.
Por otro lado, se financiarán los gastos de gestión y recaudación en vía de apremio de las sanciones que se hayan interpuesto por infracción de la Ley Orgánica de Protección de Datos.
Desde luego, las actuaciones del Gobierno nos permiten ver que cada vez la información que posee datos personales está más protegida y, por un lado, tanto empresas y autónomos, como los sujetos individuales, son más conscientes de los derechos y obligaciones que cada uno tiene en base a la LOPD.
Departamento de Comunicación.
Áudea Seguridad de la Información
En estos días se escuchaba una noticia bastante preocupante desde el punto de vista de la seguridad de la información. La Asociación de Internautas, tras un estudio realizado en cámaras de seguridad y cámaras IP, identificó que gran parte de estos dispositivos pueden ser manipulados por terceras personas.
En este sentido un experto de seguridad de la Asociación comprobó que todas las cámaras de vigilancia que se controlen vía web pueden ser manipuladas en la red.
Ni que decir la gravedad de la situación no sólo en el ámbito de la protección de datos personales, sino el todos los aspectos de seguridad de la información.
Este problema, cabe destacar, no sólo se enmarca en territorio nacional, sino que es común a otro países de la Unión Europea.
Soluciones???, la Comisión de Seguridad de la Asociación de Internautas nos ofrece una serie de consejos, destacando los siguientes:
En conclusión, todas las medidas que se tomen son pocas para salvaguardar nuestra información.
Departamento de Comunicación
Áudea Seguridad de la Información
Ante la investigación abierta por la AEPD en los juzgados de la Comunitat en relación con el tratamiento que se da a la documentación, lo cual se derivó de una denuncia puesta por un medio de comunicación tras la aparición de informes judiciales sin destruir pertenecientes a juzgados de Valencia, Madrid, Barcelona, Sevilla y A Coruña.
En este sentido, el Tribunal Superior de Justicia de la Comunitat Valenciana comunicó a los juzgados de que la inspección corresponde en exclusiva al Consejo General del Poder Judicial.
Por su parte la AEPD comenzó su investigación en varios juzgados a raíz del reportaje que se pudo ver en Informativos Telecinco, el cual nos mostraba cómo gran cantidad de documentos judiciales sin destruir se encontraban en contenedores de basura. En dichos documentos había información, datos personales, tanto de denunciantes como encausados e incluso, en algunos casos, de menores y de víctimas de malos tratos.
El TSJ ha reenviado a los juzgados valencianos un acuerdo de la comisión permanente del Consejo General del Poder Judicial adoptado el 29 de julio para impedir las inspecciones. No obstante, se ofrece una total colaboración de cara a la obtención de las informaciones que pudiera precisar la tramitación de los oportunos expedientes.
En este caso, a pesar de que la AEPD no haya podido intervenir directamente, desde el gabinete de comunicación del Consejo General del Poder judicial, nos transmiten que la inspección interna continúa para aclarar y tomar las correspondientes medidas relacionadas con el asunto.
Departamento de Comunicación
Áudea Seguridad de la Información
¿Su empresa contempla los procedimientos internos adecuados para el respeto de los derechos de los afectados en relación con el tratamiento de los datos personales en su negocio?
¿Su organización contesta las solicitudes recibidas dentro de los plazos establecidos?
Desde Áudea Seguridad de la Información les ofrecemos asesoramiento en la gestión de la seguridad de la información de su empresa poniendo a su alcance nuestro servicio gratuito de Auditoría de ejercicio de derechos ARCO.
Gracias a esta iniciativa su empresa dispondrá de un informe en el que se reflejará la situación de la entidad en relación con el cumplimiento de la normativa vigente en relación con el derecho de acceso, rectificación, cancelación y oposición.
Evite la imposición de sanciones, costes legales y responsabilidades.
Contacte con nuestro equipo de profesionales y les daremos un asesoramiento personalizado.
Confíenos la seguridad de su información¡¡ Para más información contacten con nuestro Departamento Comercial .
Áudea Seguridad de la Información
Tfno: 917451157
