jueves, 21 de febrero de 2013

multa millonaria LEY PROTECCIÓN DE DATOS

Paperblog
Posted: 20 Feb 2013 02:43 PM PST
Una empresa ha sido sancionada por enviar una única carta de publicidad al domicilio de la denunciante sin contar con su consentimiento. En concreto, la Agencia Española de Protección de Datos constata que la empresa que envió la carta trató los datos relativos a nombre, apellidos y dirección sin el consentimiento de su titular para hacerle llegar una oferta promocional, por lo que procede que sea sancionada con 100.000 euros de multa.
No, no es una errata, no hablo de “cien coma cero cero cero euros”, son “cien mil euros”, y qué duda cabe que imponer una sanción de 100.000 euros a una S.L. por enviar una comunicación comercial por vía postal al domicilio de una persona que no dio su consentimiento para recibir este tipo de comunicaciones, puede resultar un poquito excesivo.
Pero esto es lo que le ha pasado a la sociedad Todo Data Integral Services S.L. que ha visto como el pasado 14 de junio de 2012 le sancionaban por enviar una carta de publicidad al domicilio de un particular que posteriormente denunció a esta empresa.
La Agencia Española de Protección de Datos (AEPD), en su Resolución, declara que esta mercantil “registro en su fichero automatizado y utilizo los datos de la denunciante concretándose en nombre y apellidos, dirección con piso y puerta, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos“.
En efecto, para poder realizar ese envío publicitario, la empresa tuvo que tratar los datos personales (nombre, apellidos y dirección) de la denunciante, y al no contar con su consentimiento se produce una infracción de la Ley Orgánica de Protección de Datos, en concreto una infracción del artículo 6.1 que recoge el principio general de consentimiento que viene a indicar sencillamente que para el tratamiento de nuestros datos personales se requiere nuestro consentimiento.
En el caso de que alguien tratara nuestros datos personales sin nuestro consentimiento, se produce una infracción grave, que lleva aparejada una multa de entre 40001 y 300000 euros.
A pesar de estas sanciones astronómicas por la comisión de una infracción grave, la propia normativa de protección de datos permite rebajar “en grado” estas sanciones, derivado del principio de proporcionalidad de la sanción y el hecho ilícito cometido, de forma que ante infracciones graves es posible que se aplique la escala de sanciones leves, cuyas multas van de los 900 a los 40000 euros. No obstante, y a pesar de la petición de la empresa de la aplicación de esta excepción, la AEPD la deniega argumentando que no se dan las circunstancia para apreciar esta atenuante y porque además ya en 2011 fue sancionada también por vulnerar la normativa de protección de datos.
A la luz de todo lo anterior, pudiendo sancionar entre los 40001 y los 300000 euros, terminan imponiendo una sanción de 100000 euros.
Ahora bien, me gustaría destacar algunos elementos de esta Resolución por cuanto me parecen curiosos:
1º: Durante la tramitación del procedimiento sancionador, la sociedad sancionada solicitó copia del expediente administrativo; solicitar copia de un expediente administrativo sancionador es más que necesario si se quiere preparar adecuadamente una defensa pues en él se contienen todos los documentos que serán tenidos en cuenta para la Resolución.
Pues bien, como digo, se solicita copia del expediente el día 16 de febrero de 2012, pero el 28 de febrero el solicitante recibe una comunicación del Instructor indicándole que para que pueda acceder al expediente es necesario que proporcione un número de teléfono al que poder contactar con él para avisarle de cuándo puede pasar por la sede de la Agencia a recoger el expediente.
Esto sin duda es atípico…
En respuesta a esa notificación, ese mismo día, la empresa informa al instructor por email para que, por favor, les indique por esta misma vía cuándo pueden pasarse a recoger el expediente y que quedan a su disposición en el email, afirmando que no pueden exigirles requisitos no legalmente impuestos para acceder al expediente.
El Instructor le responde por vía postal el 12 de marzo de 2012 indicándole:
a) Que “desde esta Agencia no se le está exigiendo requisito no impuesto legalmente como aduce en su escrito, simplemente se le está pidiendo un medio de contacto que acredite su identidad, (ya sea teléfono o cualquier otro…) para que usted conozca cuando está disponible la copia del expediente que solicita. Circunstancia que está dentro de toda lógica y sentido común, es decir, usted ejerce su derecho de vista del expediente, y desde esta administración se le pregunta cómo podemos comunicarle cuando ésta realizada dicha copia.”
b) Que: “En segundo lugar, si bien el medio del correo electrónico procura un medio ágil para las comunicaciones, no es un medio que ofrece totales garantías de seguridad e integridad en las comunicaciones y su contenido, ni el envío y ni la recepción, así como la verdadera identidad de los interlocutores.
La dirección de correo electrónico no cumple las medidas de autenticación y seguridad de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, ni de la Ley 59/2003, de 19 de diciembre, de firma electrónica, ni tampoco cumple el Título VIII del RD 1720/2007, Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en lo referente a las medidas de seguridad.
Y me pregunto yo ¿y un número de teléfono sí?
c) Por último le dice el Instructor que ya está disponible su expediente y que puede pasarse a recogerlo en la sede de la Agencia entre las 11:30 y las 12:30 horas, eso sí, cualquier día de la semana.
Cabe añadir que el sancionado no pasó a recoger el expediente, según indica la Resolución sancionadora.
El sancionado además solicitó la recusación del inspector y la iniciación de un procedimiento disciplinario contra él, aunque se ignoran los motivos por lo que solicitaban esto pues no se indican en la Resolución, a lo que la Agencia responde que: “En atención a la solicitud de inicio de procedimiento disciplinario y la posible causa de recusación formulada contra el instructor tanto en las alegaciones al acuerdo de inicio como en las formuladas a la propuesta de resolución, cabe señalar que tales manifestaciones han sido valoradas y resueltas en pieza separada, obrante en los folios 74 a 80, por lo que nada tiene que referenciarse en la presente resolución, habiendo sido notificado su resultado a entidad imputada.”
Pero me gustaría advertir otro detalle.
Como he dicho antes, esta misma empresa fue sancionada en 2011 y por eso se entendió que era reincidente (la Resolución sancionadora referencia al PS 00114/2011); el dato curioso es que esa sanción de 2011 no fue iniciada por denuncia de ningún particular, sino que se realizó de oficio por esta Agencia, siendo uno de los poquísimos casos en los que la Agencia interviene de oficio. En aquel entonces se sancionó a la empresa con una multa de 70000 euros, aunque no por enviar publicidad. No obstante, esta misma empresa sí fue sancionada en 2011 por enviar otra carta de publicidad sin consentimiento, entonces fue sancionada con 120.000 euros.
En total esta empresa acumula 220.000 euros en multas por enviar 2 cartas de publicidad y otra multa de 70.000 iniciada de oficio por la Agencia.
Por último, en relación a la reincidencia aducida en esta Resolución sancionadora, llama la atención que sí que se aprecie reinciencia en este caso concreto, pero no por ejemplo frente a otras entidades que han podido recibir más de 200 sanciones en un año por infringir el mismo precepto de la normativa sobre protección de datos.

No hay comentarios:

Publicar un comentario