Sanciones AEPD
Me parece interesante y, por ello, publico este tema, para
hacerles llegar determinados procedimientos sancionadores de la Agencia
Española de Protección de Datos con la finalidad de informar de determinadas
actuaciones que vulneran los principios de la normativa de protección de datos
personales e, igualmente, la de servicios de la sociedad de la información
-comunicaciones comerciales no consentidas-, y en consecuencia, derivan en
sanciones.
Hoy traeré para conocimiento de todos cinco procedimientos
que llevaron aparejada la imposición de otras tantas sanciones, las cuales
ascienden en su totalidad a la cantidad de 55.500 €, destacando por encima de
todas una por la relevancia en nuestra actividad profesional.
El primer caso más relevante es el de la sanción de 2.000 €
impuesta a una procuradora por publicar en su blog la fotografía de la
denunciada, obtenida de su perfil de Facebook, junto con un escrito de
alegaciones presentado por la representación legal de su ex pareja en un
procedimiento penal en fase de tramitación, todo ello sin obtener el
consentimiento de la denunciada. Señalo la referencia al procedimiento
sancionador -PS/00446/2011- accesible en la Web de la AEPD.
El segundo de los casos, en la que se impone la misma
sanción, es la publicación de una sentencia en la Página Web del SUP. En ambos
casos, aunque el primero de ellos, es singular por la forma, se viene a
interpretar, lo que ya hace mucho tiempo, fundamenté en la primera de las
sanciones impuestas por la AEPD a una comunidad de propietarios respecto a la
publicación en el tablón de anuncios de un procedimiento judicial entre la
propia comunidad y un co-propietario. Dicho fundamento es el de no considerar a
las actos procesales como fuentes accesibles al público, en contradicción con
el conocimiento de los ciudadanos de conocer qué hacen los Tribunales
-publicidad judicial-, incluidas las sentencias, autos y demás trámites
procesales. La AEPD en su día valoró mis fundamentos basados en el artículo 5. bis del Reglamento 5/1995, de 7 de junio, de los
Aspectos Accesorios de las Actuaciones Judiciales. "En el tratamiento y difusión de las resoluciones judiciales
se procurará la supresión de los datos de identificación para asegurar en todo
momento la protección del honor e intimidad personal y familiar" y,
a fecha presente, mantiene la misma línea doctrinal que antaño.
Así pues, prima el derecho constitucional de intimidad y
privacidad, respecto a la publicdad de las actuaciones judiciales, salvando las
excepciones de libertad de información cuando ésta prime sobre aquel, como fue
el caso que defendí en el que a un sindicato la AN procedió a revocar la
sanción impuesta por la AEPD -60.000€- por primar la libertad de información
sindical respecto al derecho a la intimidad. Por lo tanto, se puede dar
publicidad a las actuaciones judiciales, pero salvo casos excepcionales, si se
procede a ello, se han de disociar los datos personales y, en ningún caso, que
dicha disociación permita de una manera fácil averiguar la identidad de la
persona.
Otro caso reseñable es la imposición de una sanción de
15.000€ por no adoptar las medidas de seguridad oportunas, más concretamente,
por no efectuar las comprobaciones necesarias para conocer si las medidas
introducidas son correctas y funcionan con la finalidad de impedir accesos no
consentidos y, por ende, acceso a información no autorizada. Todo ello, es
responsabilidad del Responsable del Fichero, no de la empresa contratada para
efectuar o implementar las medidas de seguridad, dado que dicho responsable es
la persona jurídica, en este caso, obligada a dar cumplimiento a las
directrices establecidas en el RDLOPD.
Así mismo, traigo a colación, un procedimiento sancionador
curioso, y es el de la imposición de 6.500€ por omitir el apercibimiento y
adopción de medidas tendentes a solventar o poner fín a la actuación y/o
situación que originó el procedimiento sancionador. El caso se presentaba
respecto a cámaras de videovigilancia -tema tan de "moda" en las
denuncias instadas ante la AEPD- y al incumplimiento de la normativa al
respecto. La AEPD le concedió un mes a la empresa para proceder a solventar la
situación y, al cabo de dicho período, la propia Agencia procedió a efectuar
las comprobaciones oportunas, dando como resultado el incumplimiento del
apercibimiento y, en consecuencia, sancionando.
Por último y, haciendo un resumen muy escueto de todos los
procedimientos, inserto el procedimiento por el cual a Yves Rocher se le ha
sancionado con 30.001€ por envíos masivos de comunicaciones comerciales
electrónicas, una vez ejercitado el destinatario de dichas comunicaciones
-afectado- el correspondiente ejercicio de derecho de cancelación y, por
consiguiente, la obligación que derivaba a Yves Rocher en proceder a bloquear
los datos personales y a no tratar los datos personales, salvo en los casos
tipificados. De igual forma, sobre este tipo de hechos, vulneraciones del
artículo 21 LSSI, significar que en procedimiento similar -comunicaciones
comerciales electrónicas no consentidas- donde la sanción alcanzó 6.000 €, la
AEPD ya ha declarado dos aspectos importantes: las direcciones de contacto
accesibles en Páginas Web no son fuentes accesibles al público, incluidas las
direcciones generales -p.e. info@________.com- y, por tanto, todas ellas
precisan de recabar consentimiento -sistema opt-in- para la recepción de dichas
comunicaciones, salvo en los casos contemplados en las excepciones del propio
articulado de la LSSI -p.e. clientes-; y la consideración, entre comillas, de
"spam" o calificación grave de dicho envío no consentido: la remisión
de más de 3 correos comerciales en un año al mismo destinatario sin atender a
los requisitos del artículo 21 LSSI.
Espero que, en vez de asustarles, les sirva la presente de
información, con esa finalidad ha sido efectuada y, en caso, que haya
conseguido la misma, poder publicar nuevos temas acercándoles a la doctrina o línea
que sigue, a fecha de hoy, la Agencia Española de Protección de Datos.