Sanciones AEPD

Me parece interesante y, por ello, publico este tema, para hacerles llegar determinados procedimientos sancionadores de la Agencia Española de Protección de Datos con la finalidad de informar de determinadas actuaciones que vulneran los principios de la normativa de protección de datos personales e, igualmente, la de servicios de la sociedad de la información -comunicaciones comerciales no consentidas-, y en consecuencia, derivan en sanciones.

Hoy traeré para conocimiento de todos cinco procedimientos que llevaron aparejada la imposición de otras tantas sanciones, las cuales ascienden en su totalidad a la cantidad de 55.500 €, destacando por encima de todas una por la relevancia en nuestra actividad profesional.

El primer caso más relevante es el de la sanción de 2.000 € impuesta a una procuradora por publicar en su blog la fotografía de la denunciada, obtenida de su perfil de Facebook, junto con un escrito de alegaciones presentado por la representación legal de su ex pareja en un procedimiento penal en fase de tramitación, todo ello sin obtener el consentimiento de la denunciada. Señalo la referencia al procedimiento sancionador -PS/00446/2011- accesible en la Web de la AEPD.

El segundo de los casos, en la que se impone la misma sanción, es la publicación de una sentencia en la Página Web del SUP. En ambos casos, aunque el primero de ellos, es singular por la forma, se viene a interpretar, lo que ya hace mucho tiempo, fundamenté en la primera de las sanciones impuestas por la AEPD a una comunidad de propietarios respecto a la publicación en el tablón de anuncios de un procedimiento judicial entre la propia comunidad y un co-propietario. Dicho fundamento es el de no considerar a las actos procesales como fuentes accesibles al público, en contradicción con el conocimiento de los ciudadanos de conocer qué hacen los Tribunales -publicidad judicial-, incluidas las sentencias, autos y demás trámites procesales. La AEPD en su día valoró mis fundamentos basados en el artículo 5. bis del Reglamento 5/1995, de 7 de junio, de los Aspectos Accesorios de las Actuaciones Judiciales. "En el tratamiento y difusión de las resoluciones judiciales se procurará la supresión de los datos de identificación para asegurar en todo momento la protección del honor e intimidad personal y familiar" y, a fecha presente, mantiene la misma línea doctrinal que antaño.

Así pues, prima el derecho constitucional de intimidad y privacidad, respecto a la publicdad de las actuaciones judiciales, salvando las excepciones de libertad de información cuando ésta prime sobre aquel, como fue el caso que defendí en el que a un sindicato la AN procedió a revocar la sanción impuesta por la AEPD -60.000€- por primar la libertad de información sindical respecto al derecho a la intimidad. Por lo tanto, se puede dar publicidad a las actuaciones judiciales, pero salvo casos excepcionales, si se procede a ello, se han de disociar los datos personales y, en ningún caso, que dicha disociación permita de una manera fácil averiguar la identidad de la persona.

Otro caso reseñable es la imposición de una sanción de 15.000€ por no adoptar las medidas de seguridad oportunas, más concretamente, por no efectuar las comprobaciones necesarias para conocer si las medidas introducidas son correctas y funcionan con la finalidad de impedir accesos no consentidos y, por ende, acceso a información no autorizada. Todo ello, es responsabilidad del Responsable del Fichero, no de la empresa contratada para efectuar o implementar las medidas de seguridad, dado que dicho responsable es la persona jurídica, en este caso, obligada a dar cumplimiento a las directrices establecidas en el RDLOPD.

Así mismo, traigo a colación, un procedimiento sancionador curioso, y es el de la imposición de 6.500€ por omitir el apercibimiento y adopción de medidas tendentes a solventar o poner fín a la actuación y/o situación que originó el procedimiento sancionador. El caso se presentaba respecto a cámaras de videovigilancia -tema tan de "moda" en las denuncias instadas ante la AEPD- y al incumplimiento de la normativa al respecto. La AEPD le concedió un mes a la empresa para proceder a solventar la situación y, al cabo de dicho período, la propia Agencia procedió a efectuar las comprobaciones oportunas, dando como resultado el incumplimiento del apercibimiento y, en consecuencia, sancionando.

Por último y, haciendo un resumen muy escueto de todos los procedimientos, inserto el procedimiento por el cual a Yves Rocher se le ha sancionado con 30.001€ por envíos masivos de comunicaciones comerciales electrónicas, una vez ejercitado el destinatario de dichas comunicaciones -afectado- el correspondiente ejercicio de derecho de cancelación y, por consiguiente, la obligación que derivaba a Yves Rocher en proceder a bloquear los datos personales y a no tratar los datos personales, salvo en los casos tipificados. De igual forma, sobre este tipo de hechos, vulneraciones del artículo 21 LSSI, significar que en procedimiento similar -comunicaciones comerciales electrónicas no consentidas- donde la sanción alcanzó 6.000 €, la AEPD ya ha declarado dos aspectos importantes: las direcciones de contacto accesibles en Páginas Web no son fuentes accesibles al público, incluidas las direcciones generales -p.e. info@________.com- y, por tanto, todas ellas precisan de recabar consentimiento -sistema opt-in- para la recepción de dichas comunicaciones, salvo en los casos contemplados en las excepciones del propio articulado de la LSSI -p.e. clientes-; y la consideración, entre comillas, de "spam" o calificación grave de dicho envío no consentido: la remisión de más de 3 correos comerciales en un año al mismo destinatario sin atender a los requisitos del artículo 21 LSSI.

Espero que, en vez de asustarles, les sirva la presente de información, con esa finalidad ha sido efectuada y, en caso, que haya conseguido la misma, poder publicar nuevos temas acercándoles a la doctrina o línea que sigue, a fecha de hoy, la Agencia Española de Protección de Datos.