Boletín nº10 Octubre 2008
 
       
Sanciones a entidades privadas
 

Las sanciones publicadas por la AEPD, corresponden al mes de Agosto de 2008. Durante este período, la Agencia ha abierto 11 expedientes sancionadores.

La recaudación total de la AEPD durante este mes asciende hasta los 325.904,63 €.

 
 

ARVATOS, COFIDIS Y REDCATS (PS 99-2008)

La Agencia Española de Protección de Datos (AEPD) recibió un escrito en el que un particular denunciaba que recibió en su domicilio, por correo ordinario, un envío publicitario remitido por “COFIDIS HISPANIA E.F.C.”. En la dirección postal figuran el “piso y la puerta”. Asimismo, en la parte inferior de dicho impreso figura que los datos utilizados para esta campaña habían sido facilitados por la empresa “ARVATOS SERVICES IBERIA, S.A.”. La denunciante ejerció el derecho de acceso ante las citadas dos entidades, y en el escrito remitido por ARVATO, se comunicaba a la interesada que sus datos procedían de la entidad “REDCATS ESPAÑA, S.A.U”. La denunciante manifiesta haber realizado en alguna ocasión pedidos a la entidad REDCATS, pero nunca ha autorizado la cesión a terceros con fines publicitarios, comerciales o de cualquier otra índole.

Ante estos hechos, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la entidad ARVATO, por la supuesta infracción del artículo 6.1 de la LOPD, a la entidad COFIDIS por la supuesta infracción del artículo 6.1 de la LOPD, y a la entidad REDCATS, por la presunta infracción del artículo 11.1 de la LOPD, tipificada como muy grave.

En el presente caso ha quedado acreditado que REDCATS obtuvo los datos de la propia denunciante a través de la relación contractual que mantenían, y los cedió a ARVATO, en virtud de un contrato suscrito entre ambas entidades. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos, es preciso que contara con el consentimiento del afectado o, en su defecto, debe acreditarse que concurría alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento. Tales extremos no fueron probados en el procedimiento, por lo que la AEPD sancionó a REDCATS con una multa de 60.101,21 €.

Respecto a COFIDIS Y ARVATOS, hay que recordar aquí que el tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos recogiéndolo así la LOPD en su artículo 6. El tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato.

Sin embargo, ninguna de estas condiciones se cumplió en el presente caso, vulnerándose por tanto el artículo 6 LOPD, lo que obligó a la AEPD  a sancionar a COFIDIS y a ARVATOS a sendas multas por valor de 6.000 €.




DATA INTEGRAL ACTION S.L. (PS 35-2008)

Tuvo entrada en la AEPD una reclamación formulada por cierto denunciante a raíz de la denegación del derecho de acceso a sus datos contenidos en los ficheros de la entidad Data Integral Action, S.L. con motivo de la recepción de un envío publicitario de la empresa Aprovechamiento Anual de Bienes Turísticos 2050. Con motivo de dicha reclamación, la Agencia tramitó un procedimiento de tutela de derechos que concluyó mediante resolución, que resolvió “estimar la reclamación contra Data Integral instando a ésta para que, en diez días, remita al reclamante certificación en la que se hagan constar los datos que se encuentran bloqueados en los ficheros de dicha entidad y la procedencia de los mismos”.

Pocas semanas después, el denunciante presentó ante la AEPD un escrito en el que indicaba que Data Integral  no sólo no  había cumplido con lo instado en la citada resolución, sino que además había procedido a la cesión de sus datos para la realización de un envío publicitario de “Iberpost”, que fue remitido a una dirección en la que ya no vive, al tratarse del domicilio de sus padres. El envío publicitario se realizó en el marco de un contrato suscrito por Data Integral y AABT 2050.

A raíz de lo expuesto, se inició procedimiento sancionador contra Data Integral por la presunta infracción del artículo 11.1 de la LOPD, que castiga la cesión de datos a terceros sin el consentimiento del interesado.

En el procedimiento, quedó acreditado que Data Integral facilitó a AABT 2050 los envíos publicitarios personalizados para su manipulación. Entre ellos, el envío publicitario del denunciante conteniendo sus datos de nombre, apellidos y domicilio con los indicativos de piso y puerta. Esta entrega de datos debe considerase cesión de datos sin consentimiento a todos los efectos. Además,

Data Integral no pudo explicar el origen en la posesión de los datos del denunciante.

Ante esta flagrante vulneración, la AEPD decidió sancionar a Data Integral al pago de una multa de 100.000 €.




INVERSIONES HERRERA BAILÓN - SALA TRIVIAL (PS 79-2008)

La Policía Municipal de Madrid remitió un informe a la AEPD en el que se declara que durante una inspección efectuada en el local denominado “Sala Trivial” se observó que el mismo disponía de un monitor donde se proyectan las imágenes captadas por tres cámaras situadas en el exterior. Una de ellas visiona la puerta de acceso al local, mientras que las otras dos recogen las imágenes de la vía pública en la fachada de acceso.

El citado local no dispone de distintivo informativo en ningún lugar visible y carece de impreso en el que se detalla la información prevista en el Art. 5.1 de la LOPD. Por su parte, en el interior del local hay pantallas de TV situadas cerca de la puerta de salida en las cuales pueden observarse las imágenes captadas desde las dos cámaras exteriores, las cuales graban  no sólo la entrada al local sino también el tránsito de vehículos por la vía pública anexa.

El Director de la Agencia Española de Protección de Datos, acordó iniciar procedimiento sancionador a Inversiones Herrera Bailón (Sala Trivial), por la posible infracción del artículo 6 de la LOPD, tipificada como grave y que censura el tratamientote datos personales sin el consentimiento del afectado.

El demandado alegó que el local sí contaba con un cartel a modo de aviso con el siguiente tenor literal: “Sala Trivial informa a sus clientes que este establecimiento dispone de cámaras de seguridad de circuito situadas en el exterior del local. Estas cámaras no graban, sólo visualizan”.

Las cámaras reproducen la imagen de los afectados por este tipo de tratamientos y, a efectos de la LOPD, la imagen de una persona constituye un dato de carácter personal. Por ello, el tratamiento de las imágenes por parte del responsable, obliga a que se cumpla con el deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la LOPD, circunstancia que no quedó acreditada; la Agencia Española de Protección de Datos entendió vulnerado el artículo 6 LOPD, sancionando a Inversiones Herrera al pago de 601,01 € en concepto de multa.