983 337 998 info@ntabogados.com

Tag Archives: sanciones

La matrícula de un vehículo no es, por sí sola, un dato de carácter personal

Así debemos de considerarlo a partir de ahora, puesto que una reciente sentencia de la Audiencia Nacional así lo ha declarado. Se trata de un recurso contencioso-administrativo contra una resolución de la Agencia Española de Protección de Datos respecto a un sistema de videovigilancia que captaba la vía pública y, en consecuencia, imágenes de personas y placas de matrícula de los vehículos que por ahí pueden pasar.

La sentencia anula la sanción impuesta por la AEPD por considerar que no hay un tratamiento desproporcionado en la captación parcial que de la vía pública se realiza por esas cámaras, y aprovecha para rebatir el criterio consolidado de la AEPD respecto a que una matrícula de un vehículo, por sí sola, puede ser un dato de carácter personal.

Más información en delere.es.

La AEPD sanciona a dos páginas web por no informar correctamente sobre las cookies

La Agencia Española de Protección de Datos ha impuesto la primera sanción en materia de cookies. En realidad son dos sanciones a sendas empresas, una de 3000 y otra de 500 euros. Las páginas web no informaban correctamente de las cookies utilizadas en su web.

Lo cierto es que esta resolución ha de servir de guía, a partir de ahora, para saber a qué atenerse en esta materia, puesto que explica qué información hay que facilitar y cómo ha de hacerse. Más información en mi blog Descargas Legales.

Anulada una sanción de la AEPD por un monitor de videovigilancia a la vista

La Agencia Española de Protección de Datos ha sancionado en más de una ocasión la existencia de monitores que emiten imágenes de sistemas de videovigilancia cuando estos monitores se encuentran a la vista de cualquier persona.
Sin embargo, esta situación ha de cambiar, puesto que una reciente sentencia de la Audiencia Nacional ha anulado una sanción a una empresa, puesto que la imagen que emitía el monitor se correspondía con la zona desde la cual se podía visualizar el mismo, de forma que cualquier persona que lo viera, no estaría accediendo a imágenes distintas a las que directamente podría apreciar desde ese punto. Más información en mi blog «Descargas Legales«.

Cumplimiento de la LOPD en Castilla y León

A raíz de un estudio que concluía que el cumplimiento de la LOPD en Castilla y León sigue siendo muy pequeño, los informativos de Castilla y León Televisión contaron conmigo para comentar la noticia. Hablamos, entre otras cosas, de qué se debe hacer al recoger datos, de la ventajas del cumplimiento de la normativa sobre protección de datos y de la privacidad en las redes sociales.

Se necesita consentimiento para usar «cookies», pero si no se obtiene, no pasa nada

MP900387871

Comentábamos ayer en la anterior entrada las novedades legislativas producidas en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) por el Real Decreto-ley 13/2012, de 30 de marzo. En materia de “cookies” se modifica la redacción del artículo 22.2 de esta norma, de forma que a partir de ahora “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”. 

¿Qué sucede en caso de incumplimiento de este precepto? Hay que acudir para saberlo al Título VII de la LSSI, en el que se detallan las infracciones y sanciones y, en concreto, a los artículos 38.3.i y 38.4.g, que tipifican con infracción grave y leve, respectivamente, el incumplimiento (“significativo” para que sea grave) “de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.

El régimen sancionador no ha sido modificado por el Real Decreto-ley 13/2012, con lo que sigue vigente el mismo, en el que, como acabamos de ver, no se menciona la falta de consentimiento de los destinatarios, sino sólo la falta de información o del procedimiento de rechazo. Podría pensarse que no es necesario que se haga esta modificación, dado que puede entenderse incluido el incumplimiento de lo que consta en el artículo 22.2. Pero no debemos olvidar que nos encontramos dentro del ámbito del derecho sancionador, en el que rige, como uno de los principios fundamentales, el principio de tipicidad.

El principio de tipicidad conlleva que los hechos constitutivos de infracción y las sanciones han de estar explícitamente recogidos en la norma. Por tanto, para poder sancionar, es necesario que las acciones analizadas sean exactamente las mismas que las que señale el tipo legal. Así lo establece el artículo 129 de la Ley 30/1992: “sólo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una Ley […]. Únicamente por la comisión de infracciones administrativas podrán imponerse sanciones que, en todo caso, estarán delimitadas por la Ley […]. Las normas definidoras de infracciones y sanciones no serán susceptibles de aplicación analógica“.

En el caso que nos ocupa, como acabamos de ver, no se hace mención en el régimen sancionador de la LSSI al incumplimiento de la obligación de obtener el consentimiento, con lo que, ateniéndonos al principio de tipicidad, no será posible imponer sanciones por esta omisión. Quizá algún administrativista venga a enmendarme la plana, pero al menos lo que está claro es que resulta bastante chapucero por parte del legislador modificar las obligaciones y no adaptar el régimen sancionador de la ley a estas nuevas previsiones legales.

Sanción de la AEPD por abrir un perfil falso

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 2.000 euros a una persona por haber abierto un perfil falso en la red social Badoo haciéndose pasar por otra persona. Esta resolución es bastante jugosa por varias razones.

En primer lugar por su instrucción: primero se solicita a la Oficina del Comisionado Chipriota para la Protección de Datos, (cuyo nombre oficial es, por si les pica la curiosidad, Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) información sobre la dirección IP desde la que se creó el perfil y se realizaron conexiones. Conocida esa IP, el operador Euskaltel le facilita a la AEPD la identificación del titular que tenía asignada esa dirección IP en el periodo en el que se realizaron las mencionadas conexiones.

Puede llamar la atención las inmensas posibilidades que tiene la AEPD de investigación e identificación de usuarios de servicios de telecomunicaciones. La Agencia se ampara en el art. 40 de la LOPD, en el que se dice que las autoridades de control, en su labor de inspección, podrán recabar “cuantas informaciones precisen para el cumplimiento de sus cometidos”. Es cierto que una interpretación amplia de este precepto puede llevar a aceptar que pueden “pedir” lo que quieran, pero también es verdad que una cosa es que puedan pedir y otra que el poseedor de esa información tenga la obligación de facilitarla. Por otro lado, está el viejo debate que trae a colación lo establecido en los arts. 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, en los que se dice que los datos de tráfico sólo pueden ser cedidos previa autorización judicial y con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Respecto a este debate, nos remitimos a esta entrada de David Maeztu y a las aportaciones realizadas en sus comentarios.

También es interesante que en esta resolución se recuerda que, en caso de que haya abierto un proceso penal, se debe suspender el procedimiento hasta que recaiga resolución judicial. No se produjo en este caso, aunque lo alegaba la denunciada, puesto que la Agencia no tenía conocimiento de la apertura de ningún proceso penal con identidad de sujeto, hecho y fundamento, tal como exige el art. 7 del Real Decreto 1398/1993.

En cuanto a la cuestión de fondo, la Agencia entiende que, dado que se abrió un perfil utilizando el nombre de pila, número de teléfono y fotografía de otra persona, hay un tratamiento de datos sujeto a la LOPD, tratamiento realizado sin consentimiento, lo que supone una infracción del art. 6. En primer lugar puede llamar la atención que estamos ante el tratamiento de datos realizado por un particular, con lo que cabría pensar que estamos fuera del ámbito de aplicación de la LOPD, atendiendo a la conocida como “excepción doméstica“. Aunque es sabido y es reiterada la doctrina de la AEPD por la que se entiende que en el momento en que se tratan datos personales públicamente en Internet esta excepción no se tiene en cuenta, creo que debería haberse analizado este aspecto.

El caso es que debemos plantearnos si la AEPD entra a conocer de cuestiones que parecen ajenas a la normativa sobre Protección de Datos y por tanto sobre su competencia. La suplantación de identidad en una red social podría pensarse que supone un delito de usurpación del estado civil, tipificado en el art. 401 del Código Penal, pero es muy complicado aplicar este artículo, puesto que la jurisprudencia viene exigiendo que el infractor se haga pasar en su totalidad por otra persona, y además con carácter permanente. También puede ser un medio para la comisión de otras infracciones y delitos, pero sólo eso, un medio. Por tanto la mera suplantación de identidad en una red social puede quedar sin sanción y no parece que sea una actuación no merecedora de reproche.

Esta actuación de la AEPD ha sido muy criticada por entender, como hemos dicho, que estamos ante una actuación que debe quedarse fuera de sus competencias, pero lo que es incuestionable es que se ha realizado un tratamiento de datos personales sin consentimiento, y ante eso la Agencia no tiene más remedio que actuar. Espero los comentarios discrepantes con mucho interés.

Sobre la obligatoriedad de consultar la Lista Robinson

La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a Telefónica Móviles España (TME) por haber realizado llamadas a un cliente suyo, pese a que este se encontraba incluido en la Lista Robinson. La sanción, de 3.000 euros, se fundamenta en la existencia de un tratamiento de datos contrario al principio de calidad de los datos (art. 4 de la LOPD), originado por el incumplimiento del art. 30.4 de la LOPD, que obliga a atender las peticiones de oposición de los titulares de los datos.

Mucha tela hay que cortar aquí sobre esta forma de sancionar, pero nos centraremos en la obligatoriedad de consultar el fichero de exclusión publicitaria, “Lista Robinson”, de la Asociación Española de la Economía Digital (Adigital). Al hacerse pública esta resolución, hemos podido leer afirmaciones sobre la necesidad de que se consulte este fichero antes de utilizar datos personales con finalidad publicitaria y es necesario recordar que no es así, o al menos no es así para todas las empresas que realicen esta actividad.

El artículo 49,4 del  Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD (RDLOPD), establece que  “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación“. Una de las cosas que llama la atención en la resolución, es que en ningún momento se explica ni se justifica la obligación por parte de TME de consultar la Lista Robinson de la FECEMD (antigua denominación de Adigital), no se argumenta por qué ese fichero se trata de un fichero común “que pudiera afectar a su actuación”, tal y como establece el art. 49 del RDLOPD. La única razón por la que TME pueda estar obligado es porque sea usuaria de ese fichero, o mejor dicho, como claramente denominó hace ya tiempo Félix Haro, “cliente” de ese fichero. No se puede, con la normativa en la mano, exigir a cualquier empresa que tenga que consultar la Lista Robinson. Además, en este caso, ni siquiera se puede argumentar que TME estará obligada por ser socia de Adigital (sin llegar a ser usuaria, de hecho, del fichero), dado que TME no forma parte de la Asociación Española de la Economía Digital (nueva denominación de la FECEMD): sólo está asociada la matriz, Telefónica de España, como se puede ver en la web de la asociación.

En fin, entenderán el por qué del desastroso título de esta entrada: en resumidas cuentas, es obligatorio consultar la Lista Robinson de Adigital si usted, voluntariamente, se obliga a ello. Si no, la consulta de la Lista Robinson no es obligatoria. No conozco ninguna sanción de la AEPD por no haberlo hecho, si la hay, me encantaría que me la indicaran.

Por cierto, en la resolución se recoge, como hecho probado, que la FECEMD envió a TME “un fichero de solicitudes de inclusión en lista Robinson, que mezclaba clientes y no clientes de TDE y TME”. Me pregunto yo, ejem, si no estamos ante una cesión ilícita de datos de carácter personal, lo cual supone una infracción grave de acuerdo con el artículo 44.3.k de la LOPD. Dado que la Agencia ya conoce este hecho, puesta que está recogido, insisto, como hecho probado en la resolución, supongo que en este momento ya estará abriendo el procedimiento sancionador.

El apercibimiento en el régimen sancionador de la LOPD

De entre las modificaciones del régimen sancionador de la LOPD, una de las más significativas es la incorporación del apercibimiento como excepción, en algunos casos, alternativa a la apertura del procedimiento sancionador.

En una reciente jornada, el Adjunto al Director de la Agencia Española de Protección de Datos comentó una serie de cuestiones sobre el apercibimiento, que comentamos en el blog «Descargas legales».

Instalación de cámaras de videovigilancia falsas

La instalación de sistemas de videovigilancia se encuentra sometida a lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). La imagen de una persona se considera un dato de carácter personal y, por tanto, el tratamiento de imágenes (incluida la mera transmisión de las mismas, sin que se almacenen) constituye un tratamiento de datos de carácter personal. Incluso la Agencia Española de Protección de Datos dictó una instrucción específica sobre la materia (Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras), que regula las obligaciones concretas aplicables a estos tratamientos de datos.

¿Y qué sucede con la instalación de cámaras falsas, sistemas que no estén en funcionamiento, o simplemente, meras carcasas de cámaras? Es una consulta bastante habitual si resulta conforme a la legalidad la instalación de cámaras de videovigilancia falsas, con un interés únicamente disuasorio. La lógica dice que, dado que no hay un tratamiento de datos, no puede aplicarse la LOPD, tan sencillo como eso. Sin embargo, tal y como han apuntado algunos colegas blogueros (1 y 2), la Agencia ha amenazado en algunos casos con la imposición de sanciones si no se retiran estos dispositivos meramente disuasorios, declarando que pueden constituir prueba indiciaria suficiente de que las cámaras realmente captan imágenes. Por tanto, insta a su retirada, advirtiendo de que en caso contrario podrían imponerse sanciones “de hasta 300.506,05 €”. Esto ha sucedido, al menos, en los procedimientos E-01297-2008E-00903-2009PS-00155-2010E-00888-2010. Cierto es que hay archivos de actuaciones en las que no se incluye esta “amenaza” (como el E-00704-2007), pero no parece ser la tendencia actual.

No podemos estar de acuerdo con estas resoluciones de la Agencia. En primer lugar, por lo que ya hemos comentado, no hay tratamiento de imágenes. Si se iniciara un nuevo procedimiento sancionador contra alguno de los denunciados, la inspección volvería a determinar que no existen grabaciones, con lo que no hay tratamiento de datos, y por tanto, estamos fuera de la LOPD. Es decir, no se sostendría la existencia de una prueba indiciaria suficiente, puesto que la propia inspección comprobará la inexistencia de grabaciones.

Es más, aun aceptando que pudiera haber indicios de tratamientos de datos, deberían utilizarse esta argumentación exclusivamente en casos concretos, basándose en hechos que justificaran tal calificación y no, como parece que está empezando a hacer la Agencia, en todos los casos en los que se denuncian cámaras falsas.

No tendría sentido que lo que pretenda la AEPD sea que se inscriba el fichero, se coloquen carteles y se cumplan con todas las obligaciones derivadas del tratamiento de imágenes, puesto que no se puede inscribir algo que no existe. Por tanto, lo que parece que pretende la Agencia es que no se instalen sistemas disuasorios. La generalización de resoluciones de este tipo supondría que, por la vía de los hechos, la Agencia prohibiera la realización de una actuación (la instalación de cámaras falsas) no prohibidas por ninguna ley, y sobre la que además no tiene competencia (puesto que no debe aplicarse la LOPD).

En conclusión, ante la pregunta que titula esta entrada, instalen ustedes las cámaras falsas que estimen oportunas, como mínimo hasta que se le abra el primer procedimiento sancionador. Aunque se le haya abierto, ya han visto que de momento no se ha sancionado a nadie, con lo que en ese momento usted deberá decidir si mantiene las cámaras falsas o las retira, asustado por la amenaza de la Administración. Yo no lo haría, la verdad (entre otras cosas porque me encantaría ver cómo argumenta la Agencia en ese caso), pero el miedo es libre y ahí ya no me puedo meter.

Actualización: es interesante conocer que  la Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de videovigilancia, de la Agencia Catalana de Protección de Datos, excluye de su ámbito de aplicación, en su artículo 1.2.d, “la instalación de cámaras falsas que no sean aptas para captar imágenes”.

Reforma de la LOPD

La Ley 2/2011, de 4 de marzo, de Economía Sostenible (LES), ha sido muy comentada fundamentalmente por contener la llamada Ley Sinde, de la que ya hemos hablado y seguro volveremos a hablar en el futuro, porque es de esperar que tanto su desarrollo reglamentario, como su puesta en práctica, den para mucho. Sin embargo, lo cierto es que, como se puede ver en este completo resumen, tanto cualitativa como cuantitativamente la Ley Sinde era un asunto menor dentro del conjunto del texto de la LES. Y dentro de las materias que tiene este blog como competencia, lo más significativo es la importante reforma que opera la disposición final quincuagésima sexta de la LES, que modifica sustancialmente el régimen sancionador de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD).

Dado que, como consecuencia de la criticable práctica de incorporar la modificación en la LES, la Exposición de Motivos no explica las razones de la reforma, tendremos que pensar que su objetivo es probable que sea, como dice la Agencia Española de Protección Datos en una nota de prensa, aportar “mayor seguridad jurídica” y contribuir a lograr una “mayor precisión en la aplicacion de la norma”. Será la aplicación práctica la que nos permitirá saber si se logran estos objetivos, pero a priori podemos estar sólo parcialmente de acuerdo.

Las principales novedades de la reforma son las siguientes:

  • Las modificaciones más significativas son las referidas a la tipificación de las sanciones. En general, el cambio es bueno, puesto que se aclaran algunas infracciones y se armonizan distintas sanciones. La más acertada, en mi opinión, es la modificación del antiguo “cajón de sastre” que suponía en art. 44.3.d, que ahora se refiere (44.3.c), a la conculcación de los principios del artículo 4 de la Ley, es decir, sólo del principio de calidad de los datos.
  • Se modifican los importes de las sanciones leves y graves (art. 45.1 y 2): las sanciones por infracciones leves pasan a ser sancionadas con multa de 900 a 40.000 euros, y las graves con multa de 40.001 a 300.000 euros. Es decir, que sube el mínimo y baja el máximo de las sanciones leves. No encuentro ninguna razón, ni a favor ni en contra, para realizar este cambio, la verdad.
  • Se modifican los criterios de graduación de las sanciones (art. 45.4): prácticamente la única novedad estriba en que se introduce como criterio “el volumen de negocio o actividad del infractor”. Está bien que se incorpore este criterio, el cual, la mayoría de los profesionales de la materia suponíamos que en realidad ya lo ha venido teniendo en cuenta la Agencia en la determinación de las sanciones. Lo mismo sucede con el hecho de que la entidad imputada tuviera implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, beneficiando de este modo a aquellos que puedan demostrar haber tenido una preocupación en el cumplimiento de la Ley.
  • Se introducen modificaciones en los circunstancias que permiten  aplicar una sanción inferior en grado (art. 45.5): aquí hay importantes novedades, puesto que se introducen nuevos criterios que antes no se tenían en cuenta. Lo más significativo es el caso en el que el infractor haya “regularizado la situación irregular de forma diligente”. El problema es determinar cómo se puede regularizar la situación irregular, teniendo en cuenta que sólo se puede afirmar que existe tal situación irregular cuando la Agencia haya declarado la infracción (y en ese momento ya impone la sanción). Suponemos que tendrá el infractor que reconocer la infracción desde que se inicia la instrucción del procedimiento (el cual además es otro de los criterios recogidos en este artículo, con lo que en la práctica hay casi una duplicidad en este criterio de graduación), independientemente de que se haya producido o no realmente una infracción.
  • Se introduce la figura del apercibimiento para aquellos infractores leves o graves no reincidentes  (art. 45.6): el apercibimiento tendrá carácter excepcional y se podrá aplicar cuando concurran “significativamente” los criterios del apartado anterior. Aquí la pretendida seguridad jurídica brilla por su ausencia, veremos qué entiende la Agencia por “excepcional” y “significativamente”.

La modificación entró en vigor el pasado 6 de marzo, pero hay que tener en cuenta que muchas de las modificaciones suponen situaciones más favorables para los infractores, con lo cual, en virtud del principio de retroactividad de la norma sancionadora más favorable, podrán beneficiarse de ella aquellos con procedimientos sancionadores en tramitación que traigan causa de hechos realizados con anterioridad a la publicación de la Ley.