Boletín nº1 Enero 2009
 
       
Sanciones a entidades privadas
 

Las sanciones publicadas por la AEPD, corresponden a los meses de Noviembre de 2008. Durante este período, la Agencia ha abierto 34 expedientes sancionadores.

La recaudación total de la AEPD durante este mes asciende hasta los 1.372.221,38 €.

 
 

RIOJA JARDIN, S.L.

Tuvo entrada en la AEPD, un escrito presentado por Dña. S.S.S., en el que denuncia que la empresa RIOJA JARDÍN, tiene sus datos bancarios que no le ha facilitado y que realizó un cargo en su cuenta corriente por un producto que no solicitó.

Posteriormente se recibió otro escrito en la AEPD de Dña. Z.Z.Z. en el que denuncia a la empresa RIOJA JARDÍN manifestando que “He recibido en mi domicilio una carta por mensajería de la citada empresa en la que indican que han mantenido conversación telefónica con D. C.C.C. (mi padre fallecido en el año aaaa), y a la que añaden mi DNI y mi domicilio. Jamás he facilitado los datos bancarios ni cuentas corrientes míos y muchísimo menos facilitaría los de mi padre”.

La Sra. S.S.S. ha aportado con su escrito de denuncia un documento a su nombre denominado “Adeudo por domiciliación” de la entidad Caja Vital, y el cargo se realiza en la cuenta corriente por importe de “107,00€”. También, ha facilitado la afectada un escrito que le dirigió RIOJA JARDÍN en el que promocionan sus servicios y le informan de que “de no solicitar su anulación antes del 14 de septiembre, se realizara la emisión de factura y un cargo en su cuenta bancaria.

Tuvo entrada en en la Oficina Territorial de Industria, Comercio y Turismo de Álava ocho reclamaciones contra la compañía RIOJA JARDIN, en relación con una serie de cargos bancarios emitidos a favor de ésta, sin habérsele facilitado previamente los datos bancarios y sin haber contratado ningún servicio. También, se han recibido numerosas llamadas y consultas en relación con las actuaciones llevadas a cabo por la citada empresa en la Oficina de Información al Consumidor del Ayuntamiento de Vitoria.

Las reclamantes aportan un folleto publicitario nominativo emitido por la entidad reclamada y cheque regalo recibidos en sus domicilios, en el que se alude a una conversación previa, que las reclamantes coinciden en señalar no tener conocimiento. En varias de las reclamaciones se da la condición de que los afectados son psicólogos colegiados o excolegiados.

Como conclusión manifiestan que el acceso a los datos personales de los afectados no está claro. En la información de que se dispone no consta que ningún afectado hubiese sido cliente de la entidad. La coincidencia de que conste que 6 de las 7 personas sean psicólogas sugiere que los datos provengan de alguna base de datos común a este tipo de licenciatura como revista, Colegio Profesional o congresos. El Órgano instructor del expediente sancionador considera que la entidad interesada ha tenido acceso a los datos de carácter personal de al menos 351 personas de forma ilícita.

RIOJA JARDÍN ha informado que los datos personales de los destinatarios del envío publicitario tienen su origen en la cumplimentación de un formulario a través de la página web de la empresa www...X...., si bien no se acreditaron dichas circunstancias.

En el fichero automatizado de que dispone la entidad denominado “RIOJAJAR”, inscrito en el Registro General de Protección de Datos, con el código ########, no constan datos de los afectados.

La entidad no ha acreditado la procedencia de los datos personales de los destinatarios del envío publicitario y de los cargos efectuados en sus cuentas corrientes, tampoco ha acreditado el consentimiento de los afectados para el tratamiento de sus datos personales como nombre, apellidos, DNI, dirección y cuenta corriente, de al menos 333 personas físicas.

El artículo 6. 1 y 2 de la LOPD disponen lo siguiente: “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

En el presente caso, ha quedado acreditado el tratamiento de los datos personales de los denunciantes sin el consentimiento previo de los mismos, y sin que concurriera ninguna de las causas establecidas en el apartado 2 de dicho artículo para que no fuese preciso su consentimiento.

Todo ello, supone un tratamiento de datos sin consentimiento de los titulares de los datos, por parte de dicha entidad, lo que supone una infracción del artículo 6.1.

El Director de la Agencia Española de Protección de Datos impuso una sanción de 90.000 €. por una infracción del artículo 6.1 de la LOPD, tipificada como muy grave.




CLÍNICA LOS ÁNGELES DE LA SALUD 24 HORAS S.L.

Agentes de la Policía Local del Término Municipal de Teguise recogieron la localidad de (.......), en una finca y al margen de la carretera “diversa documentación con datos de carácter personal (ciudadanos civiles, militares y policiales), así como agendas con citas médicas y facturas procedentes de la Clínica Médica Los Ángeles de la Salud”, indicando además que “dicho centro médico según informes obtenidos, ha cerrado sus puertas desde hace unos meses”.

En el informe aportado por la Guardia Civil se refleja que la “documentación consiste en diversa documentación particular de dicho centro médico y en trescientos cincuenta y ocho (358) expedientes clínicos consistentes en documentación personal y reservada de clientes de la misma, concretamente en informes físicos y psicotécnicos para la obtención o renovación de diferentes actos administrativos (permiso de conducción, permiso de armas y tenencia de animales peligrosos), en soporte papel”, además “cada expediente va acompañado con la correspondiente fotografía personal”. “Los expedientes clínicos hallados forman parte de un fichero correspondiente a una correlación alfabética (como se puede comprobar la mayoría de los expedientes corresponden a apellidos que empiezan por la letra M)”.

El fichero de documentación clínica no estaba inscrito en esta Agencia Española de Protección de Datos.

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, establece en su artículo 17 todo lo referido a la conservación de la documentación clínica, indicando quien es el responsable de dicha conservación:

“1. Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial. 5. Los profesionales sanitarios que desarrollen su actividad de manera individual son responsables de la gestión y de la custodia de la documentación asistencial que generen. 6. Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y, en general, por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.

De ello se deduce que la Clínica Los Ángeles de la Salud 24 Horas, S.L. pudo ser la responsable del fichero de las historias clínicas, si así hubiese figurado en el contrato firmado con su administrador y hubiese inscrito el fichero en esta Agencia, siendo responsable del tratamiento cada uno de los médicos que colaborara en la Clínica. Esta situación no se produjo, por lo que en aplicación de lo dispuesto en el artículo 17.5 de la Ley 41/2002, que determina que cada profesional sanitario es responsable de la custodia de la documentación clínica que generen, es el Dr. M.M.M. el responsable de dicha custodia, debiendo conservar en su poder la documentación durante, al menos, cinco años.

El artículo 9 de la LOPD establece el principio de “seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquélla, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, la gestión de los soportes que vayan a ser desechados.

Dado que ha existido una falta en la diligencia debida que le era exigible en las medidas de seguridad del Dr. M.M.M., al poner a disposición de terceras personas la información concerniente a sus pacientes, vulnerándose así la confidencialidad de dicha información, se considera que la citada entidad ha incurrido en la infracción grave descrita.

Alega el imputado que la infracción estaba prescrita cuando se le ha notificado el acuerdo de inicio del presente procedimiento. Hay que señalar que la obligación de conservar las historias clínicas es de, al menos 5 años, y las medidas de seguridad obligan a evitar su pérdida. Dado que dejo la Clínica en el mes de marzo de 2006, la obligación de mantener las medidas de seguridad finalizarían, en principio, en marzo del año 2011. Por ello, la infracción no estaba prescrita cuando se inició el procedimiento sancionador.

El artículo 10 de la LOPD establece que:“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento.

En el caso que nos ocupa, el Dr. M.M.M. es responsable del fichero en el que constan los datos de sus pacientes, así como de la custodia de la documentación relativa a los mismos y que apareció abandonada en la vía pública. Atendiendo a las medidas de seguridad adoptadas por dicha entidad, se comprueba la existencia de un incumplimiento del deber de secreto, produciéndose una ausencia de confidencialidad, por lo que se considera que se ha cometido una infracción del transcrito artículo 10 de la LOPD.

El Director de la Agencia Española de Protección de Datos impuso una sanción de 60.101,21 €. por una infracción del artículo 10 de la LOPD, tipificada como muy grave.




ANAIS CENTRO MÉDICO ESTÉTICO.

El denunciante remitió un mensaje a la dirección de correo electrónico ..X.@.... solicitando la cancelación de sus datos personales a los efectos de no recibir más mensajes publicitarios no deseados en su teléfono móvil procedentes del Centro ANAIS, Centro Médico-Estético, sin obtener contestación al respecto por parte de la entidad destinataria.

El denunciante obtuvo la dirección de correo electrónico ..X.@.... de la página Web www....Y....., en la que figuraba como dirección de contacto para ejercer los derechos de acceso, rectificación y oposición la mencionada dirección de correo.

Con fecha 09/04/2008 el denunciante volvió a recibir en su teléfono móvil un nuevo mensaje de texto SMS de carácter publicitario procedente de “estéticaanais”.

En el presente caso la titular de ESTÉTICA ANAIS ha aportado copia de un documento denominado “Pasaporte Eventos &Bodas 2007”, que según sus manifestaciones fue cumplimentado por el denunciante, puesto que la organización de la Feria de Zaragoza le proporcionó, una vez finalizada la Feria “Eventos y Bodas”, una relación con números de teléfonos de las personas asistentes a la misma que habían cumplimentado dicho folleto, entre los que se encontraba el teléfono del denunciante al que con posterioridad ha estado remitiendo mensajes. En el reseñado documento se indicaba que los datos cumplimentados en el mismo podían ser cedidos a las empresas colaboradoras de la Feria de Zaragoza, entre las que figuraba como empresa expositora en el mencionado evento “ANAIS CENTRO MÉDICO ESTÉTICO”.

Dando visos de verosimilitud a dichos argumentos, por quedar acreditada la participación en el citado evento de la entidad imputada y la existencia del documento mencionado, se considera que en el presente caso existen indicios que permiten admitir la existencia de un consentimiento prestado por el denunciante para la cesión de sus datos por la Feria de Zaragoza a terceras empresas colaboradoras de la misma, lo que motivó su utilización por parte de la entidad ESTÉTICA ANAIS, una vez facilitado el número de teléfono móvil del denunciante por la organización de la Feria, para la remisión de mensajes cortos promocionando sus servicios y productos de estética, dado el contexto comercial en el que fueron recogidos.

La titular del referido Centro ha indicado que la solicitud de cancelación realizada con fecha 26 de febrero de 2008 por el afectado utilizando la dirección ..X.@.... No fue recibida por ESTETICA ANAIS, ya que dicha dirección fue insertada erróneamente al diseñar la configuración de la citada página Web, siendo la dirección correcta ..X2.@.....

No ha quedado acreditado que la Sra. L.L.L., en calidad de prestador de servicios, tuviera habilitado un procedimiento sencillo y gratuito para que los destinatarios de servicios pudieran revocar el consentimiento que hubieran prestado.

El artículo 22.1 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en lo sucesivo LSSI), establece:
“1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente. A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.”

En consecuencia, la titular de ESTÉTICA ANAIS, ha incurrido en la infracción del artículo 22.1 de la LSSI, tipificada como leve en el artículo 38.4.h) de la citada norma, al no haber habilitado un procedimiento sencillo y gratuito que hubiera permitido al denunciante revocar el consentimiento prestado, puesto que el mecanismo de revocación no funcionó de forma efectiva y real entre el 01/02/2008 y el 11/07/2008, debiendo insistirse en que el ejercicio efectivo de dicho derecho hace necesario que se garantice a los destinatarios un procedimiento que resulte válido y operativo una vez implementado.

El Director de la Agencia Española de Protección de Datos resolvió imponer a Dª. L.L.L., en calidad de titular del Centro “ANAIS CENTRO MÉDICO ESTÉTICO”, por una infracción del artículo 22.1 de la LSSI, tipificada como leve, una sanción de 600 €.