Boletín nº3 Marzo 2011
 
       
Sanciones a entidades privadas
 

Las sanciones publicadas por la AEPD, corresponden al mes de Octubre. Durante este período, la Agencia ha abierto 36 expedientes sancionadores.

La recaudación total de la AEPD durante este mes asciende a 1.490.531,66 €.

 
 

Endesa Energía SA

Con fecha 03/06/2009 tuvo entrada en la AEPD un escrito de D. B.B.B. en el que denuncia que es propietaria de la vivienda sita en la (C/........) y que la arrendó el 15 de marzo de 2007.

Cuando se celebró el contrato de arrendamiento era la titular del contrato del suministro de gas con GAS NATURAL SERVICIOS SDG SA, cambiándose solo el número de cuenta bancaria en donde se cargarían los recibos.

Que cuando pudo acceder al buzón de la vivienda, una vez finalizado el contrato de arrendamiento, se encontró una carta de fecha 30/04/2008 que indicaba que se estaba cursando la petición de baja de su contrato de gas con ENDESA ENERGÍA S.A.U., no habiendo ella contratado con dicha compañía.

Que en noviembre de 2008 se le comunica que ha sido incluida a instancias de ENDESA ENERGÍA, S.A.U, en el Registro de Morosidad en el Sector de la Comercialización de electricidad y de gas, sin notificación previa, mediante una carta enviada a la dirección “ A.A.A.”.

Que se pone en contacto con ENDESA, que le explica que ella se dió de alta en octubre de 2007 y que luego pidió la baja en julio de 2008. Que ella nunca ha contratado dicho suministro.

La denunciante aporta: Copia del contrato de arrendamiento de 15 mazo de 2007, copia de la carta de baja de contrato de gas de 30/04/2008 y copia de la carta de inclusión en el Registro Sectorial de Morosidad de 18/11/2008.

En fecha 01/06/10 tiene entrada escrito de alegaciones solicitando el archivo del expediente sancionador. Se basa en que los contratos denunciados han sido realizados por Rasuvalcan SL, empresa de servicios contratada para la captación de clientes; recibidos los contratos, se realizó la llamada de control y se tramitó el cambio ante la distribuidora; aceptada ésta, se procedió a enviar la carta de bienvenida con copia de las condiciones generales y contrato del cliente; por el consumo se emitieron las correspondientes facturas, devueltas impagadas, y se remitieron avisos de pago con la advertencia de inclusión en fichero de morosos; y al no abonar las facturas procedió a tramitar la baja e informar de ello a la denunciante.

Endesa había recibido el 20/09/07 de dicha empresa el formulario de “solicitud de suministro de gas natural” cumplimentado con los datos personales, de vivienda, de teléfono, de punto de suministro y de cuenta bancaria de domiciliación a que se refiere el hecho anterior y el nombre, apellidos número de identificación de extranjero del titular de dicha cuenta. Está fechado el 10/09/07 y en el apartado de firma cliente hay una rúbrica distinta a la que figura en la denuncia y el DNI de la denunciante.

Endesa Energía SAU no ha aportado prueba documental que acredite la contratación de dicho suministro, antes bien, los documentos que obran en el expediente, evidencian, que, en efecto, no contaba con el consentimiento del denunciante para el tratamiento de sus datos personales. Así lo ha manifestado de forma reiterada la persona denunciante y su actuación en todo momento corrobora la no existencia de consentimiento para la contratación. La firma cliente, contenida en la hoja de solicitud de contratación aportada es diferente a la del resto de documentos suscritos por la persona denunciante, incluido el DNI.

Asimismo, en el presente caso, ha quedado acreditado que Endesa Energía SAU instó el alta de los datos relativos al denunciante en el fichero RSM sin haber acreditado haber notificado a la persona denunciante el preceptivo requerimiento previo. La deuda que anota en dicho fichero como debida por el denunciante no puede acreditar que sea exacta, cierta y exigible. No puede ignorarse que no hay certeza de la contratación entre la denunciante y la imputada, y por tanto tampoco de la deuda.

El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad Endesa Energía SA., por la infracción del artículo 6.1 de la LOPD, tipificada como grave, una multa de 60.101,21 €., y por la infracción del artículo 4.3 de la LOPD, tipificada como grave, una multa de 60.101,21 €.



Centro Médico Barrionuevo SL

Tuvo entrada en la AEPD un escrito presentado por D. A.A.A. en el que declaraba que en Marzo de 2009 ha recibido en su domicilio un escrito de CENTRO MEDICO SAGASTA, del que aporta copia, en el que se le informa de que su carnet de conducir está próximo a caducar y le ofrecen sus servicios para gestionar la renovación del mismo.

El denunciante manifiesta que no ha mantenido ninguna relación con la empresa denunciada y por lo tanto desconoce cómo han obtenido sus datos personales y la fecha de caducidad de su permiso de conducir, dato que consta en la Jefatura Provincial de Tráfico y que no ha autorizado que se facilite a otra empresa.

El denunciante renovó su permiso de conducir en el Centro Médico de Conductores RAMON y CAJAL, con nº de inscripción MU-0004, en fecha 21/06/1994 y los representantes de CENTRO MEDICO BARRIONUEVO, S.L. manifestaron que se fusionaron con el Centro Médico de Conductores RAMON y CAJAL en el año 2006.

Se requirió a CENTRO MEDICO BARRIONUEVO S.L. para que aportara formulario de consentimiento firmado por el denunciante en el que se informará del tratamiento de sus datos para futuras renovaciones y en su caso los medios de oposición, sin que se aporte nada por parte de la entidad denunciada.

El tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato.

Asimismo, es de destacar que si CENTRO MEDICO BARRIONUEVO, S.L. incorporó la base de datos de otro entidad, tuvo que haber informado a los titulares de dichos datos de la identidad del nuevo responsable del fichero, y de la posibilidad de ejercer sus derechos ARCO, todo ello de conformidad con lo dispuesto en el art. 19 del RDLOPD que establece que: “En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre. En consecuencia, al no haber existido la citada información, el titular de los datos personales observa como éstos son tratados por un responsable de fichero sin que conozca el origen de los mismos y a priori sin su consentimiento.

En cualquier caso, la imputación del presente procedimiento, no es por la inobservancia del deber de información, sino por tratar los datos sin consentimiento.

El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad Centro Médico Barrionuevo SL., por la infracción del artículo 6 de la LOPD, tipificada como grave, una multa de 6.000 €.




A.A.A..P.

Tuvo entrada en la AEPD un escrito de la Agencia Catalana de Protección de Datos por el que se da traslado del escrito de la Dirección General de la Policía concerniente a la personación en comisaría de una persona que declara haber encontrado tirados en la basura del Paseo de Gracia de Barcelona un total de 57 curriculum vitae con datos personales y fotografías de personas que han solicitado empleo en el despacho de arquitectos Carlos Ferrater Lambarri.

Los representantes de la entidad manifiestan que a principios de 2009 se decidió no imprimir ningún CV y gestionar la información recibida por correo electrónico a través de este mismo medio. Asimismo se procedió a destruir la documentación en papel archivada durante los 6 últimos meses del año 2008, tal como establece nuestro protocolo de destrucción de archivo.

Al haber un gran volumen de trabajo en ese momento, la persona autorizada a hacer dicha tarea dejó momentáneamente los CV en una caja junto a su puesto de trabajo con la intención de destruirlos en otro momento de la jornada de menor carga de trabajo.

Según manifiestan los representantes de la entidad ha sido imposible averiguar que pasó realmente ya que después de cuatro meses nadie recuerda haber tirado esa caja y menos en un contenedor que queda a 3 calles del Ensanche de Barcelona, cuando tenemos uno mucho más próximo. Se ha hecho una investigación a nivel interno, preguntando incluso al personal de la limpieza, pero hay personas que actualmente ya no trabajan en el estudio y que no hemos podido localizar. A día de hoy, no podemos comprender como aparecieron esos CV en Paseo de Gracia. Según consta en el escrito de respuesta, el abandono de esta documentación se ha tratado de un accidente debido a un error humano que lamentamos y que no debe volver a repetirse ya que la información se trata de forma confidencial y sólo es accesible para las personas autorizadas.

El artículo 9 de la LOPD, dispone:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten la alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad A.A.A..P., por la infracción del artículo 9 de la LOPD, tipificada como grave, una multa de 4.000 €.