Boletín nº5 Mayo 2010
 
       
Sanciones a entidades privadas
 

Las sanciones publicadas por la AEPD, corresponden al mes de Diciembre. Durante este período, la Agencia ha abierto 36 expedientes sancionadores.

La recaudación total de la AEPD durante este mes asciende a 859.797,54 €.

 
 

Bosques Naturales, S.A.

Tuvo entrada en la AEPD un escrito de D. A.A.A, poniendo de manifiesto que por parte de la sociedad BOSQUES NATURALES S.A., entidad de la que es accionista y también cliente en razón del contrato de compraventa de 43 árboles de sus plantaciones forestales suscrito con dicha sociedad, ha recibido 5 correos electrónicos ofertando productos y servicios de otras empresas.

En las estipulaciones y Anexos del contrato no consta que el denunciante autorizase a BOSQUES NATURALES, S.A. a utilizar sus datos con fines promocionales, habiéndose manifestado por éste que en ningún momento ha consentido.

El artículo 21 de la citada LSSI, establece:

“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

La remisión de las citadas comunicaciones comerciales constituye una infracción grave a lo previsto en el artículo 38.3.c) de la LSSI, ya que dicho precepto considera infracción grave dos tipos de conductas, una asociada al envío masivo de comunicaciones comerciales por medios de comunicación electrónica y otra vinculada al envío en el plazo de un año por tales medios de más de tres comunicaciones comerciales a un mismo destinatario.

El director de la Agencia Española de Protección de Datos resolvió imponer a BOSQUES NATURALES, S.A., por la infracción del artículo 21.1 de la LSSI, tipificada como grave, una multa de 30.001 €.




Anta Gestión de Usos Terciarios, S.L.

Tuvo entrada en la Agencia Española de Protección de Datos un escrito de Dª. A.A.A., en el que manifiesta que estuvo residiendo en la Residencia Universitaria San Agustín de Burgos hasta el curso 2007-2008. Para solicitar el ingreso en la Residencia junto con el formulario de solicitud facilitó su expediente académico y documentación relativa a su estado de salud, ya que afectaba al régimen alimentario. La Residencia le pidió, con objeto de completar el expediente de solicitud, que presentase un informe médico por escrito en el que constaran las prescripciones alimentarias necesarias.

Durante el curso 2007-2008, Dña. A.A.A. presentó una denuncia ante el Servicio Territorial de Sanidad y Bienestar Social de la Delegación Territorial de Burgos, motivada por unas irregularidades en el servicio de comedor de la Residencia, que ocasionó la tramitación de un expediente sancionador a la empresa que la gestionaba: INIZIA GESTION INMOBILIARIA S.L., que tuvo acceso al expediente sancionador y por lo tanto a los datos de la Sra. A.A.A. y de los demás denunciantes.

La denunciante manifiesta que con fecha 15 de julio de 2008, La Residencia dirigió un escrito a los padres de los estudiantes que habían secundado la denuncia, en el que se facilitan los datos personales de Dª. A.A.A., y en el que consta que “tiene 29 años y ha permanecido en la Residencia durante siete años cursando la carrera de “Arquitectura Técnica”, aún sin terminar y que ha recibido un trato privilegiado debido a sus “molestias estomacales”.

Aporta copia del escrito recibido por sus propios padres y de otros dirigidos a los padres de otros seis residentes. Junto con este escrito se acompañaba otro, que debía ser firmado por los residentes, con objeto de manifestar su disconformidad con la denuncia presentada ante el Servicio Territorial de Sanidad y Bienestar Social de la Delegación Territorial de Burgos. En los escritos figura el membrete de la Residencia Universitaria San Agustín y consta como firmante “B.B.B.” Directora. La denunciante manifiesta que la firma que figura en los escritos no es de Dª. B.B.B. sino que es de D. C.C.C., gerente de la residencia. A este respecto aporta copia de un escrito recibido en abril de 2004 por los padres de la denunciante, firmado por el citado gerente, con objeto de acreditar que la firma que consta es idéntica a la que consta en los escritos objeto de ésta denuncia.

La denunciante aporta copia de la noticia publicada en “El Correo de Burgos” de fecha 21 de julio de 2008 con el titular “La Residencia San Agustín pide a los alumnos que se retracten de la denuncia de la cocina – Los responsables del Centro han enviado una carta, con fecha 15 de julio, a los 142 residentes que apoyaron la denuncia en la que se adjunta un texto para firmar, que rechaza la queja presentada”.

La Residencia manifestó que no disponía de la autorización para la utilización de los datos personales de la Sra. A.A.A. en el escrito remitido a los padres de varios residentes con fecha 15 de julio de 2008, y que dichos datos no constan en ningún fichero de la sociedad, aunque se trata de datos conocidos entre las personas del entorno de la residencia por notoriedad.

La Sociedad Gestora de la residencia manifiesta que no tuvo conocimiento de la existencia del escrito hasta recibir una llamada de la denunciante, a la que se informó de que la utilización del membrete de la Residencia en el mismo era totalmente ajeno a la empresa gestora.
Dicho escrito, incompatible con su procedimiento, no fue emitido desde esa sociedad, ni conocido ni autorizado por sus representantes, a pesar de que existieron desavenencias entre el personal del centro y varios estudiantes.

En el procedimiento ha quedado acreditado que la entidad denunciada, como responsable del fichero, vulneró el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD al remitir una carta a varios padres de alumnos de la Residencia San Agustín de Burgos, con información concerniente a la denunciante conteniendo su nombre y apellidos, edad, formación académica y problemas físicos que le aquejan.

El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad Anta Gestión de Usos Terciarios, .SL., por la infracción del artículo 10 de la LOPD, tipificada como leve, una multa de 6.000 €.




Asesoría Audigestrade

Con fecha de 27 de agosto de 2008 tiene entrada en la AEPD, un escrito remitido por D.A.A.A. en el que denuncia a AUDIGESTRADE ASSOCIATS, S.L., por carecer de documento de seguridad, ni tener registrados sus ficheros en la Agencia Española de Protección de Datos.

AUDIGESTRADE tiene como actividad principal la consultoría empresarial en general: asesoría contable, fiscal y laboral. Los datos personales de sus clientes se incorporan al fichero automatizado denominado “EXPEDIENTES”, inscrito con fecha 12/05/09 en el Registro General de Protección de Datos con el código “#######CI1, con un nivel alto de medidas de seguridad al contener entre otros, datos especialmente protegidos.

AUDIGESTRADE dispone de Documento de Seguridad para el tratamiento de datos de carácter personal, fechado el 05/05/09, elaborado en cumplimiento de lo dispuesto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD. Asimismo, también dispone del Manual del Responsable de Seguridad en materia de protección de datos de carácter personal y del Manual de Usuario en materia de protección de datos de carácter personal, fechado asimismo el 05/05/09.

Asimismo consta en el expediente de inspección que en dicho fichero constan datos personales de clientes con fechas de alta anteriores a la implantación del documento de seguridad e inscripción del fichero.

En este procedimiento se ha acreditado que con anterioridad a la implantación de los citados documentos AUDIGESTRADE registró datos personales en el fichero “EXPEDIENTES”, esto es fueron tratados sin la existencia de todas las medidas de seguridad exigidas que deberían contenerse en el preceptivo documento de seguridad. No obstante lo anterior en la inspección verificada en los locales de AUDIGESTRADE se constató que si se habían adoptado ciertas medidas de seguridad como son la exigencia contraseña personalizada para el acceso a los equipos informáticos, de usuario y contraseña (identificación y autenticación) para el acceso al fichero “EXPEDIENTES”, así como la elaboración de copias de respaldo y recuperación de los datos. En definitiva AUDIGESTRADE no adoptó todas las medidas organizativas para garantizar la seguridad de sus datos de carácter personal con anterioridad a su registro y tratamiento en el fichero “EXPEDIENTES”.

También ha quedado acreditado, con relación a la inscripción de ficheros por parte de AUDIGESTRADE, que la misma se produjo el 12/09/09, esto es, con posterioridad a la creación del fichero ya que según comprobaron los servicios de Inspección, el 05/05/09, existían datos en el fichero que habían sido incluidos en fechas anteriores.

El director de la Agencia Española de Protección de Datos resolvió imponer a Audigestrade Associats, S.L., por la infracción de los artículos 9 y 26.1 de la LOPD, tipificadas como grave y leve respectivamente, una multa de 1.000 €. y 601,01€.