Boletín nº5 Mayo 2011
 
       
Sanciones a entidades privadas
 

Las sanciones publicadas por la AEPD, corresponden al mes de Noviembre. Durante este período, la Agencia ha abierto 59 expedientes sancionadores.

La recaudación total de la AEPD durante este mes asciende a 1.443.128,44 €.

 
 

Residencia 3ª Edad Mataespesa

La entidad denunciada, comenzó su actividad en junio de 1997 hasta junio de 2006. En dicha fecha se puso a la venta parte del local destinado para la residencia, produciéndose una división del inmueble, adquiriéndose una de las viviendas, con fecha 29 de marzo de 2007, por la denunciante

El denunciado dejó olvidado en el inmueble vendido unos archivadores cerrados con llave que contenían documentación relativa a la gestión de la citada residencia de la tercera edad, ya que dicha documentación era de uso frecuente y el despacho de administración de la residencia se encontraba ubicado en la parte del inmueble dividida que se había vendido.

Constatado el error en los días posteriores a la venta, se requirió la entrega de la documentación mencionada mediante la remisión de un burofax. Dado que la entrega no fue finalmente realizada, el denunciado requirió nuevamente la documentación mediante burofax. Además, presentó una denuncia ante la Comandancia de la Guardia Civil de Villalba en relación con estos hechos y otra denuncia contra los compradores ante el Juzgado de Instrucción de Collado Villalba por apropiación indebida de documentos. Por último, con fecha 7 de septiembre de 2007 presentó petición de Acto de Conciliación ante el Juzgado de Paz de Alpedrete por los hechos mencionados, y con fecha 6 de noviembre de 2007 en la celebración del Acto de Conciliación los denunciados aportan un escrito donde manifiestan que han interpuesto denuncia ante la Agencia Española de Protección de Datos por estos mismos hechos sin que se realizara la entrega de los documentos por parte de la denunciante.

El artículo 9 de la LOPD establece el principio de seguridad de los datos, imponiendo al responsable del fichero la obligación de adoptar las medidas de índole técnica y organizativa que garanticen tal seguridad, así como para impedir el acceso no autorizado a los mismos por ningún tercero.

El denunciado debió, por ello, adoptar las medidas necesarias para impedir cualquier recuperación posterior de la información que contenían dichos documentos. Tales medidas no han sido adoptadas incurriendo con ello en la infracción tipificada en el art. 9 de la LOPD.

El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad Fraile y Centenera, SL, por la infracción del artículo 9 de la LOPD, tipificada como grave, una multa de 6.000 €.



Centro de Angiología y Cirugía Vascular de Barcelona SL

La denunciante acudió al Centro de Angiología y Cirugía Vascular de Barcelona como paciente asegurado por una compañía de seguros y tras una prueba médica se estimó la necesidad de una intervención quirúrgica.

La denunciante ha manifestado que se puso en contacto con su compañía de seguros, y ésta solicitó un informe del médico sobre la necesidad de la intervención. Ella solicitó el informe al Centro ACVB, desde donde enviaron su informe directamente a la compañía de seguros por medio de un fax no encriptado con sus datos personales, datos de su salud. Manifiesta también que algunos de los datos facilitados por fax eran irrelevantes para practicar la intervención deseada.

La entidad imputada ha manifestado que el informe clínico detallado de la denunciante fue enviado a petición de los Servicios Médicos de la compañía de seguros para autorizar o denegar la intervención quirúrgica.

Que fue necesario remitir un informe detallado, en el que se hacía constar los antecedentes médicos de la paciente ya que previamente se había sometido a una intervención de iguales características, y porque además padecía una enfermedad que comprometía la viabilidad de la intervención.

Que la información que se facilitó a la compañía no era excesiva, teniendo en cuenta que debía autorizar una nueva intervención quirúrgica.

Reconoce la entidad que el informe clínico fue enviado por fax el día 26 de febrero de
2009 a un número de titularidad de la compañía de seguros de la denunciante, sin haber utilizado un fax cifrado para el envío de la documentación, pues en aquel momento esta medida estaba en proceso de implantación.

El artículo 9 de la LOPD establece el principio de seguridad de los datos, imponiendo al responsable del fichero la obligación de adoptar las medidas de índole técnica y organizativa que garanticen tal seguridad, así como para impedir el acceso no autorizado a los mismos por ningún tercero.

El Centro de Angiología y Cirugía Vascular de Barcelona SL, en su calidad de responsable del tratamiento de los datos de salud contenidos en el informe clínico remitido a la entidad aseguradora de la denunciante, debió adoptar las medidas necesarias para impedir cualquier acceso a la información de carácter personal que contenía dicha documentación. Tales medidas no fueron adoptadas totalmente en el presente caso, como lo acredita el hecho de que se envió el informe clínico de la denunciante por fax con los datos sin cifrar.

El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad Centro de Angiología y Cirugía Vascular de Barcelona SL, por la infracción del artículo 9.1 de la LOPD, tipificada como grave, una multa de 3.000 €.




Amada Carlota SL (Hotel)

Tuvo entrada en la AEPD una denuncia de A.A.A. (en lo sucesivo la denunciante) frente al establecimiento de hostelería Amada Carlota SL, por no tener inscrito “ningún fichero” en la Agencia Española de Protección de Datos, no informar del uso de los “datos recogidos en la ficha y otros documentos de ingreso en el hotel, ni en las cámaras de videovigilancia que existen”.

Aporta copia de factura expedida por el establecimiento.

Por su parte Amada Carlota SL aporta copia de la notificación de la inscripción de ficheros, todos ellos de fecha posterior la presentación de esta denuncia.

El artículo 26 de la LOPD, que señala que “Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

Queda acreditado que AMADA CARLOTA no disponía de ficheros inscritos en el momento de formalizarse la denuncia, recogiéndose datos de clientes como lo acredita la factura de la denunciante en la que constan unos datos básicos para su confección. Esta recogida debía contar previamente a la misma con la inscripción del citado fichero, que como se acredita se cumplió poco después.

El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad Amada Carlota SL, por la infracción del artículo 26 de la LOPD, tipificada como leve, una multa de 1.000 €.