NORD 3000 ASSESSORS, S.L.
Tuvo entrada en la AEPD, un escrito remitido por la Concejalía de Servicios de Régimen Interior del Ayuntamiento de Terrassa, en el que acompañaba un informe de la Policía Municipal de la localidad, mediante el cual informaba del hallazgo de documentos en la concurrencia de la (c/.................) y (c/.................) de dicha localidad.
La Policía Municipal señala que se recibió una llamada del “Diari de Terrassa” notificando que había aparecido documentación esparcida por el suelo, en las (c/.................) y (c/.................). La Policía Municipal detalla que se trata de impresos con el membrete de “Asesoría Nord Assesors”, relativos a “borradores de hacienda”, direcciones de correo electrónico, contratos de trabajo con datos identificativos, copias de altas de trabajadores en la Seguridad Social, datos de NIE y nombre y apellidos de empleada de la gestoría, modelo 184 retención socios del IRPF, nómina de liquidación y finiquito, y otros datos referidos a empresas.
Se realizó visita de Inspección a la empresa manifestando su representante:
1. Disponen de 4 ficheros inscritos, entre ellos el A3NOM, que gestiona materia laboral.
2. La destrucción de documentación de la Gestoría se realiza con destructoras de papel, y después se deposita en la puerta del establecimiento, recogiéndose por el Ayuntamiento.
3. El personal de la Asesoría detectó que faltaba una caja que contenía documentación y que iba a ser destruida, situada cerca de la puerta de salida.
4. El representante de Nord 3000 interpuso denuncia ante la Policía Municipal de la localidad por hurto.
El artículo 9 de la LOPD establece el principio de “seguridad de los datos”, imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquélla, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” y “pérdida”.
El artículo 8 del Reglamento de seguridad establece que responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.
La entidad debió adoptar las medidas de seguridad necesarias para evitar la que los datos de que dispone en formato papel, sean desechados correctamente, y no dando lugar a posibilitar su hallazgo dejándolos en una caja, ya sea al alcance del público, al no controlar el acceso a su oficina, y por tanto dejándolos al alcance de las personas, ya fuese en la vía pública al alcance de cualquier viandante.
Ha quedado acreditado que se inscribieron los ficheros y se dispone de documento de seguridad, los accesos a los sistemas de información se hallaban convenientemente protegidos con claves de acceso, se disponen de diversas destructoras de documentos, y se han tomado medidas como efectuar auditoria de comprobación de ajuste a la LOPD, que suponen que hechos como los sucedidos sean algo más difíciles de reproducirse, dando lugar a una cierta reducción de la culpabilidad por haber podido ser producido por un tercero.
El Director de la Agencia Española de Protección de Datos impuso una sanción de 6.000 €. por una infracción del artículo 9 de la LOPD, tipificada como grave.
ONDU EMBALAJE, S.A.
Tuvo entrada en la AEPD un escrito de D. T.T.T., en el que declara que, a pesar de que dejó de prestar servicios, por despido, en la empresa Ondu Embalaje, S.A., durante el año 2006 recibió varias notificaciones por infracciones de tráfico, cometidas en fechas 28/02 y 10/05/2006 con el vehículo matrícula “***###”, que utilizó como “coche de empresa” en su condición de trabajador de la citada entidad.
La entidad ONDU EMBALAJE suscribió con la entidad AUTORENTING un “Contrato de Arrendamiento de Vehículos a largo plazo”, correspondiente al alquiler del vehículo con matrícula “***###”. El documento contractual suscrito, en su Apartado 7º “Conductor Habitual”, constan los datos personales de D. T.T.T. relativos a nombre, apellidos y número de D.N.I.
En la Cláusula Cuarta de las “Condiciones Generales” del mencionado contrato de renting se obliga al arrendatario, en este caso a ONDU EMBALAJE, a comunicar los datos del conductor habitual y, en su caso, la sustitución del mismo.
D. T.T.T. prestó servicios como empleado para la empresa ONDU EMBALAJE hasta su despido Durante esa relación laboral y en su condición de trabajador de la citada entidad utilizó, como “coche de empresa”, el vehículo matrícula “***###” . Con posterioridad al cese de la relación laboral, D. T.T.T. recibió en su domicilio diversas notificaciones del Ayuntamiento de Madrid relacionadas con infracciones de tráfico, con el vehículo matrícula “***###”. En dichas notificaciones se señala a D. T.T.T. como autor de las respectivas infracciones.
Los datos personales de D. T.T.T., señalándolo como conductor del vehículo matrícula “***###” en el momento en que se cometieron las infracciones reseñadas fueron facilitados al Ayuntamiento de Madrid por la entidad AUTORENTING, conforme a los datos que constaban en el “Contrato de Arrendamiento de Vehículos a largo plazo” suscrito por la misma con la entidad ONDU EMBALAJE.
La entidad AUTORENTING ha manifestado a los Servicios de Inspección de la Agencia Española de Protección de Datos que ONDU EMBALAJE designó a D. T.T.T. como conductor habitual de dicho vehículo en el correspondiente contrato, sin que esta sociedad hubiese comunicado ninguna variación al respecto.
Se imputa en el presente procedimiento a ONDU EMBALAJE una infracción del artículo 4.3 de la LOPD, que señala que “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.
Por otra parte, el apartado 4 del mismo precepto establece que “Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.
La obligación establecida en el artículo 4 impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.
El Director de la Agencia Española de Protección de Datos impuso una sanción de 60.101,21 €. por una infracción del artículo 4 y 4.3 de la LOPD, tipificada como grave.
PREVISIÓN MÉDICA, S.L.
Tuvo entrada en la AEPD un escrito presentado por Dª A.A.A., en el que denuncia que la empresa Prevención Médica no cuenta con medidas básicas de seguridad en cuanto a la gestión y tratamiento de los datos personales, tanto de de los pacientes que acuden al centro como de los trabajadores de la entidad. No tiene inscritos los ficheros relativos a trabajadores, clientes y proveedores.
Como trabajadora de la entidad y usuaria de ficheros de datos personales, nunca ha recibido información alguna sobre las normas de seguridad aplicables. El sistema de información de la entidad carece de procedimientos de identificación y autentificación.
La actividad de la empresa Prevención Médica consiste en la atención a pacientes oftalmológicos, así como la elaboración de certificados médicos para presentar ante distintos organismos de la Administración.
Para la gestión de la actividad de la empresa, se dispone de los ficheros CERTI y FICHA, ambos registrados en el Registro General de Protección de Datos.
Los datos relativos al personal que presta sus servicios en la entidad se encuentran en soporte papel (contratos y nóminas), dado que tanto las nóminas como el resto de la gestión contable de la entidad es realizada por la gestoría R.C. y J.M. SL. de la que aportan contrato de tratamiento de datos según el Art., 12 de la LOPD y se designa a la gestoría como encargada del tratamiento.
Requerido el documento de seguridad, los representantes de la entidad informan que no disponen del mismo. Se solicitó copia de algún documento que contenga las funciones y obligaciones del personal en materia de protección de datos, manifestando que tampoco disponen de dicho documento.
El artículo 26 de la LOPD, dispone lo siguiente:
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
El artículo 55 del Real Decreto 1720/2007, señala:
2. Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación.
Habiendo quedado acreditado que existen datos personales inscritos en el fichero “Nóminas” al menos desde la fecha de alta del primer trabajador, Prevención Médica debía haber inscrito el citado fichero en la Agencia Española de Protección de Datos antes de haber dado lugar a la recogida e inscripción de los citados datos.
También se imputa a Previsión Médica la infracción del artículo 9 de la LOPD. El citado artículo establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.
En este supuesto, Prevención Médica ha incumplido la citada obligación, pues durante la visita de inspección, el representante de la entidad indicó que carecían de documento de seguridad y también carecían de un documento con las obligaciones del personal en materia de protección de datos.
El Director de la Agencia Española de Protección de Datos impuso una sanción de 601,01 €. por una infracción del artículo 26.1 de la LOPD, tipificada como leve y una sanción de 3.000 €. por una infracción del artículo 9 de la LOPD, tipificada como grave.
