Corporación Legal 2001 SL
Nueve denunciantes manifestaron a la AEPD que la entidad CORPORACIÓN LEGAL 2001. S.L. había incluido sus datos de carácter personal en el fichero de solvencia patrimonial y crédito ASNEF sin requerimiento previo pago.
CORPORACIÓN LEGAL 2001. S.L. ha manifestado que es una mercantil que se dedica a la gestión de cobro de créditos impagados de terceras empresas, como es el caso de FÉNIX CARTERA, S.Á.R.L.- COMPARTIMIENTO CL HOLDING, por lo que utiliza los datos de los deudores que los clientes les entregan únicamente con la finalidad de realizar las acciones necesarias para obtener el cobro de las deudas, según indicaciones de la propia FÉNIX CARTERA; entidad acreedora titular de las distintas deudas, adquiridas por cesión de cartera de créditos de los acreedores originales.
De acuerdo con lo dispuesto con la LOPD, actúa como encargado de tratamiento de los datos de los deudores de sus clientes, entre los que se encuentran los datos de los distintos denunciantes, que sólo los trata por cuenta de FÉNIX CARTERA, S.Á.R.L.- CL HOLDING.
La gestión de cobro encomendada a esta empresa se realiza mediante contacto telefónico y cartas de requerimiento de pago, así como el envío de la primera carta de notificación de la cesión de la cartera de crédito, aunque las mismas están firmadas por cedente y cesionario, pues son las notificantes, y CORPORACION LEGAL 2001, S.L. únicamente se encarga del ensobrado y envío de las mismas.
En estas cartas, tanto en la notificación de la citada cesión, así como en los requerimientos de pago, se informan a los deudores que en caso de persistir en su impago, podrían ser incluidos en ficheros de solvencia patrimonial y crédito, dando así cumplimiento a lo establecido en al art. 39 RLOPD.
Estas cartas son enviadas por correo ordinario y el control de la recepción de las mismas se lleva a cabo mediante la asignación de un código individualizado para cada expediente, que se hace figurar en las cartas, y si estas son devueltas, se pasa un lector que identifica el código y la información se vuelca en el programa de gestión.
CORPORACIÓN LEGAL 2001. S.L. no ha aportado a la Agencia Española de Protección de Datos documentación que acredite que llevara a cabo requerimientos de pago a los denunciantes, con anterioridad a las inclusiones en el fichero de morosidad ASNEF.
Se imputa a CORPORACION LEGAL 2001, S.L. en el presente procedimiento la comisión de una infracción del artículo 4.3 de la LOPD, que dispone que: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.
En este caso, CORPORACION LEGAL 2001, S.L. incorporó a su sistema de información los datos personales de los denunciantes como deudores por determinados impagos, y ello en la labor de gestión de su cobro, deudas de titularidad de otra entidad.
Posteriormente, CORPORACION LEGAL 2001, S.L. en esa tarea del “manejo y cobro” de dichas deudas por cuenta del propietario de los respectivos créditos (la entidad luxemburguesa FENIX CARTERA) informó sobre ello al fichero de morosidad ASNEF sin requerimiento previo de pago a los denunciantes. En este sentido, CORPORACION LEGAL 2001, S.L. no ha acreditado a la AEPD con documentación suficiente que se requiriera de pago a los denunciantes previamente a las inclusiones ya detalladas anteriormente, pues con tales requerimientos éstos hubieran quedado advertidos de la posibilidad de inclusión caso de no regularizar la situación deudora.
El director de la Agencia Española de Protección de Datos resolvió imponer a las entidades
CORPORACION LEGAL 2001, S.L , por la infracción del artículo 4.3. de la LOPD, tipificada como grave, una multa de
36.000 €.
D. B.B.B.
Con fecha de 1 de febrero de 2010 tuvo entrada en la AEPD escrito de D. A.A.A. en el que manifiesta la difusión en distintos sitios web de sus datos personales (nombre y apellidos, domicilio) asociados a la compra de una cámara fotográfica realizada en el sitio web http://www.redprix.com
Por la Inspección se ha verificado que en la sección “¿Quiénes somos?” del sitio web http://www.redprix.com se hacía referencia, el 8 de febrero de 2010, al nombre comercial REDPRIX TECHNOLOGIES y al siguiente nombre fiscal: “REDPIX TECHNOLOGIES S.L. (EN CONSTITUCIÓN)”, con un supuesto NIF: ***NIF1 y domicilio fiscal en el nº 28 de la calle Ferraz, de Madrid. En el mismo sitio web se indicaba que los datos de los clientes estaban “almacenados en un fichero registrado en la AGENCIA DE PROTECCIÓN DE DATOS”, inscripción de la que la Inspección no ha tenido constancia.
En la actualidad, en esa misma sección del sitio web se hace referencia a la JAGESA, con CIF A46359642 (inexistente) y el siguiente domicilio de Ontinyent (Valencia): “CALLE DEL MZSIC MARTMNEZ VALLS, 33”
A través de informaciones publicadas en la edición digital del Boletín Oficial del Estado se ha tenido conocimiento de que el NIF reseñado en la factura aportada por el denunciante corresponde a D. B.B.B., con domicilio en Valencia, el cual figura registrado en el Registro Mercantil como administrador de la sociedad PCOFERTAS ONTINYENT, S.L., con domicilio en la calle Madeixes, 1 B, en el Polígono Industrial El Pla, de Ontinyent. Esta misma sociedad es la que se hace responsable del sitio web http://www.pcofertas.com, dirigido también a la venta de productos informáticos y electrónicos
La Inspección de Datos ha intentado infructuosamente la notificación de un requerimiento al responsable de la tienda http://www.redprix.com en todos los domicilios citados. Respecto de los dos primeros domicilios, el servicio de correos devolvió la notificación con la anotación “desconocido”. Las notificaciones remitidas al tercero de los domicilios, a nombre de D. B.B.B., con indicación de las marcas REDPRIX, JAGESA y PCOFERTAS, fueron devueltas por el servicio de correos al haber caducado en lista de correos.
La Inspección tampoco ha obtenido información adicional de este sitio web de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, órgano al que se ha dirigido en relación con las competencias que le atribuye la Ley 34/2002, de 11 de julio
La Inspección verificó, con fecha 8 de febrero de 2010, que al realizar una búsqueda del nombre del denunciante con el buscador Google se obtenían resultados asociados a la compra realizada en REDPRIX. En particular, se halló constancia de que en dos de los resultados, asociados al blog ¡Error! Referencia de hipervínculo no válida., y al sitio web http://www.shopmania.es, respectivamente, se relataban las incidencias habidas en la compra de la cámara. En el segundo de los resultados, así mismo, se incluía una referencia al domicilio del denunciante
En el presente caso, ha quedado acreditado que por parte del denunciado responsable de la custodia de los datos del denunciante (nombre, apellidos y domicilo), se vulneró el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido, a los citado datos personales del denunciante, sin consentimiento del mismo, según el contenido de las páginas web accedidas a través de los sitios web http://www.shopmania.es y ¡Error! Referencia de hipervínculo no válida., respectivamente. En la primera de las páginas se reproduce un texto fechado el 8 de enero de 2010, con el título “Respuesta de la Tienda”, en el que se hace referencia a las incidencias habidas en relación con la compra de una cámara el 11/12/2009. Al final del texto se incluye el nombre y apellidos y el domicilio del denunciante. La segunda de las páginas es un blog creado con el nombre y primer apellido del denunciante, en el que entre el 20 y el 22 de enero de 2010 se reproduce el intercambio de mensajes supuestamente mantenido entre el denunciante y la tienda, al respecto de dicha compra.
De acuerdo con los fundamentos anteriores, se ha producido una vulneración del deber de secreto y dado que en el documento accesible a través de Internet se recogen los datos personales de nombre, apellidos y domicilio, asociados a una compra realizada por internet, procede calificarla como infracción leve.
Igualmente se imputa a la entidad denunciada, la infracción del artículo 26.1 de la LOPD, que recoge lo siguiente:
“1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos”.
En el caso analizado, ha quedado acreditado que el denunciado recabando datos de sus clientes, por cuanto se dedica a la venta de productos por Internet, debió notificar la creación del fichero antes de iniciar la recogida de datos, es decir, antes de su puesta en funcionamiento.
Sin embargo, teniendo en cuenta el NIF que figura en la factura al denunciante o el CIF que figuraba en la página web del denunciado, se detecta que no había procedido a la notificación del fichero en el Registro General de Protección de Datos esta Agencia lo que supone una vulneración del citado artículo 26.1 de la LOPD.
El director de la Agencia Española de Protección de Datos resolvió imponer a D.B.B.B. por la infracción del artículo 10 de la LOPD, tipificada como leve, una multa de 3.000 € y por la infracción del artículo 26.1 de la LOPD, tipificada como leve, una multa de 3.000 €.
Con fecha de 16 de abril de 2010 tuvo entrada en la AEPD un escrito de la AGENCIA CATALANA DE PROTECCION DE DATOS, con el que remiten una denuncia de A.A.A. en la que declara que es socio del REAL AUTOMOVIL CLUB DE CATALUÑA (en adelante RACC) y como tal en fecha 25 de febrero de 2008 realizó en la misma un trámite de reclamación por una notificación de tráfico.
En el formulario cumplimentado para realizar dicho trámite, del que aporta copia, hizo constar que el número de teléfono móvil que facilitaba no se almacenara en la base de datos y que se utilizara solo para la gestión del trámite.
No obstante, con fecha 2 de julio de 2008 recibió en su teléfono móvil un mensaje SMS publicitario del RACC, por lo que ese mismo día envío les remitió un escrito en el que manifestaba su disconformidad con la utilización de su número de teléfono para el envío de publicidad, recordándoles lo que había hecho constar al facilitarlo para un trámite. Con fecha 11 de febrero de 2008 recibió la contestación del RACC en la que le piden disculpas indicándole que aunque habían tomado nota para que sus datos no fueran incluidos en acciones comerciales, se había producido un error que ya ha sido corregido y que no volvería recibir más mensajes.
No obstante, con fecha 25 de marzo de 2010, recibe una llamada del número 63xxxxx, en la que un comercial de RACC le realiza una propuesta comercial.
El RACC manifiesta que: Dado que en los sistemas del RACC únicamente constaba la negativa del denunciante a recibir mensajes SMS en su teléfono móvil, se le realizó una llamada en esa fecha. No obstante ante su queja se procedió a actualizar sus datos, haciendo constar su negativa a recibir también llamadas a su móvil, lo que se le comunicó con fecha 30 de marzo de 2010.
Alega también que es importante señalar que se debió exclusivamente a errores humanos de carácter involuntario, que provocaron el funcionamiento irregular del sistema informativo. Quedando acreditadas la absoluta falta de intencionalidad y la actuación diligente de la entidad para evitar los hechos producidos.
No solo se pidió disculpas sino que puso todos los medios a su alcance para regularizar la situación. El empleado que se encargo de modificar el sistema informativo señalo que el denunciante no quería recibir sms publicitarios, en vez de indicar que no se deseaba recibir ningún tipo de publicidad. La situación quedo normalizada después de que el denunciante contactara en marzo de 2010 con RACC, para quejarse por haber recibido una llamada telefónica comercial.
El tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato.
En el presente caso, ha quedado acreditado que el denunciante mostró su oposición para un determinado tratamiento de datos personales, habiendo sido tratados con posterioridad y para los fines y por los medios expresamente excluidos por aquel.
El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad RACC AUTOMOVIL CLUB,, por la infracción del artículo 6 de la LOPD, tipificada como grave, una multa de 5.000 €.
