WOLTERS KLUWE ESPAÑA, S.A.
Tuvo entrada en la AEPD una denuncia de D.A.A.A. en el que declara que remitió escrito a WOLTERS KLUWER solicitando la cancelación de sus datos personales. Con fecha posterior recibió escrito de la entidad, del que aporta copia, en la que se le notificaba que se ha procedido a atender su solicitud. Posteriormente recibió publicidad postal nominativa de la entidad.
Presentada a los representantes de la entidad la publicidad recibida por el denunciante, estos manifiestan que se trata de una campaña publicitaria de “LA LEY”, marca utilizada por WOLTERS KLUWER y donde se promocionaba productos de la empresa.
WOLTERS KLUWE ESPAÑA, S.A. mediante escrito formuló alegaciones, significando la inaplicación de la LOPD al caso concreto. Los profesionales quedarían bajo el ámbito de aplicación de la LOPD cuando no fuera posible diferenciar su actividad mercantil de la propia actividad privada. Los datos utilizados en el envío publicitario afectan exclusivamente su esfera profesional y nunca a su esfera privada, ya que además de tener en consideración que la publicidad remitida versaba sobre productos para profesionales del derecho, los concretos datos son los reflejados en el listado de colegiados del ICAM del año 2006, no existiendo duda alguna de que los mismos se refieren al denunciante exclusivamente como profesional colegiado.
Respecto de la aplicación de la normativa de protección de Datos al presente caso, que aduce la representación de WKE, S.A., tanto en las alegaciones presentadas al Acuerdo de Inicio como a las realizadas ala Propuesta de Resolución, señalar que si bien el denunciante es un profesional colegiado ejerció su derecho de cancelación y la entidad WKE, S.A., no planteo duda alguna a cerca de su sujeción a la LOPD, recuérdese que le informo mediante carta que se procedía a su cancelación” lo que evidencia por parte de WKE, S.A., la aplicabilidad de la LOPD a los datos que trato del denunciante.
Por otro lado, en lo referente a la constancia de los datos personales en fuentes accesibles al publico, tal como son las listas de profesionales, señalar que si bien, de conformidad con lo dispuesto en el art. 6.2 LOPD, dispensan de la obtención del consentimiento para el tratamiento, desplaza tal dispensa la circunstancia de que expresamente el titular de los datos haya solicitado la cancelación de sus datos y el responsable del fichero haya obrado en consecuencia, lo que supone que los mismos no serán utilizados para la realización de prospección comercial.
El director de la Agencia Española de Protección de Datos resolvió imponer a Wolters kluwe España, S.A., por la infracción del artículo 16 de la LOPD, una multa de 60.101,21 €.
ARISTA MARKETING, S.L.
Se recibió en el registro de la AEPD una denuncia de D. R.R.R. (en lo sucesivo el denunciante) abogado en ejercicio, en la que manifiesta estar recibiendo ofertas publicitarias no deseadas en la línea de fax ######## instalada en su domicilio profesional.
Entre los documentos aportados se encuentra un Fax recibido conteniendo publicidad del GRUPO FINCREDIT MANAGEMENT, en cuyo pie consta como responsable de los datos utilizados para la promoción la entidad E-MADI MARKETING.
En el pie de página del citado fax se incluye una leyenda con el siguiente texto: “CONFORME A LA LEY VIGENTE UV. PUEDE SOLICITAR LA SUPRESIÓN DE SUS DATOS. Los datos utilizados para esta promoción están incluidos en un fichero cuyo responsable es E madi Marketing, procediendo éste de fuentes accesibles al público. Si por cualquier razón no quisiera seguir recibiendo información por fax, envíenos un fax al número #######2 o al número #######3, o una carta a la siguiente dirección haciendo constar su número de fax: E-madi marketing. (C/.........................)”
La empresa manifiesta en sus alegaciones que “El consentimiento previo e informado de los destinatarios se ha obtenido en enero de 2006 y en enero de 2007 mediante el envío de un Fax para esa finalidad, informando a los receptores que si en el plazo de 30 días no se ha recibido oposición, se entiende prestado el consentimiento.”
Con fecha 15 de abril de 2009 tuvo entrada en la Agencia escrito formulado por el denunciante en el que indicaba tanto que no había dado autorización de ninguna clase a ARISTA para la remisión de envíos publicitarios y comerciales de ninguna índole como que, con fecha 18 de enero de 2007, había recibido de E-MADI MARKETING el ejemplar de fax al que ARISTA se refería como enviado para solicitar el consentimiento previo e informado para recibir mensajes de fax con fines de venta directa, el cual fue devuelto con fecha 19/01/2007 al número de Fax ######## indicado en dicho ejemplar con la siguiente observación “No deseo recibir información y les ruego me den de baja de su base de datos”, conforme prueba mediante la aportación de la citada comunicación y del informe de transmisión de que el fax fue recibido correctamente.
Se considera infracción grave la conducta consistente en el envío masivo de mensajes de fax de venta directa a multitud de destinatarios sin estar amparado por la cobertura del consentimiento previo, expreso e informado de los destinatarios de los mismos en calidad de abonados a los servicios de comunicaciones electrónicas.
La entidad denunciada ha cometido la infracción imputada, puesto que, para este tipo de comunicaciones comerciales vía fax no resulta válido el consentimiento tácito que ARISTA indica fue obtenido ante la falta de oposición a dicho tratamiento por parte de los destinatarios de las solicitudes de consentimiento enviadas vía Fax en enero de 2006 y 2007 en el plazo que se concedía a tal efecto (30 días). En este sentido, indicar que la falta de negativa de los destinatarios al tratamiento de los datos, incluso después de haberles sido concedido un periodo de tiempo prudencial para manifestar su oposición, no puede constituir, en ningún caso, una declaración de consentimiento expreso, independientemente de los términos en los cuales se les informe en la comunicación remitida, por lo que de producirse envíos con fines de venta directa a los abonados de los cuales se haya recabado el consentimiento tácito, esta conducta es constitutiva de infracción a la LGT, al no cumplirse con la obligación de contar con el consentimiento expreso recogida en el artículo 38.3.h) de la LSSI.
Por otra parte, el hecho de que los datos obrantes en el fichero “Empresas y Profesionales” de ARISTA se hayan obtenido de fuentes accesibles al público,- conforme reza en el Acta de Inspección, no habilita su tratamiento para los fines promocionales o publicitarios especificados, puesto que en todo caso resulta necesario contar con el consentimiento expreso de los destinatarios de las llamadas de fax, al no establecerse por los mencionados preceptos de la LGT ninguna excepción a la necesidad de contar por parte del remitente de los envíos con el consentimiento previo, informado y expreso de los destinatarios de los mensajes de fax con fines de venta directa.
El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad Arista Marketing, S.L., por la infracción del artículo 38.3 de la LGT, una multa de 30.001 €.
ARSYS INTERNET, S.L.
El Director de la Agencia Española de Protección de Datos solicitó el inicio de actuaciones previas, debido al presunto acceso ilícito a datos personales en los sistemas de información de una empresa dedicada a gestionar dominios de Internet. Junto a la orden de apertura, incluye: Noticia publicada en el periódico El País el día 11/6/2007, en cuyos titulares consta literalmente: Los datos de 120.000 usuarios españoles en manos de ‘ciberpiratas’.
Igualmente aporta copia de un post publicado en el servidor web con URL http://www.....X...../...........en cuyos titulares consta literalmente: Carckers roban datos de 120.000 clientes de una empresa de hosting Española.
De la información facilitada por ARSYS durante la visita de Inspección realizada en fecha 2/7/2007 se desprende lo siguiente:
La entidad recibió un aviso el día 24 de abril de 2007 por parte de tres clientes de la entidad informando sobre comportamientos anómalos de los sitios Web de los que son titulares que se encuentran alojados en los sistemas de ARSYS.
Tras un primer análisis por parte de los técnicos de seguridad de ARSYS, se comprueba que en las páginas afectadas (algo mas de 4000, según la entidad) se ha instalado una secuencia de código que, mediante una redirección a un tercer sitio Web ubicado fuera de España – Panamá o Rusia, según los casos -, realiza la descarga de un programa con características de “troyano” que queda instalado en los equipos que acceden a los sitios web comprometidos.
Consultado el servicio jurídico de la entidad, se concluye la necesidad de interponer una denuncia ante la Guardia Civil, para que esta realice las acciones que estime oportunas para la persecución de los ciberdelincuentes.
Aporta la entidad copia de la denuncia presentada, presentada en fecha 24 de mayo de 2007, en la que consta que un representante de la entidad manifiesta que los intrusos han tenido acceso a datos personales consistentes en nombres y apellidos, NIF y/o DNI, domicilios, datos bancarios, direcciones de correo electrónico y teléfonos de contacto de los clientes de la entidad, cuentas FTP y bases de datos de los propios clientes de la entidad. Manifiesta igualmente que el número de clientes afectados asciende a unos 100.000.
El artículo 9 de la LOPD, dispone que el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
El director de la Agencia Española de Protección de Datos resolvió imponer a Arsys Internet, S.L., por la infracción del artículo 9 de la LOPD, una multa de 6.000 €.
|
