Archive for August, 2010
August 16th, 2010
“De vegades si, de vegades no”, cantava Julio Iglesias fa uns anys. Més recentment Jarabe de Palo va escriure en una cançó que “ … Depèn, de què depèn, de segons com es miri tot depèn …”.
Un acte i una sentència del 2010 dictats en menys d’un mes per dues audiències provincials (la de Madrid i la de Guadalajara) en assumptes en què l’accés a les dades d’identificació del titular d’una IP era necessaris per a l’èxit de la pretensió, posen de manifest una vegada més el confús règim jurídic que regula l’accés a les dades d’un abonat a una IP, quan la petició es duu a terme davant un Jutjat civil.
La Sentència de l’AP de Guadalajara (Secció 1ª), de 17-03-2010, ponent Sra. Isabel Serrano Fredes.
En la sentència de març de 2010 es jutja la intromissió il·legítima en el dret a l’honor d’una persona. S’explica que la demanda és Read the rest of this entry »
August 16th, 2010
En la SAN 10-02-2010 (Ponent Sra. Mª Luz Lourdes Sanz Calvo) s’analitza un cas sobre la vulneració del deure guardar secret, procés en el qual es plantegen diverses qüestions de summe interès, com la distinció entre el dret a la intimitat i la protecció de dades, l’àmbit limitat d’aplicació de la LOPD als fitxers no automatitzats o el principi de qualitat i la seva relació amb la publicació de dades sobre infraccions penals per una Administració Pública.
Aquesta sentència resol la impugnació d’una resolució de l’AGPD (AP/00064/2007), que va declarar que una Conselleria de Seguretat Ciutadana havia infringit el deure secret (article 10 de la LOPD i 44.3.g, infracció molt greu) en haver vulnerat el deure secret sobre les dades relacionades amb la vida sexual del denunciant, en aquell temps Policia Local de professió.
Els antecedents.
L’any 2005 es va publicar en el Butlletí Oficial de la ciutat de Melilla (BOME) i per la Conselleria de Seguretat Ciutadana de la ciutat autònoma de Melilla, una resolució relativa a la “notificació de resolució d’expedient disciplinari” referida a un Policia Local que resultava accessible a través d’internet.
Aquesta resolució assenyalava entre altres aspectes, que es condemnava al format expedient com a autor d’un delicte d’abús sexual amb prevalença a la pena de dos anys de presó, inhabilitació especial per a l’acompliment de la professió o ocupació durant el temps de la condemna, destacant que el denunciant (el Policia Local) no havia atorgat consentiment perquè aquesta comunicació es dugués a terme, comprovant la AGPD que es podia accedir al contingut íntegre de la resolució mitjançant el cercador Google.
El debat jurídic.
Ja des de l’inici de la sentència queden fixades les visions antagòniques entre el responsable del fitxer o tractament Read the rest of this entry »
August 11th, 2010
Un empleat que treballa en una empresa de seguretat privada la denúncia davant l’AGPD, ja que l’empresa ha cedit a una Universitat les seves dades personals sense consentiment.
En l’expedient incoat per l’AGPD (I/00998/2009), s’explica que el treballador va aportar a l’empresa de seguretat les dades necessàries per formalitzar l’habitual procés de contractació laboral, elaborant aquella la fitxa de personal (amb el DNI, el nom, els cognoms, el domicili, el telèfon, la data de naixement, el nom del pare i de la mare, el telèfon mòbil, l’adreça de correu electrònic, la data d’expedició del DNI i l’experiència laboral).
Més tard l’empresa de seguretat en la qual treballa el denunciant cedeix les seves dades personals a la Universitat, en resultar adjudicatària l’empresa de seguretat del concurs de seguretat i vigilància.
El treballador davant això exerceix un dret d’accés davant la Universitat (que li respon facilitant-li la seva fitxa de personal) i a més presenta una denúncia davant l’AGPD contra l’empresa.
L’Agència explica que concorre en aquest cas una excepció en deure obtenir el consentiment per part l’empresa al seu treballador per cedir les seves dades personals, ja que existeix una relació contractual entre la Universitat i l’empresa de seguretat pel compliment de la qual és necessari que l’empresa de seguretat faciliti dades personals a la Universitat dels treballadors que van a prestar els seus serveis, i que a més concorre una altra circumstància important i és que la cessió de dades personals està prevista en el contracte entre la Universitat i l’empresa de seguretat, ja que en el plec que regula el concurs (apartat 4.2.) es contempla precisament la cessió de dades personals:
“Elecció i substitució del personal de seguretat i vigilància …. L’empresa adjudicatària proporcionarà, com a requisit previ a la prestació del servei, el currículum dels vigilants nous proposats a fi de poder seleccionar aquells que consideri en millors condicions per a l’acompliment de les funcions. Haurà d’incloure la relació nominativa –amb identificació fotogràfica- del personal adscrit a la prestació del servei. Referent a això la UPV/EHU podrà recaptar quanta informació i documentació estimi pertinent …”.
L’AGPD finalment arxiva la denúncia.
© Ramon Arnó Torrades, 2010, Lleida
August 11th, 2010
La Guàrdia Urbana de Barcelona localitza diversa documentació abandonada al carrer, entre la qual troba uns 100 currículums vitae amb dades personals. Alguns d’aquests documents (uns 35) inclouen a més una fitxa de l’entrevista personal duta a terme entre el candidat i l’entrevistador (amb anotacions referides a la impressió causada i a la seva disponibilitat).
Després de la denúncia de la Guàrdia Urbana, l’AGPD (PS/00525/2008, R/00474/2009) inicia un procés sancionador, destacant-se que en el moment dels fets el responsable no disposava de document de seguretat, la qual cosa afegit a la presència dels currículums al carrer, porta a l’AGPD a imputar-li la infracció de dos deures, el de seguretat (art. 9 LOPD) i el de secret (art. 10 LOPD).
Una qüestió interessant que es discuteix entre el responsable del fitxer o tractament i l’AGPD és en quin moment comença el còmput de la prescripció de les infraccions, si ha d’iniciar-se quan es produeix l’abocament de la documentació en la via publica (argument del responsable), o bé, tractant-se d’una infracció continuada, la mateixa comença quan aquesta documentació és dipositada al carrer a la vista de tercers i finalitza en el moment en què la Guàrdia Urbana localitza les carpetes.
L’AGPD es decanta per aquesta segona tesi ja que es tracta d’una infracció permanent (citant la SAN 3-12-2008) amb el que l’al·legació de prescripció del responsable finalment no prospera.
L’AGPD exposa a més que el responsable va haver d’adoptar les mesures de seguretat necessàries per impedir qualsevol recuperació posterior de la documentació, mesures que no van ser preses (art. 44.3.h LOPD, infracció greu de seguretat) i que amb la seva conducta, el responsable també va vulnerar el deure de confidencialitat, que té com a finalitat evitar que els qui estan en contacte amb les dades personals, realitzin filtracions dels mateixos no consentides pels titulars dels mateixos (art. 44.3.g LOPD).
Donat per tant que el responsable va infringir dos deures (seguretat i secret) i que ambdues infraccions són de caràcter greu, per aplicació de l’art. 4.4 del RD 1398/1993 (reglament de procediment de la potestat sancionadora) les dues es subsumeixen finalment en una sola (en aquest cas, infracció del deure seguretat, art. 9 LOPD).
La sanció que s’imposa al responsable és de 4000 euros, import inferior a l’habitual en aquests casos, en haver ponderat la AGPD diverses circumstàncies concurrents que justifiquen la reducció de l’import de la mateixa (per aplicació de l’art. 45.5 LOPD) com són, d’una banda, l’existència d’un canvi de titularitat en l’empresa mesos abans de l’abocament i també pel fet que l’empresa estava en període de canvi de sistemes d’informació, un dels motius dels quals era precisament, adaptar-se a la LOPD.
© Ramon Arnó Torrades, 2010, Lleida
August 11th, 2010
Una persona (aquí denunciant) envia un currículum vitae a un hotel (denunciat) mitjançant el correu electrònic. L’hotel rep el currículum i el reenvia (sense consentiment) a dues persones emprades en l’empresa del denunciant (aquesta és la infracció!). Més tard l’hotel comunica al denunciant que “aquest CV per causes òbvies, no és del nostre interès”.
Aquesta és la història explicada en una resolució de l’AGPD (PS/00239/2007, R/01233/2007) que acaba amb una sanció a l’hotel per un import de 60.101,21 euros.
L’hotel al·lega davant l’AGPD que el currículum va ser enviat a títol personal pel denunciant i de forma aliena als mecanismes habituals de recepció de currículums en l’empresa, i a més que la persona que va rebre el currículum a l’hotel (que era el responsable de la citada cadena hotelera), era amic del denunciant (fet que aquest nega), sense que per tant existís cap sol·licitud per part de l’hotel cap al denunciant.
A més l’empresa hotelera afirma que la direcció a la qual es va enviar el correu electrònic amb el currículum era genèrica, això és que no es corresponia amb l’adreça del departament de recursos humans (de fet s’aporten al procediment varis anuncis de treball amb adreces de correu electrònic especifiques per a l’enviament de currículums a l’hotel) i que existien a més unes normes d’actuació i uns procediments establerts respecte al tractament de sol·licituds d’ocupació o currículums a l’hotel.
L’AGPD, partint del fet provat que un directiu de l’hotel va reexpedir aquest correu electrònic amb el currículum a dues persones amb les quals treballava el denunciant sense el consentiment d’aquest últim, declara que aquests fets suposen la infracció del deure secret que correspon al responsable del fitxer o tractament, se li imputa una infracció greu (art. 44.3.g LOPD, atès que les dades d’un currículum vitae són de nivell mitjà), la qual cosa fet i fet comporta la imposició de la multa a la qual hem fet referència.
© Ramon Arnó Torrades, 2010, Lleida
