Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Boletin 01

Anuncio 
NÚMERO
01
APEP Informa
JULIO
2009
Cesiones de
datos
¿Qué información puede
cederse a la Junta de
Personal?
¿Debo
facilitar
Agencia
a
en este número:
Destacamos
la
principal
actividad jurídica de la Agencia
Española de Protección de
Datos, analizando y sintetizando
los
informes
jurídicos,
declaraciones de infracción a las
Administraciones
Públicas,
procedimientos sancionadores y
archivos
de
actuaciones,
publicados recientemente, así
como las últimas sentencias de
la Audiencia Nacional en la
materia.
Última actividad de la AEPD y jurisprudencia
Informes Jurídicos P.1
Infracciones en la Administración P.2
Procedimientos Sancionadores P.4
Archivos de Actuaciones P.5
Tutela de Derechos P.7
Jurisprudencia P.8
Próximos eventos P.10
la
Tributaria
información personal que
Informes jurídicos
me sea requerida? ¿En
Informe número 343/2009. Cesión de datos
Informe número 316/2009. Cesión de datos
qué medida respeta esta
a
a la Agencia Tributaria.
cesión
Administración Pública.
de
datos
la
Junta
de
Personal
en
una
LOPD?
Los artículos 93 y 94 de la Ley 58/2003, de
La Agencia Española de Protección de Datos
17
reitera su doctrina respecto de las cesiones
establecen un deber de colaboración con la
el
de datos personales a estas juntas, ahora
Administración Tributaria pero el principio de
acceso al Sistema de
con fundamento en el artículo 40 de la Ley
calidad (artículo 4.1 de la Ley Orgánica
Registros Administrativos
7/2007 de 12 de abril, del Estatuto Básico del
15/1999, de 13 de diciembre, de Protección
de Apoyo a la Actividad
Empleado Público (EBEP). Se señala que las
de Datos de Carácter Personal ) exige que
Judicial por parte de los
funciones de estas Juntas no justifican
los datos resulten adecuados pertinentes y
funcionarios
los
cesiones masivas de datos y que su función
no excesivos en relación con el ejercicio de
Juzgados de lo Penal e
de control puede satisfacerse con cesiones
potestades tributarias.
Instrucción, para actuar
de datos disociados.
¿Cómo
debe
ser
de
de conformidad con la
LOPD y su Reglamento
de Desarrollo aprobado
precedente Ley 9/1987 de 12 de junio, de
por
Decreto
Órganos de Representación, Determinación
21
de las Condiciones de Trabajo y Participación
Real
1720/2007,
diciembre?
de
de
diciembre,
General
Tributaria,
Informe número 318/2009. Acceso a datos
Se señala una importante diferencia entre la
el
de
del
Personal
al
Servicio
de
del Sistema de Apoyo a la Actividad
Judicial por parte de los funcionarios de
lo Penal e Instrucción.
las
Administraciones Públicas y el actual EBEP,
Se trata de un informe muy específico pero
ya que no contempla este último el control
con una aplicación práctica muy concreta. La
individualizado de los complementos de
Agencia Española de Protección de Datos
productividad recibidos por los empleados
utilizando los conceptos de usuarios y de
públicos, no existiendo legitimación legal y
perfil de usuario del artículo 5 RDLOPD
requiriéndose el consentimiento para esta
concluye
cesión.
que
el
perfil
funcional
de

1

cada funcionario se proyecta respecto del
eMule existentes y cada vez más habituales,
perfil de usuario en el fichero, definiendo por
pero de los que podemos extraer varias
tanto,
conclusiones de interés que a veces serán
sus
competencias
y
el
tipo
de
relevantes para otros procedimientos, sean o
información a la que puede acceder.
no relativos a tratamientos públicos. El
Informe número 300/2009. Acceso remoto a
ordenador para resolver una incidencia
técnica.
Se entiende que existirá un consentimiento
válido cuando el cliente acepte validando la
correspondiente pestaña, siempre que exista
información
clara
y
precisa
relativa
al
tratamiento de los datos personales y a las
medidas de seguridad a adoptar.
fichero
hallado
denominado
“FICHA
PERSONAL.mdb”, contiene datos de carácter
personal de diversos pacientes.
Acceso remoto
Acceso
por
parte
del
técnico contratado a toda la
información personal que
Hay varios aspectos destacables en la
tenga
el
cliente
en
su
resolución:
ordenador, para por vía de
control remoto, motorizar el
Por un lado, lo relativo a la responsabilidad
ordenador del cliente y
de la organización y no de la persona física
resolver su incidencia. ¿Se
(empleado) que compartió la información. En
ajusta a lo establecido en la
este punto ante las alegaciones del Servicio
LOPD?
Canario de la Salud se dice:
Asimismo puede incluirse una descripción de
este
procedimiento
en
el
contrato
de
mantenimiento.
“los
trabajadores
aun
cuanto
sean
personal
estatutario de los Servicios Públicos de Salud, de
acuerdo con el tipo de relación que mantienen con
Fichero en eMule
los Servicios Públicos de Salud, realizan su trabajo
Infracciones en la
Administración
bajo la organización y dirección de los mismos y
que éstos son los responsable de la dirección y
¿Es
responsable
trabajador?
organización de los servicios que realizan sus
trabajadores o personal estatutario, así como del
Procedimiento AP/00079/2008: declaración
tratamiento de datos de los listados de sus
de infracción al Servicio Canario de la
pacientes o clientes que dichos trabajadores o
Salud.
personal estatutario utilizan como instrumentos de
trabajos para dichas prestaciones laborales o
Es uno de los tantos procedimientos de
estatutarias. Por todo ello procede imputar la

Videoporteros
Informe 335/2009: ¿la implantación de un videoportero que permite conectar la señal de
la cámara a la red de televisión y visionar en la televisión todas las imágenes que capta
la cámara, vulnera la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal?
El uso de un sistema de videoportero que emita de modo continuado imágenes que puedan
sintonizarse en la televisión excede del ámbito personal y doméstico y se encuentra sujeto a
las condiciones de la Instrucción 1/2006 de 8 de noviembre, de la Agencia Española de
Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través
de sistemas de cámaras o videocámaras y a la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.
2
el

La huella dactilar
y el control de
presencia
la presunta infracción al Servicio Canario de la
procedido a informar previamente a la recogida
Salud y nunca al Psicólogo Clínico que trata los
de los datos, de forma expresa, precisa e
datos de los pacientes del mismo”.
inequívoca, de ninguno de los extremos previstos
en el citado artículo 5.1 de la LOPD”.
Por otro lado un aspecto importante que es el
relativo
al
concurso
medial
entre
la
vulneración del princpio de seguridad y el
Procedimiento AP/00062/2008: declaración
deber de secreto (téngase en cuenta que
de
este
Arquitectos de La Rioja.
último
permite
diversos
subtipos
No queda acreditado que el
agravados según el tipo de información
responsable
revelada):
informara
el artículo 5 de la LOPD.
“En defecto de regulación específica establecida en
la norma correspondiente, cuando de la comisión
de
Se declara la infracción.
una
infracción
derive
necesariamente
la
comisión de otra u otras, se deberá imponer
únicamente
la
sanción
correspondiente
a
la
infracción más grave cometida,” procede subsumir
ambas infracciones en una. Dado que, en este
Colegio Oficial de
Arquitectos
al
Colegio
Oficial
de
El Colegio de Arquitectos inició actuaciones
verbalmente o por escrito
de los extremos que recoge
infracción
para determinar la concurrencia de alguna
causa de incompatibilidad para el ejercicio de
la profesión por parte del denunciante; en el
marco de estas actuaciones, se cedieron
diversos datos personales del afectado a la
Dirección General de Política Local del
Gobierno de La Rioja.
caso, una está tipificada como infracción grave y
Las cuestiones de interés jurídico que plantea
otra como muy grave, se considera que procede
el procedimiento son:
imputar únicamente la infracción muy grave del
La Agencia Española de
En primer lugar el carácter público o privado
artículo 10 de la LOPD”.
del fichero y consecuentemente el régimen
Protección de Datos aplica
sancionador.
su doctrina para determinar
el
carácter
público
o
privado del fichero de un
Colegio Oficial.
Procedimiento AP/00076/2008: declaración
La Agencia Española de Protección de Datos
de infracción a la Consejería de Educación
afirma que: “procede concretar que los ficheros
y Cultura del Gobierno de las Islas
de
Baleares (Museo de Mallorca).
Profesionales y los Consejos Generales, en cuanto
los
que
son
responsables
los
Colegios
se relacionen con el ejercicio por los mismos de
La citada Consejería de Educación y Cultura
sus competencias de derecho público y, en
procedió
consecuencia, con la atribución a los mismos de
a
la
recogida
de
los
datos
personales de sus trabajadores relativos a
potestades
”nombre, número de usuario, DNI y huella
sometidos al régimen de los ficheros de titularidad
digital” para la instalación de un dispositivo
pública y no al de los ficheros de titularidad
de control de presencia de los trabajadores.
privada, que será aplicable a los ficheros no
Llama la atención que la dirección del museo
vinculados con el ejercicio de tales potestades”.
decidió recoger la citada información a raíz
de una sentencia del Tribunal Supremo y
diversas
resoluciones
de
la
Agencia
Española de Protección de Datos que
habilitaban esta práctica sin necesidad de
consentimiento del interesado, pero no tuvo
en cuenta el cumplimiento del deber de
información.
3
El
administrativas,
segundo
aspecto
se
encontrarán
interesante
de
la
resolución es la distinción que realiza entre el
incumplimiento del deber de secreto y de una
cesión de datos en la LOPD, entendiendo
que: “la distinción entre ambos tipos de garantías
exige que la cesión suponga un comportamiento
cualificado
de
la
comunicación
de
datos,
cualificación que no puede ser otra que la voluntad
Efectivamente esta resolución lo que declara
de que los datos comunicados sirvan para ser
incumplido es el deber de información puesto
tratados parte del cesionario, circunstancia que no
que se recogió la citada información “sin haber
concurre
en
este
caso,
por
lo
que


la comunicación acontecida debe encuadrarse
Propietarios por publicar en el tablón de dicha
dentro del marco del secreto profesional recogido
Comunidad copia de un correo electrónico
en el ya citado artículo 10 de la LOPD”.
enviado por uno de los vecinos en relación a
temas de la Comunidad. Entiende el afectado
Concluye la Agencia que, no obstante, y sin
que su dirección de correo electrónico puede
perjuicio de que se entienda vulnerado el
ser conocida por el público en general.
análisis para ver si la comunicación es
En primer lugar la Agencia Española de
legítima o no se realiza con base en los
Protección de Datos reitera
presupuestos del artículo 11 LOPD.
afirmando que “no existiendo una norma con
su doctrina
rango de ley en la que se reconozca la exención,
las comunidades de propietarios, comunidades de
bienes y otras figuras similares se hallan sometidas
a la LOPD”.
Procedimiento PS/00067/2009: sistema de
infringido el deber de secreto previsto en el
videovigilancia
artículo 10 de la LOPD al tener a disposición
cafetería
que
no
respeta la LOPD.
del público un correo que intercambió el
denunciante con la Comunidad, revelando el
La empresa denunciada es responsable de
a disposición de los clientes
detalle la información que
exige el artículo 5.1 de la
LOPD, es necesario que
existan
carteles
informativos en los términos
del
artículo
3
de
la
Instrucción 1/2006, de 8 de
noviembre, sobre vigilancia
La Agencia determina que la Comunidad ha
en
No es suficiente con poner
impresos en los que se
deber de secreto (artículo 10 LOPD), el
Procedimientos
Sancionadores
Videovigilancia
nombre, apellidos y correo electrónico.
a través de sistemas de
cámaras o videocámaras.
Comunidad
propietarios
de
un sistema de videovigilancia que tiene como
finalidad la seguridad de los clientes y los
Finalmente se impone una multa de 601.01
empleados del establecimiento, así como
euros a la Comunidad de Propietarios.
medida disuasoria, al haber sufrido con
anterioridad varios robos a clientes y dos
Procedimiento
atracos al local.
documentación robada para abrir una
Se
constata
que
existen
impresos
a
disposición de los interesados en los que se
PS/00572/2008:
utilizan
cuenta corriente y contratar una línea de
telefonía móvil.
5.1 LOPD, no obstante, no existe cartel
Tras serle sustraida su documentación y
alguno informando sobre la existencia de
tener conocimiento de una cuenta bancaria
esos dispositivos de videovigilancia.
abierta a su nombre así como unas facturas
giradas de una línea de telefonía móvil
La Agencia Española de Protección de Datos
desconocida,
concluye en imponer una multa de 1000
Agencia Española de Protección de Datos y
euros por vulnerar el artículo 5.1 de la LOPD
ante
dado que no existía distintivo informativo
fraudulento que pudieran estar haciendo de
alguno donde las cámaras de videovigilancia
su documentación.
presenta
Policía,
denuncia
temiendo
por
en
el
la
uso
entidad
bancaria
alega
que
sus
empleados fueron víctimas de un engaño que
Procedimiento PS/00516/2008: dirección de
les llevó a realizar la operación de apertura
correo electrónico visible en el tablón de
de cuenta, creyendo en todo momento que
anuncios
quien realizaba la operación bancaria era
de
una
Comunidad
de
Propietarios
denuncia
de
un
a
una
Comunidad
de
embargo,
correo
electrónico supone vulnerar
el deber de secreto previsto
en la LOPD. La sanción
recae sobre la Comunidad
Documentación
robada
Uso
de
robada
cuenta
documentación
para
en
contratar
un
una
Imputación
abrir
una
banco
línea
y
de
de
responsabilidad a la entidad
bancaria y al operador de
telefonía.
titular del DNI.
Sin
Se
copia
telefonía móvil.
captan y graban imágenes.
La
Comunidad de Propietarios
de Propietarios.
detalle la información prevista en el artículo
la
Publicar en el tablón de una
la Agencia
Española
de
Protección de Datos entiende que: “de haber

4

seguido
Exclusión de las
guías telefónicas
la
diligencia
exigible
se
hubiera
evidenciado que la documentación aportada no se
personales
correspondía con la del denunciante, habiéndose
telefónicas a pesar de que en el momento de
evitado la contratación de unas cuentas corrientes
contratar la línea de telefonía fija hizo constar
que no consta que se hubieran solicitado por el
por escrito y expresamente su negativa a
mismo. No puede admitirse lo afirmado por el
figurar en ninguna guía telefónica.
¿Puede una captura de
denunciado de que fue víctima de un engaño ya
pantalla
que,
del
sistema
al
menos,
debería
contratación de la cuenta corriente denunciada, tal
probar la revocación de
y como exige una diligencia mínima debida y su
una petición expresa de
propia normativa interna”.
guías
telefónicas?
Respecto
al
defiende
esgrimiendo
contratadas
operador
lo
fueron
presentada
para
la
ser indicio suficiente para
las
fue
aportarse
documentación
de
que
de
informático del denunciado
exclusión
la
Archivo del expediente por
respeto escrupuloso de las
obligaciones impuestas por
la LOPD.
aparecen
en
diversas
guías
El operador telefónico aporta como prueba
una captura de pantalla de su sistema
informático donde se indica que, tras ser
preguntado
por
un
teleoperador,
el
denunciante consiente a que sus datos
aparezcan en las guías telefónicas. Sin
de
que
a
se
embargo la Agencia Española de Protección
líneas
de Datos no admite como sufiente una simple
telefonía,
las
través
de
su
distribuidor debiendo de ser este último quien
Video vigilancia
El denunciante descubre que sus datos
debe de fiscalizar la veracidad o no de la
documentación aportada, tal y como consta
en el contrato de distribución.
No obstante, afirma la Agencia, la eventual
responsabilidad en que hubiera incurrido el
distribuidor, no exime de responsabilidad al
responsable del tratamiento, en este caso el
operador.
Invoca la Agencia una serie de Sentencias de
captura de pantalla máxime cuando el propio
denunciante niega tales extremos.
Consecuentemente, la Agencia entiende que
se ha conculcado el artículo 11.1 de la LOPD
al haber cedido los datos a los repertorios
telefónicos a pesar de constar expresamente
la voluntad en contra del denunciante en el
contrato, y termina imponiendo una multa de
60.101,21 euros al operador de telefonía.
Archivos
Actuaciones
de
facilitar al operador datos de la clienta sin el
Procedimiento
video
consentimiento de la afectada, no la exime del
vigilancia en club privado.
la Audiencia Nacional en la que apoya su
doctrina de que: “La responsabilidad en que
hayan podido incurrir, en su caso, el distribuidor al
E/00280/2008:
cumplimiento de la normativa en materia de
protección de datos personales, pues es ella con
Denuncia presentada por un socio alegando
quien el interesado firma el contrato de abono,
que no está inscrito el fichero, y que se está
quien incorpora sus datos a sus ficheros, emite
grabando en la vía pública.
facturas
y
gira
los
correspondientes
recibos
bancarios.”
La inspección ha comprobado en este caso
que existen carteles informativos, formularios
En definitiva, se entiende vulnerado el
de acceso; que la instalación ha sido
artículo 6.1 de la LOPD y se impone una
realizada por una empresa de seguridad
sanción de 60.101,21 euros tanto a la entidad
cumpliento los requisitos de la normativa de
bancaria como al operador de telefonía.
seguridad
privada.
Asimismo,
se
ha
comprobado que la instalación se hizo tras
Procedimiento PS/00573/2008: aparecen en
acuerdo
las guías telefónicas sus datos personales
posteriormente por la Asamblea General.
tras solicitar expresamente su negativa.
de
la
Junta
Directiva,
y
Destaca también que se ha comprobado un

5

desfase entre la inscripción del fichero y la
Se presenta denuncia de un funcionario por
instalación (previa a la declaración), pero no
cesión de datos de trabajadores a una Mutua
hay constancia de grabación en ese intervalo.
de Accidentes de Trabajo y Enfermedades
Con
Profesionales.
todo
lo
expuesto
se
archiva
el
expediente.
El Ministerio de Medio Ambiente en la fase de
Documentación
en la basura
actuaciones previas presenta convenio de
Procedimiento
E/00373/2008:
encuentran
documentación con datos personales en
contenedor.
Se archiva la denuncia por
accidentes de trabajo y enfermedadores
falta
profesionales
suficiente del responsible.
del
personal
laboral
y
de
Por lo tanto, debido a la obligación legal
denunciada en un contenedor, frente a las
impuesta por la Ley General de Seguridad
oficinas del Instituto Nacional de Estadística,
Social, existe una habilitacion por ley a la
donde ha realizado obras la citada empresa.
cesión de datos a la Mutua por parte del
trabajo
de
la
En las actuaciones previas la empresa ha
Ministerio.
la copia básica del mismo selladas por la
oficina de empleo, hecho que no cumple el
documento en el que se basa la denuncia. La
inspección concluye que las copias (sin
proceden
de
la
empresa
denunciada.
Cesiones
al
amparo de la Ley
General
de
Seguridad Social
¿Existe
demostrado que tiene copia del contrato y de
no
acreditación
Seguridad Social.
empresa
sello),
de
funcionario sujeto al Régimen General de la
Se presenta denuncia por encontrar un
contrato
asociacion con la Mutua para la cobertura de
Procedimiento E/01339/2008: Inclusión en
ASNEF por deuda tras baja de contrato
con Orange.
habilitación
legal
por ley para la cesión de
datos a la Mutua por parte
del Ministerio?
En las actuaciones previas, se comprueba
existencia de inclusión en ASNEF, hecho
La empresa aporta también contrato suscrito
efectuado por notificación (demostrada) a
con empresa de retirada confidencial de
instancia de France Telecom.
Legitimidad
una deuda
de
La Agencia Española de
documentación, así como copia de varios
certificados de la empresa de destrucción de
France Telecom ha aportado copia del
Protección de Datos no es
documentación.
contrato con el cliente, copia de las facturas
competente
para
impagadas, así como “impresión de pantalla”
pronunciarse sobre si una
La Agencia Española de Protección de Datos
del sistema
deuda es legítima o no.
comunicó las actuaciones a la Agencia de
como prueba de que las facturas han sido
Protección de Datos de la Comunidad de
requeridas con anterioridad a la inclusión en
Madrid (APDCM) por si era el Servicio
ASNEF.
Regional
de
empleo
responsable
de reclamación automática,
del
abandono. Este expediente fue archivado por
La Agencia Española de Protección de Datos
la APDCM.
se declara no competente para determinar si
Se procedea archivo del expedientes por falta
de acreditación suficiente de los hechos
atribuidos a la empresa en relación al
abandono de documentación.
Procedimiento E/01265/2008: Cesión de
datos a la Mutua de Accidentes de Trabajo
y Enfermedades Profesionales de un
trabajador.
la deuda es legítima o no, remitiendo a los
órganos
protección
competentes
de
los
en
materia
derechos
de
de
los
consumidores o a la jurisdicción civil, por lo
que en base a los elementos de prueba
aportados, no se considera vulnerada la
LOPD.
En cuanto a EQUIFAX, queda acreditado que

6

se
han
cumplido
las
obligaciones
correspondientes establecidas en el artículo
en curso reclamación judicial contra la
interesada.
29 de la LOPD.
Prescripción
EQUIFAX
además
no
procede
a
la
El
Director
de
la
Agencia
estima
la
cancelación de los datos solicitada por el
reclamación por cuanto son obligaciones del
Las actuaciones previas no
titular al haber confirmado Orange la deuda.
responsable del fichero: a) requerir de la
interrumpen el plazo de
Se procede al archivo de actuaciones.
interesada la subsanación de las lagunas u
prescripción. Se archiva el
omisiones de su petición; y b) resolver de
envío de correo masivo por
forma expresa y en plazo sobre la petición
Procedimiento
un sindicato.
E/01484/2008:
envío
de
formulada.
correo masivo por un sindicato.
Tutela
Derechos
de
Procedimiento E/01666/2008: derecho de
reconoce la Agencia Española de Protección
cancelación y llamadas telefónicas.
de Datos en este expediente, aún habiendo
Abogados,
notarios,
Ayuntamientos,
entidades
mercantiles: todos tienen
unas
Un sindicato de funcionarios, tal y como
obligaciones
concretas ante el ejercicio
de los derechos de acceso,
obtenido legitimamente los datos, carecía de
La Agencia Española de Protección de Datos
consentimiento para difundir la información,
entiende
vulnerando el artículo 10 de la LOPD.
ejercitó su derecho de cancelación frente a la
acreditado
que
la
reclamante
reclamada en dos ocasiones dentro del
En este caso, y de acuerdo con la doctrina de
mismo mes, sin recibir respuesta alguna del
la Audiencia Nacional, se califica como falta
responsable del fichero.
leve (artículo 44.2e LOPD).
En las alegaciones realizadas a resultas del
rectificación, cancelación y
A continuación, se procede al archivo del
traslado de la reclamación efectuada por la
oposición.
expediente por haber prescrito al finalizar las
AEPD, la entidad reclamada manifiesta que
actuaciones previas de investigación (dichas
no contestó porque no realizó las llamadas
actuaciones previas no interrumpen el plazo
atribuidas y porque los datos del reclamante
de prescripción).
no figuran en sus bases de datos.
El
Tutela de Derechos
Director
de
la
Agencia
estima
la
reclamación por cuanto son obligaciones del
responsable del fichero contestar en plazo y
Procedimiento TD/01708/2008: abogado que
no atiende el ejercicio de derecho de
cancelación.
forma a la solicitud de ejercicio de derechos
que se le dirija, con independencia de que
figuren o no dato personales del afectado en
sus ficheros.
No se indica en la resolución, pero del
contenido de la misma se desprende que la
reclamante
ostentaba
la
condición
de
contraparte en pleito dirigido por el abogado
reclamado.
En las alegaciones realizadas a resultas del
traslado de la reclamación efectuada por la
Agencia Española de Protección de Datos, el
abogado manifiesta que no contestó el
ejercicio del derecho por entender que la
petición no era clara y que, en todo caso la
petición no se podría atender por existir en
7
Procedimiento TD/01362/2008: derecho de
acceso ante una notaría.
De la tramitación del procedimiento se
desprende que el reclamante vía fax ejercitó
derecho de acceso frente a la notaría
mediante escrito conteniendo una serie de
peticiones que exceden del contenido del
derecho de acceso, siendo la vía para su
amparo la defensa del derecho al honor vía


civil/penal.
Continuación de la serie de sentencias en las
La notaría reclamada contestó a la petición
que la Audiencia Nacional recoge la doctrina
del reclamente manifestando que los datos
del
personales del reclamante que pudieran
ausencia de un fichero en el caso de los
obrar en los ficheros de la notaría serían en
libros de bautismo.
Tribunal
Supremo
respecto
de
la
Libros
bautismo
de
todo caso aquellos que obraran en las
Nuevas sentencias de la
escrituras otorgadas en la misma.
Sentencia de la Sección Primera de la
Audiencia Nacional en las
El Director de la Agencia Española de
Audiencia
que se repite la doctrina del
Protección
Cendoj: 28079230012009100302).
de
reclamación
Datos
por
desestima
cuanto
la
Nacional
de
28/05/2009
(Id
Tribunal
entiende
debidamente atendido por la reclamada
el
Supremo
en
relación a los libros de
Emisión
de
una
tarjeta
bancaria
sin
derecho ejercitado por el reclamante, sin
consentimiento de los titulares de la cuenta,
entrar a considerar todas aquellas otras
insuficiencia de las cláusulas incluidas en el
cuestiones propias del derecho al honor, que
contrato de la cuenta bancaria:
no es competencia de la citada Agencia.
«Fundamento de Derecho CUARTO:
La realidad es que el banco contaba con el
bautismo.
Tarjeta bancaria
emitida
sin
consentimiento
Procedimiento E/01615/2008: derecho de
consentimiento del denunciante para el tratamiento
acceso ante un Ayuntamiento.
de sus datos y para la realización de ofertas
Es necesario acreditar un
comerciales: basta con examinar la cláusula 18 del
consentimiento expreso y
que
contrato de cuenta corriente que aparece al folio
específico para la emisión
efectivamente el Ayuntamiento en cuestión
107 del expediente, pero dicho consentimiento no
de tarjetas bancarias.
no atendió el derecho ejercitado, si bien en el
puede hacerse extensivo para la emisión de
curso de las actuaciones del procedimiento
tarjetas de crédito no solicitadas; hay que señalar
¿Cuándo
de tutela de derechos, al recibir traslado del
como al folio 16 del expediente aparece claramente
infracción en estos casos?
escrito
Coorporación
indicado que la Caja de Ahorros recurrente no
municipal procedió a atenderlo en forma (que
disponía de los contratos que justificaran el
no en plazo), mediante la remisión al
consentimiento de los interesados para dicha
domicilio del reclamante de la información
emisión. Por lo tanto, debe entenderse acreditado
solicitada,
que se ha producido un tratamiento de datos sin
De
la
resolución
de
se
reclamación
lo
que
desprende
la
queda
debidamente
acreditado en el expediente.
consentimiento».
A resultas de lo anterior, el Director de la
La infracción del deber de obtener el
Agencia Española de Protección de Datos
consentimiento supone la no prescripción de
estima formalmente la reclamación, si bien
la infracción mientras exista tratamiento:
entiende atendido el derecho ejercitado
durante la tramitación del procedimiento.
prescribe
TERCERO: En cuanto a la prescripción de la
infracción hay que partir de la base de que lo
sancionado es el tratamiento sin consentimiento de
los datos de los denunciantes por lo que mientras
Jurisprudencia
que los datos se encuentran en los ficheros de la
entidad
recurrente
dicho
tratamiento
sigue
Sentencias de la Sección primera de la
produciéndose; se trata, por lo tanto, de una de las
Audiencia
(Id
llamadas infracciones permanentes por lo que el
Cendoj: 28079230012009100306 e Id Cendoj:
inicio del computo prescriptivo no puede comenzar
28079230012009100304) y de 11/06/2009 (Id
sino en el momento en que se dan de baja los
Cendoj: 28079230012009100316).
datos de los denunciantes puesto que, hasta ese
Nacional
de
28/05/2009

8
la

momento, se ha venido produciendo el tratamiento
de datos sin consentimiento y no puede comenzar
el plazo prescriptivo que, según establece el
Deber de secreto
articulo 47 de la LOPD comenzará a contarse
desde el día en que la infracción se hubiera
Deber que constituye una
cometido
exigencia
elemental
iniciación, con conocimiento del interesado, del
anterior
al
y
propio
reconocimiento del derecho
fundamental a la libertad
informática y, comporta que
los
datos
tratados
informáticamente, como los
movimientos de una cuenta
corriente, no puedan ser
conocidos
por
ninguna
persona o entidad distinta
de su titular, pues en eso
consiste precisamente el
secreto.
e
interrumpirá
la
prescripción
la
procedimiento sancionador».
Deber de secreto profesional que incumbe a los
responsables de ficheros, tal y como esta Sala y
Sección ha mantenido en sentencias, entre otras,
de 10-1-2005 (Rec. 178/2004) y 12-9-2007 ( Rec.
98/2006) y que comporta que el responsable de los
datos almacenados no puede revelar ni dar a
conocer su contenido teniendo el deber de
En la apreciación de la culpabilidad es muy
guardarlos,
relevante el deber de diligencia profesional
después de finalizar sus relaciones con el titular del
del responsable:
fichero o, en su caso, con el responsable del
obligaciones
que
subsistirán
aún
mismo.
“cuando se invoca la buena fe en el actuar, para
justificar la ausencia de culpa -como se hace en el
presente caso- basta con decir que esa alegación
queda enervada cuando existe un deber específico
de vigilancia derivado de la profesionalidad del
infractor. En esta línea de tradicional reflexión, la
STS de 12 de marzo de 1975 y 10 de marzo de
1978 , rechazan la alegación de buena fe, cuando
sobre el infractor pesan deberes de vigilancia y
diligencia derivados de su condición e profesional".
Sentencia de la Sección primera de la
Audiencia
Nacional
de
29/05/2009
(Id
Cendoj: 28079230012009100312).
Remisión de extracto bancario a persona
distinta del interesado, siendo el cónyuge
separado. Infracción del deber de secreto. El
deber de secreto desempeña una función
instrumental esencial en la salvaguarda del
derecho a la protección de datos:
«Fundamento de Derecho TERCERO.- (…)
Deber de sigilo que resulta esencial en las
sociedades actuales cada vez más complejas, en
las que los avances de la técnica sitúan a la
persona en zonas de riesgo para la protección de
los derechos fundamentales, como la intimidad o el
derecho a la protección de los datos que recoge el
artículo 18.4 de la CE . Derecho fundamental este
último que, a tenor de la STC 292/2000, de 30 de
noviembre , "persigue garantizar a la persona un
poder de control sobre sus datos personales, sobre
su uso y destino", e impide que se produzcan
9
situaciones atentatorias frente a su dignidad.
Deber que constituye una exigencia elemental y
anterior al propio reconocimiento del derecho
fundamental a la libertad informática y, por lo que
ahora interesa, comporta que los datos tratados
informáticamente, como los movimientos de una
cuenta corriente no puedan ser conocidos por
ninguna persona o entidad distinta de su titular,
pues en eso consiste precisamente el secreto».
Próximos eventos…
• 23 de julio de 2009. Vitoria.
Dña María Belén Cardona Rubert, Presidenta de la Asociación Profesional
Asociación Profesional
Española de Privacidad
Española de Privacidad (APEP) se reunirá con D. Iñaki Vicuña de Nicolás,
Director de la Agencia Vasca de Protección de Datos, para la presentación
oficial de los objetivos de la APEP a esta Autoridad.
• Del 14 al 16 de septiembre de 2009. Valencia.
Seminario: Protección de Datos en las Administraciones Públicas.
Dirigido por el Director de la Agencia Española de Protección de Datos, D.
Artemi Rallo Lombarte.
La coordinación así como diversas ponencias del seminario serán realizadas
por varios miembros de la Asociación Profesional Española de Privacidad.
Más información en este enlace.
• Del 4 al 6 de noviembre de 2009. Madrid.
La Asociación Profesional Española de Privacidad participará en la 31ª
Conferencia Internacional de Protección de Datos y Privacidad, como
presidencia en la mesa que llevará por título “los profesionales de la
privacidad en España”. Intervendrán también, Trevor Hughes, Director
Ejecutivo de la International Association of Privacy Professionals IAPP
APEP Informa
(Estados Unidos); Adele Kendler, Directora de Proyecto, Privacy Law &
Número: 01
Business en European Privacy Officers' Network. EPON; y Christoph Klug,
Fecha: julio 2009
Subdirector Ejecutivo de la Asociación Alemana de Protección y Seguridad de
los Datos.
Más información en este enlace.
www.apep.org.es
Documentos relacionados
Programa jornada medidas de seguridad
Programa jornada medidas de seguridad
Presentación LOPD - Financial Software Developers
Presentación LOPD - Financial Software Developers
La LOPD algo más que un puro trámite.
La LOPD algo más que un puro trámite.
SANCIONES POR INFRINGIR LA LEY DE PROTECCION DE
SANCIONES POR INFRINGIR LA LEY DE PROTECCION DE
Cf,NTRO: Nombre y Apellidos: .,,.,.......,. Dirección: C.P.
Cf,NTRO: Nombre y Apellidos: .,,.,.......,. Dirección: C.P.
Acuerdo CONVERSIA - Dee-Aed
Acuerdo CONVERSIA - Dee-Aed
o ¿Cómo se puede dar cumplimiento al deber de información al
o ¿Cómo se puede dar cumplimiento al deber de información al
D 69
D 69
Condiciones de privacidad En cumplimiento de lo establecido en la
Condiciones de privacidad En cumplimiento de lo establecido en la
Descargar
Anuncio
Anuncio