REALE: sanción 20.000 euros

Comentemos hoy otra multa impuesta por la Agencia Española de Protección de Datos, esta vez de 20.000 euros y frente a la empresa REALE SEGUROS GENERALES, S.A.

Me refiero a la Resolución nº 2110/2013 dictada en el Procedimiento Sancionador nº 147/2013.

La sanción se impone por una vulneración del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), según el cual:

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

 

Principio este el del consentimiento, que como ya he dicho otras veces en mi blog, es uno de los pilares básicos del Derecho Fundamental de protección de datos y de la normativa que lo desarrolla.

El denunciante denunciaba la contratación de un seguro con REALE efectuada sin su consentimiento, e intermediado por agente exclusivo.

Y en efecto, en el procedimiento tramitado, REALE no acreditó en ningún momento que el denunciante prestara su consentimiento para contratar una póliza, que sin embargo se llevó a cabo, emitiendo incluso la correspondiente prima.

Si bien el artículo 6.2 LOPD determina una serie de excepciones en la obligación de recabar el consentimiento para el tratamiento de los datos, ninguna de ellas se daba en el presente caso.

Recordemos que estas excepciones son:

– Datos recogidos para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias.

– Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

– Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la LOPD.

– Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos.

En definitiva, concluye la Resolución mencionada diciendo que:

En el presente caso, consta acreditado, la emisión de la póliza multiriesgo del hogar, REALE Hogar principal, nº ***PÓLIZA.1/1, figurando como tomador el denunciante y sin que  conste firmada por éste, quien además ha manifestado que no ha autorizado póliza alguna con la citada entidad aseguradora, ni otorgado su consentimiento para la misma.

 

REALE no ha acreditado durante el presente procedimiento que contara con el consentimiento del denunciante para el tratamiento de sus datos en la suscripción del seguro multiriesgo del hogar. Dicho tratamiento de datos vulnera el principio de consentimiento,recogido en el artículo 6.1 de la LOPD.

Multa a Gas Natural

 

 

La Agencia Española de Protección de Datos ha multado con 50.000 euros(infracción grave) a la empresa Gas Natural Servicios SDG SAU, por vulneración del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal.

Se trata del Procedimiento sancionador nº 101/2013 y de la Resolución nº 1896/2013.

El artículo 6.1 de la citada LOPD, establece lo siguiente:

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

 

En esta caso, una comercializadora captó un cliente (el denunciante) y aportó sus datos personales a la denunciada, resultando que el cliente padecía graves trastornos de salud y no tenía capacidad para otorgar su consentimiento. De hecho, un juzgado dictó una sentencia de incapacitación en relación con el mismo.

Es destacable el hecho de que poco después de la denuncia que ahora comentamos, Gas Natural resolvió el contrato de servicios con la empresa de captación de clientes por prácticas irregulares como las de este asunto.

No obstante, y pese a todo, se gestionaron los contratos, se emitieron cargos y facturas contra el denunciante y se activó el servicio contratado. Gas Natural siguió haciendo tratamiento de los datos personales aportados por el cliente.

Como bien recuerda la Resolución que comentamos, el principio de consentimiento a la hora de recoger o tratar datos personales, es uno de los pilares básicos de la normativa de protección de datos, y resulta imprescindible para hacer efectivo el derecho fundamental de la intimidad de las personas.

Por ello, la persona tiene que haber consentido claramente la recogida y uso de sus datos, y tener pleno conocimiento de qué va a ser de ellos en cada momento.

Lo relevante del asunto es que el denunciante era una persona de 86 años, que sufría demencia degenerativa primaria vascular.

Fácil es imaginar cómo debieron transcurrir los hechos, protagonizados por uno de esos comerciales sin escrúpulos capaces de cualquier cosa para vender.

Por desgracia, conozco personalmente otros casos similares, protagonizados por empresas de lo más variopintas.

Las personas mayores con las facultades mentales disminuidas, son víctimas muy habituales de este tipo de estratagemas, que, entre otros ámbitos, son denunciables ante la Agencia Española de Protección de Datos.

 

 

AEPD, multas y cookies


Ha vuelto a saltar en estos días la alarma por el tema de las cookies, del que ya he hablado en ocasiones anteriores en este blog.

Se publicaba en fecha reciente la noticia del inicio de un expediente sancionador de la Agencia Española de Protección de Datos contra una empresa que no cumple la Ley de Cookies, ya que se limitaría a mostrar en su web un pop-up informativo en relación con dichas cookies, pero que las instala ante de haber obtenido el consentimiento del usuario.

Esta es una situación muy extendida en este momento, y son muchas las webs que han optado por este tratamiento de las cookies, que podría ser contrario a la LSSICE.

Las cookies que se van a tratar en el caso presentado ante la AEPD son de las más habituales , contenidas en la mayor parte de páginas webs y blogs: google analytics, google maps; google youtube, google Adsense, Doubleclick, etc…

No obstante, por esa tendencia natural que existe a deformar las noticias, creo que no estaría de más aclarar algunos puntos:

1º. Se trata del inicio de un expediente sancionador. Aún no hay resolución administrativa.

2º. La AEPD, nos pongamos como nos pongamos, es un órgano administrativo, cuyas resoluciones son –afortunadamente-revisables ante los tribunales. Probablemente pasen años (que pueden ser muchos si  el tema sube a las altas instancias judiciales) antes de que tengamos una resolución firme sobre la materia.

3º. Como  muy bien decía esta mañana en twitter el compañero Samuel Parra: “Aunque hablen de la Ley de cookies, ni es una Ley ni es de cookies”.


4º. El marco jurídico de esta cuestión lo tenemos en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacion y del comercio electrónico (LSSICE), según redacción dada por -ojo-  el R.D.-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista.

 

Y esta es la redacción exacta del precepto:


2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
 

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
 

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
5º. Además de esto, hemos de tener en cuenta la Guía sobre el uso de las cookies que ha presentado la AEPD, y que se puede leer aquí:
Atención, que se trata de una GUÍA. Y como dice en la propia GUÍA: 
Las soluciones propuestas en la presente guía pretenden ofrecer orientaciones sobre cómo cumplir con las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, tras su modificación por el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista (en adelante, LSSI).

Sin perjuicio de posibles desarrollos ulteriores para actualizarlas o dar respuestas concretas a modelos de negocio más complejos que los aquí contemplados.

Dadas las múltiples complejidades que plantea el uso de las cookies, estas orientaciones no pretenden ofrecer una solución general y uniforme para el cumplimiento de la Ley sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio.
6º. En definitiva, que ni tenemos Ley de Cookies, ni resoluciones firmes ni nada similar que nos dé una mínina seguridad jurídica. El artículo 22.2 LSSICE sirve más para confundir que para aclarar el tema, y la famosa GUÍA no es Ley, sino guía orientativa, de modo que poco podemos esperar.
7º. Mi criterio -que probablemente le parezca demasiado radical a muchos- es eliminar todas las cookies de tu web. Hay formas de hacerlo. O eso, o nos arriesgamos a ser conejillos de indias de los señores de la AEPD y tribunales que finalmente puedan interpretar la norma. Es la única solución segura que me plantea la total inseguridad jurídica en que nos vemos sumidos. 
Estas son las situaciones ridículas a que nos empuja el legislador y nuestros “distinguidos” gobernantes.
Hay normativas que una tiene la sensación de que se han engendrado en medio de un botellón en el Congreso.
Si bebes, no legisles.