Multa a Gas Natural

 

 

La Agencia Española de Protección de Datos ha multado con 50.000 euros(infracción grave) a la empresa Gas Natural Servicios SDG SAU, por vulneración del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal.

Se trata del Procedimiento sancionador nº 101/2013 y de la Resolución nº 1896/2013.

El artículo 6.1 de la citada LOPD, establece lo siguiente:

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

 

En esta caso, una comercializadora captó un cliente (el denunciante) y aportó sus datos personales a la denunciada, resultando que el cliente padecía graves trastornos de salud y no tenía capacidad para otorgar su consentimiento. De hecho, un juzgado dictó una sentencia de incapacitación en relación con el mismo.

Es destacable el hecho de que poco después de la denuncia que ahora comentamos, Gas Natural resolvió el contrato de servicios con la empresa de captación de clientes por prácticas irregulares como las de este asunto.

No obstante, y pese a todo, se gestionaron los contratos, se emitieron cargos y facturas contra el denunciante y se activó el servicio contratado. Gas Natural siguió haciendo tratamiento de los datos personales aportados por el cliente.

Como bien recuerda la Resolución que comentamos, el principio de consentimiento a la hora de recoger o tratar datos personales, es uno de los pilares básicos de la normativa de protección de datos, y resulta imprescindible para hacer efectivo el derecho fundamental de la intimidad de las personas.

Por ello, la persona tiene que haber consentido claramente la recogida y uso de sus datos, y tener pleno conocimiento de qué va a ser de ellos en cada momento.

Lo relevante del asunto es que el denunciante era una persona de 86 años, que sufría demencia degenerativa primaria vascular.

Fácil es imaginar cómo debieron transcurrir los hechos, protagonizados por uno de esos comerciales sin escrúpulos capaces de cualquier cosa para vender.

Por desgracia, conozco personalmente otros casos similares, protagonizados por empresas de lo más variopintas.

Las personas mayores con las facultades mentales disminuidas, son víctimas muy habituales de este tipo de estratagemas, que, entre otros ámbitos, son denunciables ante la Agencia Española de Protección de Datos.

 

 

AEPD, multas y cookies


Ha vuelto a saltar en estos días la alarma por el tema de las cookies, del que ya he hablado en ocasiones anteriores en este blog.

Se publicaba en fecha reciente la noticia del inicio de un expediente sancionador de la Agencia Española de Protección de Datos contra una empresa que no cumple la Ley de Cookies, ya que se limitaría a mostrar en su web un pop-up informativo en relación con dichas cookies, pero que las instala ante de haber obtenido el consentimiento del usuario.

Esta es una situación muy extendida en este momento, y son muchas las webs que han optado por este tratamiento de las cookies, que podría ser contrario a la LSSICE.

Las cookies que se van a tratar en el caso presentado ante la AEPD son de las más habituales , contenidas en la mayor parte de páginas webs y blogs: google analytics, google maps; google youtube, google Adsense, Doubleclick, etc…

No obstante, por esa tendencia natural que existe a deformar las noticias, creo que no estaría de más aclarar algunos puntos:

1º. Se trata del inicio de un expediente sancionador. Aún no hay resolución administrativa.

2º. La AEPD, nos pongamos como nos pongamos, es un órgano administrativo, cuyas resoluciones son –afortunadamente-revisables ante los tribunales. Probablemente pasen años (que pueden ser muchos si  el tema sube a las altas instancias judiciales) antes de que tengamos una resolución firme sobre la materia.

3º. Como  muy bien decía esta mañana en twitter el compañero Samuel Parra: “Aunque hablen de la Ley de cookies, ni es una Ley ni es de cookies”.


4º. El marco jurídico de esta cuestión lo tenemos en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacion y del comercio electrónico (LSSICE), según redacción dada por -ojo-  el R.D.-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista.

 

Y esta es la redacción exacta del precepto:


2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
 

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
 

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
5º. Además de esto, hemos de tener en cuenta la Guía sobre el uso de las cookies que ha presentado la AEPD, y que se puede leer aquí:
Atención, que se trata de una GUÍA. Y como dice en la propia GUÍA: 
Las soluciones propuestas en la presente guía pretenden ofrecer orientaciones sobre cómo cumplir con las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, tras su modificación por el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista (en adelante, LSSI).

Sin perjuicio de posibles desarrollos ulteriores para actualizarlas o dar respuestas concretas a modelos de negocio más complejos que los aquí contemplados.

Dadas las múltiples complejidades que plantea el uso de las cookies, estas orientaciones no pretenden ofrecer una solución general y uniforme para el cumplimiento de la Ley sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio.
6º. En definitiva, que ni tenemos Ley de Cookies, ni resoluciones firmes ni nada similar que nos dé una mínina seguridad jurídica. El artículo 22.2 LSSICE sirve más para confundir que para aclarar el tema, y la famosa GUÍA no es Ley, sino guía orientativa, de modo que poco podemos esperar.
7º. Mi criterio -que probablemente le parezca demasiado radical a muchos- es eliminar todas las cookies de tu web. Hay formas de hacerlo. O eso, o nos arriesgamos a ser conejillos de indias de los señores de la AEPD y tribunales que finalmente puedan interpretar la norma. Es la única solución segura que me plantea la total inseguridad jurídica en que nos vemos sumidos. 
Estas son las situaciones ridículas a que nos empuja el legislador y nuestros “distinguidos” gobernantes.
Hay normativas que una tiene la sensación de que se han engendrado en medio de un botellón en el Congreso.
Si bebes, no legisles. 

 

 

Principio de consentimiento y LOPD


Os comento hoy la Resolución nº 1827/2013 de la Agencia Española de Protección de Datos, dictada en el Procedimiento Sancionador nº  106/2013.

En este caso, una persona ejercitó su derecho de acceso ante la entidad TIREA, de lo que resultó que la misma aparecía como titular de un seguro de un vehículo que no le pertenecía y por un contrato que nunca había suscrito.

El motivo de la anterior situación fue un error por parte del mediador seguros (SAFEGO), que introdujo el nombre del cliente, que coincidía con el del denunciante ante la AEPD en este caso, creyendo que eran la misma persona, al no percatarse de que el DNI era distinto.

En definitiva, SAFEGO estaba tratando datos de una persona sin su consentimiento y que aparecían en su base de datos porque  dicha persona tenía otros seguros realizados con la misma compañía. Con ello resultaba vulnerado el artículo 6.1 de la LOPD.

El resumen de los hechos que se consideran probados en el caso que os comento son estos:

En el presente caso, consta acreditado, la emisión del seguro de vehículos Generali Turismo, nº póliza C.C.C., sobre elautomóvil J.J.J., figurando comomediador del producto SAFEGO, como tomadordel seguro y propietario del vehículo figura el denunciante, sin que la póliza suscrita conste firmada por éste y quien, además, ha manifestado que no es el propietario del vehículo, ni ha otorgado su consentimiento para la emisión de misma.

SAFEGO no ha acreditado durante el presente procedimiento que contara con el consentimiento del denunciante para el tratamiento de sus datos en la suscripción de un nuevo contrato de seguros con GENERALI. Dicho tratamiento de datos vulnera el principio de consentimiento, recogido en el artículo 6.1 de la LOPD.

Tras examinar lo ocurrido, la AEPD concluye que el mediador seguros SAFEGO no actuó con la debida diligencia, y trató datos del denunciante sin su consentimiento ni autorización (su conducta no puede quedar excusada por un mero error), emitiéndole una póliza de vehículo que no era de su propiedad, asociando datos a una cuenta que no era suya y enviándole un talón de pago del recibo de la prima.

La Agencia impone finalmente a SAFEGO una multa de 1.000 euros por infracción grave, procediendo a graduar la sanción conforme a lo dispuesto en la LOPD (se atendió al escaso volumen de negocio de la empresa sancionada).
Como vemos, en materia de protección de datos, los errores salen caros.