RESOLUCIÓN: R/00806/2012
Tamaño: px
Comenzar la demostración a partir de la página:

Download "RESOLUCIÓN: R/00806/2012"

Transcripción

1 1/8 Procedimiento Nº PS/00559/2011 RESOLUCIÓN: R/00806/2012 En el procedimiento sancionador PS/00559/2011, instruido por la Agencia Española de Protección de Datos a la entidad O2 CENTRO WELLNESS PLENILUNIO, S.L., vista la denuncia presentada por DÑA. B.B.B., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 15/06/2011, tuvo entrada en esta Agencia un escrito de DÑA. B.B.B. (en lo sucesivo la denunciante) en el que denuncia a la entidad O2 CENTRO WELLNESS PLENILUNIO, S.L. (en lo sucesivo O2 CENTRO WELLNESS), de la que fue cliente, por haberle remitido un correo electrónico de 17/05/2011 que contenía un fichero adjunto con datos de 9293 personas, incluyendo los suyos. Dicho fichero contiene datos personales de las personas afectadas relativos a nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección , Número de DNI y sexo. Con su denuncia adjunta copia del correo electrónico remitido en fecha 17/05/2011 desde la dirección de correo A.A.A., así como tres hojas impresas del fichero adjunto, que incluyen los datos correspondientes al primero y último (9293) registros, así como el asignado a la denunciante (registro 322). Asimismo, aporta copia de un correo electrónico que le fue remitido igualmente por la entidad O2 CENTRO WELLNESS, de fecha 19/05/2011, en el que se manifiesta lo siguiente: El motivo de este es para pedirle nuestras más sinceras disculpas por haberle enviado por error un documento adjunto que no tenía nada que ver con la promoción del programa de pérdida de peso. Queremos informarle que esta entidad cumple con lo establecido en la Ley Orgánica de Protección de Datos. SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de esta Agencia se solicitó información a la O2 CENTRO WELLNESS, que manifestó lo siguiente: a. El pasado mes de mayo de 2011, el centro O2 CENTRO WELLNESS inició una campaña informativa y comercial de su nuevo programa PERDIDA DE PESO ; esta información es remitida habitualmente a las personas que han dado su consentimiento para ello. b. Con fecha 17/05/2011, la responsable de estética y fisioterapia, se encargó de enviar los correos electrónicos informativos sobre dicho programa, adjuntando por error un listado que contenía datos personales de abonados mayores de treinta años, clientes de ese Centro. Dicho correo fue remitido a 334 personas, a las que se remitió un pidiendo disculpas en fecha 19/05/2011, una vez detectado el error. No obstante no se ha recibido en el centro ninguna reclamación al respecto. O2 CENTRO WELLNESS aportó el documento Política de privacidad suscrito en fecha 30/07/2009 por la trabajadora a la que pertenece la dirección de correo electrónico desde la que c. Jorge Juan Madrid

2 se realizó el envío objeto de la denuncia, en el que la misma se compromete a respetar la confidencialidad de los datos. Asimismo, O2 CENTRO WELLNESS aportó copia del formulario de inscripción que cumplimentaron algunos de los abonados que figuran en el fichero adjunto al correo objeto de la denuncia, en el que se indica lo siguiente: Puede usted manifestar su voluntad de no recibir información de naturaleza comercial, marcando la casilla dispuesta a continuación. TERCERO: Con fecha 21/11/2011, el Director de la Agencia de Protección de Datos acordó iniciar procedimiento sancionador a la entidad O2 CENTRO WELLNESS por la presunta infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.d) de la citada Ley Orgánica, en su redacción vigente aprobada por la Ley 2/2011, de 4 de marzo, de Economía Sostenible. CUARTO: Notificado el citado acuerdo de inicio de procedimiento sancionador, se recibe escrito de alegaciones de la entidad imputada, que reitera lo manifestado a los servicios de inspección y señala que el envío del correo electrónico objeto de la denuncia se produjo por un error de una de sus trabajadoras, que así lo reconoce en un documento suscrito por la misma, y que dicho error es contrario a la Política de Privacidad de la entidad. La empresa ha realizado una serie de medidas técnicas, jurídicas y organizativas para corregir y prever la comisión de infracciones y/o errores futuros, como la encriptación de todos los documentos Word y Excel, además de las medidas de seguridad que detalla, ya existentes con anterioridad a los hechos, incluida la formación del personal en materia de protección de datos personales. Por otra parte, O2 CENTRO WELLNESS considera que el presente supuesto se ajusta a lo dispuesto en el artículo 45.6 de la LOPD, por cuanto se cumplen los requisitos recogidos en los apartados a) y b), al no haber sido sancionada con anterioridad, así como por la concurrencia de los criterios establecidos en el artículo 45.4:. Infracción aislada producida por un error. Ausencia de intencionalidad. Ausencia de beneficio. Medidas de seguridad implementadas QUINTO: En fecha 23/01/2012, se acordó por el Instructor del Procedimiento la apertura del período de práctica de pruebas, teniéndose por reproducidas la denuncia interpuesta y la documentación que acompañan, así como las actuaciones previas de investigación E/02738/2011 y las alegaciones a la apertura del procedimiento presentadas por O2 CENTRO WELLNESS. SEXTO: Con fecha 23/02/2012, el Instructor del procedimiento formuló propuesta de resolución en el sentido de que el Director de la Agencia Española de Protección de Datos sancione a O2 CENTRO WELLNESS con una multa de euros (tres mil euros), por la infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma. El plazo concedido a O2 CENTRO WELLNESS para formular alegaciones a la propuesta transcurre sin que por la misma se haya presentado escrito alguno.

3 3/8 HECHOS PROBADOS PRIMERO: En mayo de 2011, la entidad O2 CENTRO WELLNESS inició una campaña informativa y comercial de su programa Pérdida de peso. SEGUNDO: Con fecha 17/05/2011, en el marco de la campaña promocional reseñada en el Hecho Probado Primero, O2 CENTRO WELLNESS remitió un correo electrónico promocional a sus clientes desde la dirección de correo A.A.A., adjuntando un fichero en formato Excel que contiene datos personales de 9293 abonados, relativos a nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección , Número de DNI y sexo. Dicha entidad ha declarado que el mencionado correo electrónico fue remitido a 334 personas. TERCERO: La denunciante figura entre los abonados incluidos en el archivo adjunto al correo electrónico reseñado en el Hecho Probado Segundo. CUARTO: Con fecha 19/05/2011, la entidad O2 CENTRO WELLNESS remitió un nuevo correo electrónico a los destinatarios del correo electrónico reseñado en el Hecho Probado Segundo, en el que se manifiesta lo siguiente: El motivo de este es para pedirle nuestras más sinceras disculpas por haberle enviado por error un documento adjunto que no tenía nada que ver con la promoción del programa de pérdida de peso. Queremos informarle que esta entidad cumple con lo establecido en la Ley Orgánica de Protección de Datos. QUINTO: Con fecha 30/07/2009, la trabajadora a la que pertenece la dirección de correo electrónico A.A.A. suscribió el documento Política de privacidad, en el que la misma se compromete a respetar la confidencialidad de los datos. SEXTO: En los formularios de recogida de datos que han de cumplimentar los clientes de O2 CENTRO WELLNESS para inscribirse como abonados se indica lo siguiente: Puede usted manifestar su voluntad de no recibir información de naturaleza comercial, marcando la casilla dispuesta a continuación. FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD. II El artículo 1 de la LOPD dispone: La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. c. Jorge Juan Madrid

4 En cuanto al ámbito de aplicación de la citada norma el artículo 2.1 de la misma señala: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Perfilándose el concepto de dato de carácter personal en el apartado a) del artículo 3 de la citada LOPD, en el que se define como: Cualquier información concerniente a personas físicas identificadas o identificables. En este mismo sentido se pronuncia el artículo 2.a) de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre, relativa a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. III El presente procedimiento se inicia para determinar las responsabilidades que resultan del envío de un correo electrónico efectuado por parte de la entidad O2 CENTRO WELLNESS, dirigido, según la propia entidad imputada ha declarado, a 334 clientes, al que se acompañó un listado en formato Excel que contiene datos personales de 9293 abonados, relativos a nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección , Número de DNI y sexo. La remisión mediante correo electrónico del listado referido, en los que se contienen datos de carácter personal de clientes de la entidad O2 CENTRO WELLNESS, según ha quedado indicado, posibilita el acceso a dichos datos personales por parte de todos los destinatarios del correo electrónico en cuestión. Por tanto, procede analizar el cumplimiento por parte de O2 CENTRO WELLNESS del deber de secreto establecido en el artículo 10 de la LOPD, que dispone lo siguiente: El artículo 10 de la LOPD dispone: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30/11, y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos (Sentencia del Tribunal Constitucional 292/2000, de 30/11). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la

5 5/8 dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida. En el caso que nos ocupa, ha quedado acreditado que O2 CENTRO WELLNESS remitió a terceros un documento en el que figuran los datos personales de abonados de la entidad relativos a nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección , Número de DNI y sexo. Esta información no puede ser facilitada a terceros, salvo consentimiento de los afectados o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso. Por tanto, queda acreditado que por parte de dicha entidad, se vulnera el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que terceras personas tuviesen acceso a datos personales de los afectados. IV La vulneración del deber de secreto aparece tipificada como infracción grave en el artículo 44.3.d) de la LOPD, en la redacción dada por la Ley 2/2011, de 4 de marzo, de Economía Sostenible, vigente en el momento en que tuvieron lugar los hechos constitutivos de la infracción. En este precepto se establece lo siguiente: d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley. En el presente caso, según ha quedado expuesto, consta acreditado que los datos personales de los afectados fueron divulgados a terceros por la entidad O2 CENTRO WELLNESS, no habiéndose acreditado que aquéllos hubiesen prestado el consentimiento necesario para ello. Por tanto, se concluye que la conducta imputada a O2 CENTRO WELLNESS se ajusta a la tipificación prevista en el 44.3.d) de la LOPD, en la redacción dada por la Ley 2/2011, de 4 de marzo, de Economía Sostenible. V La disposición final quincuagésima sexta cuatro de la Ley 2/2011, de 4 de marzo, de Economía Sostenible (BOE ), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD, en lugar del existente hasta su entrada en vigor, del siguiente tenor: Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos: a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley. b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad. Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento. c. Jorge Juan Madrid

6 O2 CENTRO WELLNESS ha solicitado la aplicación de este artículo, considerando que se cumplen los requisitos recogidos en los apartados a) y b), al no haber sido sancionada con anterioridad, así como por la concurrencia de los criterios establecidos en el artículo 45.4, en concreto, que se trata de una infracción aislada producida por un error, ausencia de intencionalidad, ausencia de beneficio y por las medidas de seguridad implementadas. No obstante, en el presente caso, atendida la naturaleza de los hechos, no se estima aplicable la previsión contenida en el mismo, considerando el número de afectados incluidos en el listado de abonados (9293 afectados) y la difusión realizada del mismo (334 destinatarios del correo electrónico que adjuntó el fichero en cuestión). VI El artículo 45.1, 2, 4 y 5 LOPD, en su redacción vigente en el momento en que tuvieron lugar los hechos, dispone lo siguiente: 1. Las infracciones leves serán sancionadas con multa de 900 a euros. 2. Las infracciones graves serán sancionadas con multa de a euros. 4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios: a) El carácter continuado de la infracción. b) El volumen de los tratamientos efectuados. c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal. d) El volumen de negocio o actividad del infractor. e) Los beneficios obtenidos como consecuencia de la comisión de la infracción. f) El grado de intencionalidad. g) La reincidencia por comisión de infracciones de la misma naturaleza. h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas. i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos: a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo. b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción. d) Cuando el infractor haya reconocido espontáneamente su culpabilidad. e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente. En cuanto a la aplicación de lo dispuesto en el artículo 45.5 de la LOPD, la Sentencia de 21/01/2004 de la Audiencia Nacional, en su recurso 1939/2001, señaló que dicho precepto << no es sino manifestación del llamado principio de proporcionalidad (artículo de la LRJPAC),

7 7/8 incluido en el más general del prohibición de exceso, reconocido por la jurisprudencia como principio general del Derecho. Ahora bien, la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas, atendidas las circunstancias del caso concreto. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión especialmente cualificada ) y concretos. Así, el citado artículo 45.5 de la LOPD debe aplicarse de forma excepcional y cuando se den suficientes circunstancias para ello. En el presente procedimiento, han de considerarse las mismas circunstancias invocadas por la entidad O2 CENTRO WELLNESS, reseñadas en el Fundamento de Derecho anterior, y, especialmente, que la infracción resulta de un error puntual, y no de la falta de medidas de seguridad específicas, así como las medidas adoptadas por la misma, a iniciativa propia y en el momento en que advirtieron los hechos, para evitar en el futuro la comisión de infracciones similares (encriptación de todos los documentos Word y Excel). Por tanto, se estima que concurren las circunstancias necesarias para que pueda establecerse la sanción aplicando la escala relativa a las infracciones leves. Teniendo en cuenta los criterios de graduación de las sanciones previstos en el artículo 45.4 y 5 de la LOPD y, en especial, el volumen de tratamientos, número de afectados y destinatarios de la información, procede la imposición de una multa por importe de euros. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad O2 CENTRO WELLNESS PLENILUNIO, S.L., por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de euros (tres mil euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a O2 CENTRO WELLNESS PLENILUNIO, S.L. y a DÑA. B.B.B.. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de c. Jorge Juan Madrid

8 Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 28 de marzo de 2012 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Rodríguez Álvarez

Documentos relacionados
2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback