Subscribe to RSS

Ratificada la sanción de 361.208€ impuesta por la Agencia Española de Protección de Datos a IBERIA.



En Marzo de 2010 el Tribunal Supremo ha confirmado las tres sanciones impuestas por la Agencia Española de Protección de Datos a las Líneas Aéreas IBERIA por un importe total de 361.208 euros.

Los hechos se produjeron en el 2002, cuando aparecieron en los alrededores del aeropuerto de El Prat varios documentos de entrega de equipajes extraviados con los datos personales de los pasajeros afectados. Los datos de los pasajeros eran registrados en el sistema de IBERIA y cuando los equipajes eran encontrados, se remitía en formato papel la información a la empresa CACESA, que se encargaba de entregar los equipajes a sus legítimos propietarios. Fue precisamente esta información la que apareció en los alrededores del aeropuerto.

Las sanciones impuestas a IBERIA fueron las siguientes:
1.    Infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha Ley, una multa de 601,01. No contar con el fichero inscrito en el Registro de la Agencia Española de Protección de Datos.
2.    Infracción del artículo 9 de la LOPD en relación con el artículo 8 del RD 994/1999, de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, tipificada como grave en el artículo 44.3.h) una multa de 60.101,21. No contar con el Documento de Seguridad relativo a ese fichero.
3.    Infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de la citada Ley, una multa de 300.506,05. Cesión inconsentida de datos.

Lo que resulta más destacable de esta sentencia es la sanción muy grave por considerar que ha existido una cesión de datos de carácter personal sin consentimiento. Si analizamos detenidamente los hechos, parece claro que la relación existente entre IBERIA y CACESA quedaría encuadrada como una relación de encargado del tratamiento, debido a que quién decide sobre la finalidad del fichero es IBERIA que se limita a entregar a CACESA la información de los pasajeros que extraviaron sus equipajes para hacérselos llegar. Por tanto, CACESA como encargado del tratamiento se debe limitar a cumplir con las instrucciones del responsable del fichero, IBERIA.

Si esta relación está amparada por el artículo 12 de la LOPD “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”, entonces ¿por qué la Agencia Española de Protección de Datos sanciona por una infracción tipificada como muy grave?

Es este punto el verdaderamente relevante. El propio artículo 12 establece en los apartados 2 y siguientes, la obligación de contar con un contrato de encargado del tratamiento por escrito en el que se establezcan los extremos indicados en la propia Ley. Es decir, dicho contrato a grandes rasgos debe reflejar: la relación de encargado del tratamiento, las medidas de seguridad aplicables por parte de la empresa encargada del tratamiento, sus obligaciones de confidencialidad y además añade que el encargado del tratamiento deberá destruir o devolver los datos de carácter personal una vez haya finalizado la relación contractual.

En el presente caso, a pesar de que la relación entre CACESA e IBERIA es una relación de encargado del tratamiento, ésta no está reflejada en un contrato específico. El único contrato existente entre ambas empresas es uno de prestación de servicios firmado en 1992, cuyo objeto refleja el reparto domiciliario por parte de CACESA de equipajes extraviados o demorados desde el aeropuerto de Barcelona a los distintos lugares designados por IBERIA.

Difícilmente dicho contrato podría reflejar los extremos exigidos por la Ley Orgánica de Protección de Datos cuando éste se firmó antes de que entrara en vigor la primera Ley de Protección de Datos en España, la LORTAD.

Esta Sentencia demuestra la importancia de contar con los contratos de encargado. El ejemplo más habitual es el de la asesoría de nóminas que para prestar su servicio al responsable del fichero debe tratar los datos personales de los trabajadores de la empresa contratante.

En este caso ¿sucedería lo mismo que en la sentencia comentada si la asesoría extravía una nómina pero existe firmado un contrato específico de encargado del tratamiento?  En este caso el responsable del fichero no habría infringido los preceptos del a LOPD y sería la asesoría de nóminas la que respondería ante la Agencia Española de Protección de Datos por la pérdida de dicha información.

Por la experiencia que tenemos en Abril Abogados, las empresas objeto de auditoría de protección de datos, no le dan gran importancia a dejar fijadas en un contrato este tipo de relaciones. Habitualmente nos encontramos con dificultades para que se firmen este tipo de contratos, o bien porque ya existe un contrato anterior, como es el caso de IBERIA y CACESA, o bien porque existe una relación de confianza entre las empresas que consideran que no es necesario firmar contratos por escrito, o simplemente porque el que debe firmar el contrato es el director general.

Existen multitud de relaciones consideradas de encargado de tratamiento que las empresas  responsables de los ficheros desconocen y por lo tanto no cuentan con este contrato. A título enunciativo y dependiendo de cada caso concreto, se suelen considerar encargados del tratamiento las relaciones contractuales con la asesoría de nóminas, asesoría contable, empresa de mantenimiento informático, alojamiento de sitios web, empresas de back up, gestión documental, empresas de transporte, empresas de seguridad que tratan o acceden a las imágenes emitidas por las cámaras de seguridad o que controlan el acceso a edificios, etc.   

El responsable del fichero, que como hemos visto en el caso de IBERIA es el realmente perjudicado, debe actuar con diligencia y exigir la firma de este tipo de contratos y la actualización de los mismos a sus encargados del tratamiento, que en ocasiones no quieren firmar por el temor de creer que con la firma del contrato se obligan a cumplir con la LOPD cuando en realidad están obligados aunque no firmen dicho contrato.

Para terminar quisiera comentar las otras dos sanciones impuestas que aunque son menos relevantes por su cuantía económica, también nos hacen reflexionar. Ambas sanciones se suceden por un único hecho: IBERIA no se considera responsable del fichero de pasajeros que han extraviado su equipaje y por lo tanto no llegó a declarar el fichero.

A pesar de que IBERIA sí cuenta con un fichero declarado denominado BILLETES, ni la Agencia Española de Protección de Datos, ni la Audiencia Nacional, ni el Tribunal Supremo consideran que ese fichero incluya el de pasajeros que han extraviado su equipaje. Las razones argumentadas son básicamente las siguientes: Por un lado, IBERIA crea un nuevo fichero en el momento en que el pasajero acude a los mostradores y le toman nota de la pérdida de su equipaje, por otro lado, IBERIA, trasforma el fichero a través de un procedimiento manual, remitiendo a CACESA los datos de los pasajeros agraviados por la pérdida de su equipaje.

IBERIA, erróneamente, se considera un encargado del tratamiento respecto de los datos de los pasajeros al utilizar el sistema SITA que es una herramienta de búsqueda y gestión de los equipajes extraviados. Además en las actuaciones de inspección realizadas por la Agencia Española de Protección de Datos, se determinó que según lo establecido en el contrato existente entre SITA e IBERIA éste último es el responsable de los datos introducidos en el sistema.

Al no considerar IBERIA como fichero los datos de estos pasajeros, ni declaró el fichero, sanción leve, ni lo incorporó a su Documento de Seguridad, lo que provocó la sanción grave.

Por tanto, de estas dos sanciones se extrae otra conclusión, se debe tener especial cuidado en el análisis de los datos personales, para determinar cuándo la empresa tiene obligación de declarar un fichero  e incorporarlo a su Documento de Seguridad.
 

Alvaro Ramos Suárez
Departamento de Nuevas tecnologías
ABRIL ABOGADOS


Reciba en su correo las últimas noticias de DelitosInformaticos.com

Email

He leido y acepto las condiciones generales y la política de privacidad

Tenemos respuesta a tu problema legal

Abogados Portaley

0 comments

Añade tu comentario o tu pregunta

Nombre:
E-mail:
Website:
Pregunta o comentario

La moderación de comentarios está activada. Su comentario podría tardar cierto tiempo en aparecer.

Other articlesgo to homepage

El futuro de las nuevas tecnologías pasa por aumentar Seguridad, protección de datos e intimidad

El futuro de las nuevas tecnologías pasa por aumentar Seguridad, protección de datos e intimidad(0)

  El futuro que depara a las nuevas tecnologías no tiene límites. Así se ha demostrado en el encuentro EmTech celebrado en Valencia estos días. El concepto del futuro implica una extensión de Internet y del uso que haremos de esta red en poco tiempo. El concepto de tecnología inteligente se traslada a todo tipo de sectores. Así, podremos encontrarnos desde probadores de última generación, trajes o coches inteligentes, u ordenadores con los que poder tener una conversación, entre otros. Es decir, que lo que hace unas décadas se veía en las películas de ciencia ficción comienza a tomar cuerpo

Google tendrá que indemnizar a una mujer que aparece en Street View

Google tendrá que indemnizar a una mujer que aparece en Street View(0)

Según publica el diario “The Independent”, la compañía tecnológica Google deberá pagar una indemnización de 2.250 dólares estadounidenses a una mujer por publicar su fotografía sin su consentimiento en el servicio Street View. ¿Un problema legal? haz click aquí Abogados Portaley Esta herramienta es una característica combinada de Google Maps y de Google Earth que proporciona panorámicas a nivel de calle y permite a sus usuarios ver partes de las ciudades seleccionadas y sus áreas metropolitanas en pocos clics. Se introdujo por primera vez en 2007 en EEUU con solo 5 ciudades incluidas. Desde entonces se ha expandido a 31

Expertos en protección de datos alertan sobre tecnología “ponible”

Expertos en protección de datos alertan sobre tecnología “ponible”(0)

Las autoridades europeas de Protección de Datos advierten de los riesgos que los dispositivos “ponibles” como los relojes o gafas inteligentes suponen para la privacidad personal. Lo han hecho en un primer dictamen conjunto en forma de informa llamado“el Internet de las cosas”. En este documento elaborado por la Agencia Española de Protección de Datos (AEPD) y la Autoridad Francesa (CNIL) se refleja que estos objetos están dotados de una serie de sensores y conexión a Internet para recoger porciones de información que podrían ser analizadas por terceras personas y revelar información personal y patrones de vida de las personas.

El robo de datos médicos, al alza

El robo de datos médicos, al alza(0)

El FBI alerta a los proveedores informáticos de servicios de salud estadounidense que protejan sus equipos y software de ciberataques. Esta alerta se produce después de que Community Health Systems Inc, uno de los principales operadores hospitalarios de Estados Unidos haya informado sobre un grupo de piratas informáticos chinos que accedieron a su red y robaron el historial personal de 4 millones y medio de pacientes. Los expertos en seguridad han asegurado que estos ciberdelincuentes toman como blanco la industria de salud de Estados Unidos porque muchos equipos no están asegurados al 100% y porque detectar estas amenazas es complicado. ¿Un

Qué hacer si te incluyen por error en una lista de morosos

Qué hacer si te incluyen por error en una lista de morosos(0)

Las listas de morosos se utilizan para incluir a clientes que tienen facturas sin pagar o no han abonado algún tipo de material. Se usan para notificar al “moroso” y tener un registro de los clientes o usuarios que tienen retrasos en sus pagos. ¿Un problema legal? haz click aquí Abogados Portaley   Esta es una situación que de por si es incómoda, porque provoca un sentimiento de vergüenza en el individuo, pero puede serlo todavía más si la inclusión del usuario en la lista de morosos se ha hecho por error.     Ya son varios los casos conocidos

Leer más

Consultas Legales



Acepto condiciones de uso y política de privacidad
Servicio ofrecido por JurisPlace.com


> Haga su consulta
> Lea algunas consultas recibidas

Recibir noticias

Email

He leido y acepto las condiciones generales y la política de privacidad

Twitter @DelitosI

Contacto e información

© 2004-2014 DelitosInformaticos.com Revista de información legal y Abogados expertos en Delitos Informáticos

Social networks

Categorías más populares

© 2004-2014 DelitosInformaticos.com Revista de información legal | Condiciones generales | Datos identificativos
Política de cookies | Artículos (RSS) | Comentarios RSS)
¿Un problema legal? haz click aquí Abogados Portaley