Subscribe to RSS

Ratificada la sanción de 361.208€ impuesta por la Agencia Española de Protección de Datos a IBERIA.



En Marzo de 2010 el Tribunal Supremo ha confirmado las tres sanciones impuestas por la Agencia Española de Protección de Datos a las Líneas Aéreas IBERIA por un importe total de 361.208 euros.

Los hechos se produjeron en el 2002, cuando aparecieron en los alrededores del aeropuerto de El Prat varios documentos de entrega de equipajes extraviados con los datos personales de los pasajeros afectados. Los datos de los pasajeros eran registrados en el sistema de IBERIA y cuando los equipajes eran encontrados, se remitía en formato papel la información a la empresa CACESA, que se encargaba de entregar los equipajes a sus legítimos propietarios. Fue precisamente esta información la que apareció en los alrededores del aeropuerto.

Las sanciones impuestas a IBERIA fueron las siguientes:
1.    Infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha Ley, una multa de 601,01. No contar con el fichero inscrito en el Registro de la Agencia Española de Protección de Datos.
2.    Infracción del artículo 9 de la LOPD en relación con el artículo 8 del RD 994/1999, de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, tipificada como grave en el artículo 44.3.h) una multa de 60.101,21. No contar con el Documento de Seguridad relativo a ese fichero.
3.    Infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de la citada Ley, una multa de 300.506,05. Cesión inconsentida de datos.

Lo que resulta más destacable de esta sentencia es la sanción muy grave por considerar que ha existido una cesión de datos de carácter personal sin consentimiento. Si analizamos detenidamente los hechos, parece claro que la relación existente entre IBERIA y CACESA quedaría encuadrada como una relación de encargado del tratamiento, debido a que quién decide sobre la finalidad del fichero es IBERIA que se limita a entregar a CACESA la información de los pasajeros que extraviaron sus equipajes para hacérselos llegar. Por tanto, CACESA como encargado del tratamiento se debe limitar a cumplir con las instrucciones del responsable del fichero, IBERIA.

Si esta relación está amparada por el artículo 12 de la LOPD “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”, entonces ¿por qué la Agencia Española de Protección de Datos sanciona por una infracción tipificada como muy grave?

Es este punto el verdaderamente relevante. El propio artículo 12 establece en los apartados 2 y siguientes, la obligación de contar con un contrato de encargado del tratamiento por escrito en el que se establezcan los extremos indicados en la propia Ley. Es decir, dicho contrato a grandes rasgos debe reflejar: la relación de encargado del tratamiento, las medidas de seguridad aplicables por parte de la empresa encargada del tratamiento, sus obligaciones de confidencialidad y además añade que el encargado del tratamiento deberá destruir o devolver los datos de carácter personal una vez haya finalizado la relación contractual.

En el presente caso, a pesar de que la relación entre CACESA e IBERIA es una relación de encargado del tratamiento, ésta no está reflejada en un contrato específico. El único contrato existente entre ambas empresas es uno de prestación de servicios firmado en 1992, cuyo objeto refleja el reparto domiciliario por parte de CACESA de equipajes extraviados o demorados desde el aeropuerto de Barcelona a los distintos lugares designados por IBERIA.

Difícilmente dicho contrato podría reflejar los extremos exigidos por la Ley Orgánica de Protección de Datos cuando éste se firmó antes de que entrara en vigor la primera Ley de Protección de Datos en España, la LORTAD.

Esta Sentencia demuestra la importancia de contar con los contratos de encargado. El ejemplo más habitual es el de la asesoría de nóminas que para prestar su servicio al responsable del fichero debe tratar los datos personales de los trabajadores de la empresa contratante.

En este caso ¿sucedería lo mismo que en la sentencia comentada si la asesoría extravía una nómina pero existe firmado un contrato específico de encargado del tratamiento?  En este caso el responsable del fichero no habría infringido los preceptos del a LOPD y sería la asesoría de nóminas la que respondería ante la Agencia Española de Protección de Datos por la pérdida de dicha información.

Por la experiencia que tenemos en Abril Abogados, las empresas objeto de auditoría de protección de datos, no le dan gran importancia a dejar fijadas en un contrato este tipo de relaciones. Habitualmente nos encontramos con dificultades para que se firmen este tipo de contratos, o bien porque ya existe un contrato anterior, como es el caso de IBERIA y CACESA, o bien porque existe una relación de confianza entre las empresas que consideran que no es necesario firmar contratos por escrito, o simplemente porque el que debe firmar el contrato es el director general.

Existen multitud de relaciones consideradas de encargado de tratamiento que las empresas  responsables de los ficheros desconocen y por lo tanto no cuentan con este contrato. A título enunciativo y dependiendo de cada caso concreto, se suelen considerar encargados del tratamiento las relaciones contractuales con la asesoría de nóminas, asesoría contable, empresa de mantenimiento informático, alojamiento de sitios web, empresas de back up, gestión documental, empresas de transporte, empresas de seguridad que tratan o acceden a las imágenes emitidas por las cámaras de seguridad o que controlan el acceso a edificios, etc.   

El responsable del fichero, que como hemos visto en el caso de IBERIA es el realmente perjudicado, debe actuar con diligencia y exigir la firma de este tipo de contratos y la actualización de los mismos a sus encargados del tratamiento, que en ocasiones no quieren firmar por el temor de creer que con la firma del contrato se obligan a cumplir con la LOPD cuando en realidad están obligados aunque no firmen dicho contrato.

Para terminar quisiera comentar las otras dos sanciones impuestas que aunque son menos relevantes por su cuantía económica, también nos hacen reflexionar. Ambas sanciones se suceden por un único hecho: IBERIA no se considera responsable del fichero de pasajeros que han extraviado su equipaje y por lo tanto no llegó a declarar el fichero.

A pesar de que IBERIA sí cuenta con un fichero declarado denominado BILLETES, ni la Agencia Española de Protección de Datos, ni la Audiencia Nacional, ni el Tribunal Supremo consideran que ese fichero incluya el de pasajeros que han extraviado su equipaje. Las razones argumentadas son básicamente las siguientes: Por un lado, IBERIA crea un nuevo fichero en el momento en que el pasajero acude a los mostradores y le toman nota de la pérdida de su equipaje, por otro lado, IBERIA, trasforma el fichero a través de un procedimiento manual, remitiendo a CACESA los datos de los pasajeros agraviados por la pérdida de su equipaje.

IBERIA, erróneamente, se considera un encargado del tratamiento respecto de los datos de los pasajeros al utilizar el sistema SITA que es una herramienta de búsqueda y gestión de los equipajes extraviados. Además en las actuaciones de inspección realizadas por la Agencia Española de Protección de Datos, se determinó que según lo establecido en el contrato existente entre SITA e IBERIA éste último es el responsable de los datos introducidos en el sistema.

Al no considerar IBERIA como fichero los datos de estos pasajeros, ni declaró el fichero, sanción leve, ni lo incorporó a su Documento de Seguridad, lo que provocó la sanción grave.

Por tanto, de estas dos sanciones se extrae otra conclusión, se debe tener especial cuidado en el análisis de los datos personales, para determinar cuándo la empresa tiene obligación de declarar un fichero  e incorporarlo a su Documento de Seguridad.
 

Alvaro Ramos Suárez
Departamento de Nuevas tecnologías
ABRIL ABOGADOS


Reciba en su correo las últimas noticias de DelitosInformaticos.com

Email

He leido y acepto las condiciones generales y la política de privacidad

Tenemos respuesta a tu problema legal

Abogados Portaley

0 comments

Añade tu comentario o tu pregunta

Nombre:
E-mail:
Website:
Pregunta o comentario

La moderación de comentarios está activada. Su comentario podría tardar cierto tiempo en aparecer.

Other articlesgo to homepage

Qué hacer si te incluyen por error en una lista de morosos

Qué hacer si te incluyen por error en una lista de morosos(0)

Las listas de morosos se utilizan para incluir a clientes que tienen facturas sin pagar o no han abonado algún tipo de material. Se usan para notificar al “moroso” y tener un registro de los clientes o usuarios que tienen retrasos en sus pagos. ¿Un problema legal? haz click aquí Abogados Portaley   Esta es una situación que de por si es incómoda, porque provoca un sentimiento de vergüenza en el individuo, pero puede serlo todavía más si la inclusión del usuario en la lista de morosos se ha hecho por error.     Ya son varios los casos conocidos

Fiscalía propone modificar ley para solicitar datos de usuarios de comunicaciones electrónicas sin autorizacion judicial

Fiscalía propone modificar ley para solicitar datos de usuarios de comunicaciones electrónicas sin autorizacion judicial(0)

  La Fiscalía propone modificar la Ley 25/2007 de conservación de datos para solicitar los datos de los abonados o usuarios de las comunicaciones electrónicas sin autorizacion judicial.   El artículo 6 de la citada norma establece que: 1. Los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial. 2. La cesión de la información se efectuará únicamente a los agentes facultados. A estos efectos, tendrán la consideración de agentes facultados: a) Los miembros de las Fuerzas y

El 31% de las investigaciones empresariales de detectives, están relacionadas con fugas de información

El 31% de las investigaciones empresariales de detectives, están relacionadas con fugas de información(0)

  La eliminación de la información del equipo por parte del empleado desleal antes de abandonar la compañía así como el envío de información relevante de la compañía a la competencia, son algunos ejemplos de sabotaje, que supondría un 42% de estas investigaciones. Las demandas para investigar estos tipos de casos son mayores en las grandes empresas debido a la capacidad económica es superior para gestionar la contratación de detectives privados.  Agencias. Según informe presentado por Zenit Detectives, compañía española experta en investigaciones aplicadas en el ámbito empresarial, se ha detectado que el 31% de las investigaciones realizadas están relacionadas

Famosos y personajes públicos en peligro en las Redes sociales

Famosos y personajes públicos en peligro en las Redes sociales(0)

     . La falta de regulación de una política sobre las Redes sociales indica una carencia en la legislación en materia del Derecho de las Nuevas tecnologías y los delitos informáticos. Ante la posibilidad de tener un problema en materia de protección de datos, propiedad intelectual e incluso sobre los derechos a la propia imagen, intimidad y privacidad de los usuarios, queda como única garantía para el usuario atenderse a las Condiciones y términos de uso de las Redes sociales, donde nos indican expresamente los límites de ciertos derechos fundamentales y de los que no cabe negociar.     Cabe

El uso de datos personales en Internet está “fuera de control”

El uso de datos personales en Internet está “fuera de control”(0)

El uso de datos personales en Internet está “fuera de control”, según un estudio de Avira El 86% de los encuestados piensan que tienen poco o nada que decir sobre cómo usan las empresas la información personal. El 81% quiere recuperar el control 8 de Abril, 2013 – El departamento de análisis de Avira ha anunciado los resultados de su última investigación online desvelando que el 86% de los encuestados sentía que tenía poco o nada de control sobre cómo las empresas usan su información personal online. La encuesta de información personal fue presentada a una muestra aleatoria de visitantes

Leer más

Consultas Legales



Acepto condiciones de uso y política de privacidad
Servicio ofrecido por JurisPlace.com


> Haga su consulta
> Lea algunas consultas recibidas

Recibir noticias

Email

He leido y acepto las condiciones generales y la política de privacidad

Twitter @DelitosI

Contacto e información

© 2004-2014 DelitosInformaticos.com Revista de información legal y Abogados expertos en Delitos Informáticos

Social networks

Categorías más populares

© 2004-2014 DelitosInformaticos.com Revista de información legal | Condiciones generales | Datos identificativos
Política de cookies | Artículos (RSS) | Comentarios RSS)
¿Un problema legal? haz click aquí Abogados Portaley