Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos, o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y en una fecha concreta y celebrar el evento preparado. Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular. Hasta que la Agencia Española de Protección de Datos, AEPD, se le ocurrió indagar sobre estos supuestos, y concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una Comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.
Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia.
Esta situación llegó a los tribunales y la Audiencia Nacional se pronunció al respecto dejando sin efecto la sanción impuesta. De la Sentencia dictada se desprenden las siguientes conclusiones:
- Origen de los datos. El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la Ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.
La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.
Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora, o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas…, y además el consentimiento para la cesión de estos datos a otros compañeros, o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.
- Concepto de tratamiento. El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos. Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional “El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).”
Por todo lo expuesto os recomendamos, que antes de organizar una cena o comida de empresa, de amigos, o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.
Que paséis buenas fiestas.
"CultuLOPDizate":La solución definitiva a la Ley Organica de PROTECCION DE DATOS de caracter personal.
lunes, 28 de noviembre de 2011
El Ayuntamiento de Sevilla podría ser expedientado por la AEPD
La Agencia Española de Protección de Datos (APED) ha iniciado un expediente sancionador contra el Ayuntamiento de Sevilla por una posible vulneración de la Ley Oficial de Protección de Datos (LOPD).
El proceso sancionador iniciado por la Agencia se origina por el envío, el 5 de noviembre de 2010, de un email a todos los usuarios de la Oficina de la Bicicleta.
“Por error”, según explicó la propia oficina minutos después en otro correo electrónico a los más de 500 destinatarios, el primer envío se realizó sin poner las direcciones en CCO (Con copia oculta), por lo que las direcciones se hicieron visibles por todos los usuarios. A pesar de que la propia Oficina advirtió en su segundo correo de que no se podía utilizar las direcciones y pedía la eliminación de los datos mostrados, algunos de los usuarios denuncian haber comenzado a recibir, después del “error”, publicidad de empresas relacionadas con la bicicleta.
Este envío supondría una vulneración del artículo 10 de la LOPD, en el que se indica que el responsable del fichero, en este caso la Gerencia de Urbanismo, está obligado al secreto del fichero de datos. Al tratarse de un organismo público no se le aplicaría una sanción económica, pero si de una entidad privada se tratara la cuantía de la multa cifraría entre 40.000 y 300.000 euros, ya que constituye una negligencia “grave”.
El proceso sancionador iniciado por la Agencia se origina por el envío, el 5 de noviembre de 2010, de un email a todos los usuarios de la Oficina de la Bicicleta.
“Por error”, según explicó la propia oficina minutos después en otro correo electrónico a los más de 500 destinatarios, el primer envío se realizó sin poner las direcciones en CCO (Con copia oculta), por lo que las direcciones se hicieron visibles por todos los usuarios. A pesar de que la propia Oficina advirtió en su segundo correo de que no se podía utilizar las direcciones y pedía la eliminación de los datos mostrados, algunos de los usuarios denuncian haber comenzado a recibir, después del “error”, publicidad de empresas relacionadas con la bicicleta.
Este envío supondría una vulneración del artículo 10 de la LOPD, en el que se indica que el responsable del fichero, en este caso la Gerencia de Urbanismo, está obligado al secreto del fichero de datos. Al tratarse de un organismo público no se le aplicaría una sanción económica, pero si de una entidad privada se tratara la cuantía de la multa cifraría entre 40.000 y 300.000 euros, ya que constituye una negligencia “grave”.
Suscribirse a:
Entradas (Atom)