Hemos recibido esta consulta por parte de una empresaria y lectora del blog, que nos parece interesante publicar para aclarar el concepto.

En mi empresa guardamos datos personales de muchos niños debido a la actividad que realizamos. Estos datos son únicamente los de contacto, que en realidad son lógicamente de los padres, así que de los menores en realidad sólo tenemos el nombre. Me ha parecido entender que los datos de menores deben ser especialmente protegido, y en ese caso, ¿qué nivel de seguridad debemos aplicar a ese fichero?

El nivel de seguridad que se debe aplicar a un fichero está en función del tipo de datos de que se componga, sin que la edad de los afectados sea un factor a considerar en este caso.

Las medidas de seguridad a aplicar a un fichero con datos personales de menores de edad serán por tanto las que correspondan al nivel de seguridad exigido por los datos.

En materia de protección de datos el hecho de que se traten datos de menores implica prestar una especial atención al consentimiento tal y como se regula en el artículo 13 de Reglamento de desarrollo de la LOPD:

Artículo 13. Consentimiento para el tratamiento de datos de menores de edad.

1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.
2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.
3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.
4. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

En la captura de pantalla aportada por la denunciante se aprecia un documento en cuyo encabezamiento figura la leyenda “BUROFAX MANRESA” y fecha 06/09 2010, junto a un literal parcialmente ilegible: “…INCAPACITAT TEMPORAL PER CONTINGENCIES COMUNES”. El documento contiene el nombre y apellidos de la denunciante, junto con su número de tarjeta sanitaria, número de afiliación a la Seguridad Social, número de DNI y domicilio. Asimismo se incluye el nombre de la empresa: XXX, S.L. y datos asociados a la baja médica: 60 días, “malaltia comuna”, fecha de baja: 08/09/2010.

En respuesta al requerimiento de la Inspección, la empresa denunciada, que desarrolla la actividad de “bar-cafetería”, ha confirmado que mantiene una relación laboral con la denunciante desde el 1 de febrero de 2008, que el parte de baja de esta fue recibido por parte de esta empresa mediante burofax por uno de sus empleados, al no disponer de departamentos, ni personas asignadas para estas funciones, y que desconoce totalmente las circunstancias por las que una fotografía del citado parte fue publicada en el perfil de la red social Facebook.

En relación con las acciones llevadas a cabo por la empresa tras detectar la difusión del documento, la compañía ha declarado que decidió “la retirada del parte de la red social y el cambio de las contraseñas de acceso a dicha red, dado que los empleados tenían acceso al perfil de la empresa”. También ha manifestado: “no se pudieron tomar medidas disciplinarias dado que a fecha de hoy desconocemos la autoría de dicha publicación”.

Tales alegaciones no fueron suficientes para evitar la sanción, ya que según la AEPD:

Cabe decir por tanto que, ante la falta de acreditación por parte de XXX del consentimiento de la denunciante para el tratamiento de datos personales realizado, y, ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima vulnerado por la entidad imputada el artículo 6.1 de la LOPD.

Y por tanto el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad XXX, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 2.000 € (dos mil euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica, estos dos últimos artículos según redacción dada por la Ley 2/2011 y de aplicación en virtud con lo establecido en el artículo 128.2 de la LRJPAC.

Entre otras medidas, el Programa cuenta con una página web www.vendeseninternet.es de acceso libre que  pone a disposición del usuario información y contenidos formativos, y entre ellos una guía sobre Aviso Legal y Cláusulas de Privacidad en tu Sitio Web.

La guía tiene como objetivos generales:

1. Conocer la regulación existente a incluir en los sitios web donde se llevan a cabo operaciones de e-commerce.
2. Identificar los fines de la LSSICE en la creación de un sitio web.
3. Describir los elementos que debe tener un aviso legal atendiendo a lo descrito en la LSSICE.
4. Identificar los fines de la LOPD en la creación de un sitio web.
5. Describir los aspectos que deben recogerse en el sitio web según la LOPD.

Y de forma más específica:

1. Enumerar los puntos a incluir en la creación de un aviso legal dentro de un sitio web.
2. Analizar las características particulares del sitio web relativas a misión y actividad de la organización, para definir otros aspectos a incluir en el aviso legal de un sitio web.
3. Identificar la finalidad de la fase de confirmación de compra y sus vinculaciones con el propietario (vendedor) y el usuario (comprador)
4. Conocer el procedimiento que establece la LOPD para el tratamiento de datos de los usuarios de un sitio web.
5. Identificar aquellas situaciones donde el usuario puede negarse a recibir información de la empresa propietaria del sitio web.
6. Informar al usuario de todas aquellas modificaciones que el propietario del sitio web pudiera realizar y que afectan al procedimiento formal de gestión de un pedido u cualquier otra operación de e-commerce.

• Descargar: Aviso Legal y Cláusulas de Privacidad en tu Web (PDF)

En resumen las novedades son:

• Queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente.
• Se prohíbe el envío de comunicaciones comerciales a través de las cuales se incite a los usuarios participar en promociones ilegales o en las que no identifique al anunciante.
• Queda prohibido el envío de comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas de Internet que contravengan las obligaciones de información.
• Será obligatorio incluir una dirección de electrónica válida para oponerse al tratamiento de datos con fines comerciales.
• Será necesario el consentimiento del usuario sobre los archivos o programas informáticos (por ejemplo las cookies) que almacenan información. Sólo podrán usarse si el afectado ha dado su consentimiento previo e informado (salvo que tengan por finalidad efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario).

Con estas modificaciones el Título III de la Ley 34/2002 (LSSI), quedaría redactado de la siguiente manera:

TÍTULO III.
COMUNICACIONES COMERCIALES POR VÍA ELECTRÓNICA.

Artículo 19. Régimen jurídico.

1. Las comunicaciones comerciales y las ofertas promocionales se regirán, además de por la presente Ley, por su normativa propia y la vigente en materia comercial y de publicidad.

2. En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales.

Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos.

1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable.

En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra publicidad o la abreviatura publi.

2. En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumplimiento de los requisitos establecidos en el apartado anterior y en las normas de ordenación del comercio, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación sean fácilmente accesibles y se expresen de forma clara e inequívoca.

3. Lo dispuesto en los apartados anteriores se entiende sin perjuicio de lo que dispongan las normativas dictadas por las Comunidades Autónomas con competencias exclusivas sobre consumo, comercio electrónico o publicidad.

4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.

Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

homónimo, ma.
1. adj. Dicho de dos o más personas o cosas: Que llevan un mismo nombre. U. t. c. s.

Y según la Agencia Española de Protección de Datos (AEPD) atribuir a un César lo que es de otro César puede suponer una sanción de 6.000 €, como podemos ver en este procedimiento por reclamación de pago a persona homónima.

En el Procedimiento Nº PS/00641/2010 el denunciante declaró que recibió una reclamación de pago a nombre de una persona homónima y una posterior petición de disculpa por parte de la entidad reclamante al darse cuenta del error.

Aunque los datos se habían extraído de las Páginas Blancas y procedían por tanto de una fuente accesible al público, la AEPD aclara:

No obstante, una vez que la entidad denunciada dispone de los datos del denunciante de una fuente accesible al público, las paginas blancas, se produjo un tratamiento posterior de los datos del denunciante, ya que Seinco añadió al registro de un deudor cuya deuda estaba encargado de cobrarla y cuyo nombre y apellido coincidía con el del denunciante, el dato del domicilio del denunciante y los asoció, por tanto, a una deuda que no le correspondía y le reclamó, posteriormente, a través de una carta. Este tratamiento posterior de la entidad denunciada no se ajusta a la normativa de protección de datos en la medida que se realiza un tratamiento posterior de los datos del denunciante al asociarlos a una persona homónima que era deudor y cuya deuda la entidad denunciada estaba encargada de cobrarla; así la entidad denunciada remitió posteriormente una carta al denunciante reclamando el pago de la deuda cuando en realidad no era el deudor de la deuda reclamada. Así hay que señalar que la obtención de los datos del denunciante por parte de la entidad denunciada de una fuente accesible al público no le faculta para reclamarle, posteriormente, una deuda que no le corresponde al denunciante y sin tener el consentimiento del afectado .

Y por tanto el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad SERVICIOS DE INTERMEDIACION FINANCIERA Y COBROS SL (SEINCO), una multa de 6000 € (seis mil euros) por la infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.b) de dicha norma aplicando el 45.2, 45.4 y 45.5 de la LOPD .

Se trata del Procedimiento sancionador Nº PS/00765/2010 en el que el denunciante utilizó los servicios de la página web www.11870.com para localizar una empresa con el fin de realizar unas reformas. Ante su insatisfacción con el trabajo realizado, publicó en la misma un comentario bajo el seudónimo “ A.A.A.”, en el que incluía opiniones como:

“Una obra que en principio iba a durar dos semanas a lo sumo, se convirtió en un infierno de errores, chapuzas y despropósitos.”

La empresa respondió con otro comentario en el que indicaba (sic):

“Quisiéramos informarles a “cerca del señor” A.A.A., cuyo nombre real es C.C.C. con DNI: H.H.H. y dirección de mail: B.B.B..
Este Señor es tan solo un MOROSO resentido y con poca educación, que después de comportarse como un energúmeno ha incumplido los acuerdos del contrato que manteníamos dejando mucho dinero a deber, por lo que recomiendo a otros profesionales del sector que tengan in especial cuidado con él dada su trayectoria.
A título personal, le diré Sr. C.C.C., que es deplorable la forma en la que se hace el digno cuando es Ud. un MOROSO. Es fácil atacar a los demás utilizando un alias y escondiéndose en el anonimato de la red. Se le tendría que caer la cara de vergüenza.”

En el presente caso, ha quedado acreditado que por parte de FUTURHOUSE responsable de la custodia de los datos del denunciante (nombre, apellidos, DNI y dirección de correo electrónico), se vulneró el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido, a los citado datos personales del denunciante, sin consentimiento del mismo, en los comentarios que publicó.

PRIMERO: IMPONER a la entidad FUTURHOUSE SERVICIOS INTEGRALES S.L., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 2.000 € (dos mil euros) de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.

La AEPD ha señalado como puntos más significativos de la nueva aplicación:

• Es una herramienta sencilla y gratuita para facilitar a las Administraciones Públicas su adaptación a la normativa de protección de datos.
• La LOPD y su Reglamento establecen que la creación, modificación o supresión de ficheros de titularidad pública debe hacerse por medio de una disposición general publicada en el BOE o Diario oficial correspondiente.
• La herramienta tiene por objeto facilitar el cumplimiento de este trámite a los responsables de ficheros de titularidad pública, mediante un formulario online que aborda todos los extremos y contenido que deben incluir las disposiciones generales.
• En cada apartado de la aplicación incluye una pestaña desplegable donde el usuario podrá encontrar ejemplos y modelos de los ficheros más frecuentes.
• Una vez cumplimentado, el sistema genera un modelo de disposición que debe ser tramitado y posteriormente publicado en el BOE o diario oficial correspondiente.

Puede acceder a la aplicación a través del siguiente enlace:

Acceso a DISPONE

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado un documento Modelo de política de privacidad para sitio web, en formato Word.

Con este documento contractual, y tras su cumplimentación por parte del usuario, se logra dar cumplimiento a las obligaciones legales básicas dispuestas en la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE) y en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, así como en el Reglamento de Desarrollo de la LOPD. Se trata de un modelo específico para sitios web, previéndose en el documento aspectos específicos de la protección de datos a través de sitios web.

En cualquier caso no hay que olvidar la advertencia que el propio instituto indica en el documento:

El presente contrato es un modelo orientativo proporcionado gratuitamente por el INTECO.

INTECO no se responsabiliza del uso que pueda hacerse del mismo. INTECO recomienda recurrir a profesionales especializados en Derecho Tecnológico para la redacción personalizada de contratos.

Descarga

• Modelo de política de privacidad para sitio web (46 KB)

En el Procedimiento de Apercibimiento Nº: A/00204/2011 volvemos a ver una cuestión similar tras la denuncia de un particular sobre el origen de sus datos personales tratados por un colectivo.

Se trata de un club para mayores que ante la inspección de la Agencia de Protección de Datos (AEPD) indicó que:

había ofrecido a sus abonados la inscripción en la oferta “Edad Dorada” a un precio muy asequible para amigos y familiares. Que posiblemente los datos de la denunciante fuesen obtenidos a través de alguno de los abonados.

La AEPD señala en los Fundamentos de Derecho:

En el presente caso, consta acreditado que la entidad XXX recabó los datos personales de la denunciante a través de un tercero, sin el conocimiento y sin el consentimiento de la afectada, registrándolos en sus ficheros con la finalidad de utilizarlos con fines promocionales. Por tanto, resulta que XXX no disponía del consentimiento del afectado para los tratamientos de datos realizados.

En consecuencia, se considera infringido el artículo 6.1 de la LOPD por parte de la entidad denunciada, que es responsable de dicha infracción.

Por tanto se confirma una vez más que el consentimiento para el tratamiento de datos personales, cuando es necesario, sólo puede ser otorgado por el afectado o sus representantes legales.

Esta circunstancia se acentúa cuando tales datos son tratados por un tercero (para una campaña publicitaria, por ejemplo) donde la obligación de resultado que exige la LOPD a la hora de velar por su buen hacer no queda cubierta por la mera inserción en el contrato de las cláusulas correspondientes, como veremos en una reciente sanción de 40.000 € a una empresa por tratar datos de menores sin consentimiento de sus tutores legales.

En el Procedimiento Sancionador Nº PS/00234/2011 se indica que la empresa denunciada  realizó una promoción a través de una página web, en cuyas bases se establecía que podían participar menores de edad para lo cual se habilitaría una opción para obtener el consentimiento de sus tutores legales. Dicha promoción constaba de diversos premios, para alguno de los cuales, los interesados debían descargar un formulario disponible en la web y, una vez cumplimentado, remitirlo a un Apartado de Correos. A pesar de lo indicado en las bases en este formulario no se recababa el consentimiento de los padres o tutores legales.

La empresa alegó que en su contrato de servicios con la agencia publicitaria encargada de la campaña se especificaba la obligatoriedad de incluir en el formulario la cláusula informativa correspondiente y seguir el procedimiento fijado, pero  la AEPD se limita a considerar que en el presente caso ha quedado acreditado el tratamiento por parte del denunciado de datos personales de menores de edad sin el consentimiento de sus padres, y por tanto

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad XXX, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 40.001 € (cuarenta mil un euro) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad XXX, por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 900 € (novecientos euros) de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.