Ni tanto ni tan calvo; sobre la Agencia Española de Protección de Datos

 

Los caminos del Señor, y los criterios de la AEPD son inescrutables.

Hoy veremos cómo 2 supuestos muy similares, arrojan resultados radicalmente distintos, gracias a los criterios interpretativos de la Agencia Española de Protección de Datos.

Supuesto nº1:

Por error, una empresa de telefonía móvil envía factura de otro cliente por email. Los datos revelados por error, incluyen: Nombre y apellido; NIF; Dirección; código postal; localidad; entidad bancaria; número de cuenta bancaria (diez dígitos); detalle de llamadas por número de teléfono.

Supuesto nº2:

Por error, una empresa de reparación de terminales móviles da un pendrive con copia de seguridad de 7 teléfonos distintos al suyo a una clienta particular. Los datos revelados por error, incluyen: Nombre y apellidos del titular del teléfono, fotografías personales, agenda personal con teléfonos, mails y direcciones de sus contactos, lista de llamadas emitidas y recibidas, y sms emitidos y recibidos.

¿Qué diferencia ambos supuestos?

En el primer supuesto, la empresa de telefonía móvil es responsable de un fichero, conforme a la Ley Orgánica de Protección de Datos y responde de los incumplimientos en que haya incurrido.

Sin embargo, en el segundo supuesto, la clienta no es “responsable” de ningún fichero, pues los “ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas” están excluidos del ámbito de aplicación de la LOPD (2.2.a LOPD).

Es lógico y comprensible. No tendría sentido que un latin lover tuviese que informar a sus conquistas de que sus datos serán incorporados a un fichero de su responsabilidad con la finalidad de… Bueno, quizá en este caso concreto… sí podría ser defendible… pero si cada uno de nosotros tuviese que cumplir con la LOPD por los datos de nuestros familiares, amigos y conocidos, seguramente nos encerraríamos en casa.

¿Y qué sucede con la tienda de reparación de terminales móviles? ¿No es responsable por su negligencia?

Pues no. Para la AEPD, al no aplicar la LOPD al dueño del fichero por ser un fichero de agenda personal… el tratamiento que hace la tienda por instrucción del dueño, tampoco está sometido al régimen sancionador de la LOPD.

Si la tienda hubiese utilizado los datos obtenidos para sus propios fines, sí hubiese sido responsable de tratar datos sin consentimiento… pero como lo que hizo fue incumplir con la obligación de deber de secreto con respecto a las 7 personas que vieron vulnerada su intimidad por esta tienda, la AEPD entiende que no procede imponer ninguna sanción.

Sin embargo, a la empresa de telefonía móvil del primer supuesto, le pusieron una multa de 6000 euros contantes y sonantes.

¿Y esto qué supone?

Pues… por poner algunos ejemplos… supone lo siguiente:

• Un servicio de correo electrónico español (p.e. @telefonica.net) no tiene que aplicar medidas de seguridad de ningún tipo a una hipotética base de datos de direcciones de destinatarios de emails de sus clientes.

• Igualmente, si @telefónica.net tuviese un percance de seguridad que afectase a estos datos, tampoco tendría ninguna responsabilidad.

• Un servicio de agenda online dirigido a particulares no tiene por qué cumplir con ninguna de las medidas de seguridad del Reglamento.

…Y un sinfín de ejemplos más.

¿Es correcto el criterio de la AEPD?

A todas luces… no lo es.

Los ficheros recibidos por la persona denunciante del segundo supuesto también incluyen datos personales propios de los clientes de la tienda, que sí son responsabilidad de la misma, y deberían estar protegidos por la LOPD.

Sin embargo, el criterio repetido por la AEPD, no cede ni ante un recurso debidamente motivado.

Lo dicho, los criterios de la AEPD son inescrutables y al parecer, no somos dignos de ponerlos en duda.

 

9 comentarios
  1. robespierre
    robespierre Dice:

    Está claro que hemos creado un monstruo, Y encima no nos protege cuando debe, pues qué bien. Eso sí, este organismo, como otros tiene su utilidad: ha servido para pagar los servicios prestados al ex jefe de Gabinete del Ministro de Justicia, hoy nuevo  Director de la AEPD.  

  2. Elisa de la Nuez Sánchez-Cascado
    Elisa de la Nuez Sánchez-Cascado Dice:

    Coincido totalmente con el autor del post, y le invito a explayarse sobre otros supuestos en que los criterios de la AEPD son, por decirlo elegantemente, fluctuantes. Tan fluctuantes como lo son los importes de las sanciones, por ejemplo.

    • José Carlos Moratilla
      José Carlos Moratilla Dice:

       
      Gracias, Elisa

      En mi opinión, el problema de la AEPD es que no ejerce una labor de interpretación de la LOPD… sino de mera aplicación de la Ley.

      Por poner un par de ejemplos…

      El 2.2 del RLOPD extrae del ámbito de aplicación el nombre, apellidos, cargo, y tlf/mail/dirección profesionales. Para la AEPD, esto supone que una tarjeta de visita está fuera de la LOPD cuando se utilice con una finalidad B2B; sin embargo, un contrato firmado con un proveedor no está fuera, porque contiene el DNI y la firma, que son datos personales que exceden ese catálogo de datos excluidos (y no hay nada que sea más “B2B” que un contrato mercantil).

      Igualmente, en aplicación del 81.6 del RLOPD, un parte de baja médica por enfermedad común es nivel BÁSICO… pero un parte de accidente de trabajo que dice que un trabajador se ha roto el dedo meñique… es nivel ALTO.

      Evidentemente, la ley no es perfecta, y por ello, necesita de un organismo capaz de interpretarla y aplicarla con coherencia. Si nos limitamos a aplicar la LOPD a rajatabla… más de un incumplimiento encontraríamos en la propia AEPD.

       
       

  3. Jaime de Nicolás
    Jaime de Nicolás Dice:

    Y luego están las agencias autonómicas de protección de datos…La falta de predictibilidad jurídica es lo mismo que inseguridad jurídica.

    • José Carlos Moratilla
      José Carlos Moratilla Dice:

      A propósito…
      Asombroso el numerito que hay que montar en una Agencia autonómica para poder inscribir un fichero de una administración pública… para que luego acaben igualmente en el RGPD.

  4. indignado con AEPD
    indignado con AEPD Dice:

    Yo tengo  tres resoluciones, recientes, con sus respectivos recursos de reposicion y que son alucinantes, parece van totalmente en contra de la doctrina y de la jurisprudencia anterior  de la propia ” Agencia Española des Proteccion de Datos“. Se ampara en el “in duvio pro reo” y se agarra a un clavo ardiendo para defender, al parecer, a los bancos que se han saltado a la torrera la ley de proteccion de datos, dejando al ciudadamo totalmente indefenso, con perjuicios tales como conlleva la trasmision de información gravemente incorrecta en la CIRBE, entre otros. Da la sensación que ni siquieran se leen los documentos que les remites, inclusive una de ellas con un informe del Banco de España, favorable a la denuncia planteada, al que no hacen el más minimo caso. Es verdaderamente una verguenza que un ente que se supone que ha de estar para velar por los derechos de los más debiles y protejer , y dar amparo al ciudadano que acude a ella casi le haga burla con lo que responde para justificar su falta de ese amparo. Parece como si tuviese ordenes expresas de defender a toda costa a los bancos y que el concepto, entre otros, de ” consentimiento expreso, exacto e inequivoco” se lo pasa por el arco del triunfo.

    Vaya flaco favor que le estan haciendo a las instituciones.  

    Esto no deja de ser un comentario realizado en el ambito de la libertad de expresión reconocido por la Constitución Española, pero pongo a dispocisón del que lo quiera ver, lo que se denunció, lo que  se entregó  a la AEPD y selló como entrada y lo que responden; y ahora a un contencioso-administrativo, si tienes c…….. y quieres y si no te lo comos con patatas, que ” el que manda soy yo”. Asi va todo

    Deberia crearse una plataforma de afectados por los “criterios fluctuantes”  de la AEPD   

       

         

      

  5. adolfo
    adolfo Dice:

    Soy abogado en ejercicio libre, y estoy totalmente de acuerdo con el comentario anterior. En una docena de asuntos, más o menos, he acudido ante la citada Agencia Española para la (no) Protección de Datos, y nunca me han dado la razón, a pesar de tenerla, al menos en varios de los procedimientos.
    La ¿solución?, acudir a la Audiencia Nacional, cargada de pleitos, y esperar uno o dos años a que te den la razón, si te la dan, con el lógico coste de honorarios de abogado, derechos del procurador, etc.
    En resumen, si sigue siendo tan ineficaz como hasta ahora, ¿no sería preferible suprimir ese organismo -inútil-, y dejar la tutela de nuestros derechos, única y exclusivamente, al arbitrio de los juzgados y tribunales…?

  6. indignado con AEPD
    indignado con AEPD Dice:

    Deberia de existir, o se deberia crear, una publicación donde se pudieran mostrar lo que se presenta y se sella  ante la AEPD y lo que responden en sus resoluciones o a los recursos de reposicion que es aún más lamentable y vergonzoso, y que esto fuera comentado o explicado por algún colectivo de abogados conforme a su doctrina y jurisprudencia anteriro de tal manera que se vean los criterios fluctuantes de la Agencia Española des Protección de Datos y la forma que tienen de  ejercer el amparo que se les solicita.

Los comentarios están desactivados.