domingo, 25 de septiembre de 2016

¿Renovar el consentimiento?


El Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“Reglamento General de Protección de Datos” o “RGPD”) define consentimiento del interesado, en su artículo 4, como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

La referencia a una declaración o acción afirmativa excluye, según aclara el considerando (32) del RGPD, la posibilidad de que el silencio o la simple inacción puedan interpretarse en el sentido de entender que el titular de los datos consiente a un determinado tratamiento. Esta interpretación fue, además, confirmada por la Directora de la Agencia Española de Protección de Datos en la 8ª Sesión Anual Abierta de esta entidad celebrada el pasado 29 de Junio.

Hasta la fecha, en nuestro país, el consentimiento ha sido la base de la gran mayoría de los tratamientos efectuados, incluso en circunstancias en las que se ha puesto en duda la validez del mismo de forma reiterada (por ejemplo, en los entornos laborales, para finalidades no estrictamente relacionadas con la gestión del contrato o para legitimar transferencias internacionales). Los altos estándares previstos para la obtención del consentimiento en el RGPD, le harán perder importancia en este sentido.

Los responsables del tratamiento que no puedan garantizar la obtención del consentimiento mediante una declaración o acción afirmativa deberán recurrir a las otras circunstancias previstas en el artículo 6.1 del RGPD. Entre ellas, se encuentra el interés legítimo, que tras la sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 se ha convertido en “el nuevo consentimiento” para las empresas españolas.

El artículo 3 de la todavía vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”) también define consentimiento como una “manifestación de voluntad, libre, inequívoca, específica e informada”. Sin embargo, salvo en el caso de los datos especialmente protegidos, y porque así lo prevé su artículo 7, la LOPD permite que el consentimiento se preste tácitamente. De hecho, su reglamento de desarrollo (“RLOPD”) regula un procedimiento para la obtención del consentimiento tácito (artículo 14).

Además, el artículo 15 del RLOPD permite que el consentimiento para finalidades adicionales en el contexto de una relación contractual se obtenga facilitando al interesado una casilla que pueda marcar para manifestar su oposición. A sensu contrario, dicha casilla no se marcará si el usuario acepta el tratamiento adicional (es decir, se permite consentir mediante una inacción;  dicho de otra forma, la “no acción” se interpreta como consentimiento). Ésta ha sido la forma en la que muchas empresas han recogido el consentimiento de sus clientes para remitirles publicidad, o para compartir información entre las empresas del mismo grupo.Si hacemos una interpretación literal del considerando (32) del RGPD parece que estos mecanismos que implican consentir por inacción (el denominado “opt-out”) no se admitirán como formas válidas de obtener el consentimiento para el tratamiento de los datos. 

No obstante, lo realmente importante es que el considerando (171) del RGPD incluye una previsión retroactiva en este sentido:

“Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento. Las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas.”

El cumplimiento de esta obligación afectaría no sólo a los responsables del tratamiento que utilizaron el sistema previsto en el artículo 14 del RLOPD, sino también a todos aquellos que han obtenido el consentimiento mediante sistemas de “opt-out”. Todos ellos se verán obligados a “renovar” el consentimiento. La Directora de la Agencia Española de Protección de Datos sí fue clara en la 8ª Sesión Anual Abierta al instar a los responsables del fichero a iniciar las acciones necesarias para obtener un nuevo consentimiento que cumpla con los requisitos del RGPD.

Sin embargo, los problemas que se plantean son muchos:

1.- En primer lugar, las empresas de cierto tamaño o de determinados sectores se enfrentarán a la necesidad de recoger el consentimiento de un número considerable de clientes y usuarios con los que han utilizado sistemas de opt-out (probablemente, el grueso de las bases de datos de los departamentos de marketing).

2.- Adicionalmente, se deberá pensar y articular un mecanismo que ofrezca la posibilidad de emitir una declaración o realizar una acción afirmativa para consentir. Algunas opciones son las siguientes:

-        El envío de e-mails que soliciten marcar una casilla para confirmar que desean que una empresa en cuestión continúe efectuando el tratamiento que ha venido llevando a cabo hasta la fecha, bien en el propio e-mail, o reenviando a una página web diseñada al efecto.

-        La realización de llamadas telefónicas que graben el consentimiento del usuario manifestado expresamente.

-        La recogida de firmas a través de documentos en formato papel cuando el cliente o usuario vuelva a utilizar el servicio o a realizar una compra.

Es lógico suponer que un gran número de registros se perderán en este proceso. Además, resulta probable que acciones como las descritas molesten más a los interesados que continuar recibiendo una newsletter o las ofertas y descuentos de una empresa de la que son clientes, lo cual no deja de ser un contrasentido.

3.-  Por último, los responsables del tratamiento pueden intentar legitimar la utilización de los datos en otras de las circunstancias recogidas en el artículo 6.1 del RGPD. El interés legítimo parece la más evidente, pero requerirá un análisis del equilibrio de los intereses en juego en cada caso concreto. La justificación del interés legítimo para finalidades de marketing y publicidad puede resultar complicada. Previsiblemente, se realizarán consultas a la Agencia Española de Protección de Datos para que aclare este extremo.

Si la introducción del consentimiento expreso en el RGPD fue discutida, la aplicación de estos estándares con efectos retroactivos lo será aún más. Debemos recordar que la aplicación de una norma con carácter retroactivo ha de ser un recurso excepcional, por las implicaciones desestabilizadoras que puede llegar a tener para la seguridad jurídica. En el caso analizado, los responsables del tratamiento utilizaron mecanismos de recogida del consentimiento previstos en la normativa vigente en su momento, que ya incluían garantías a favor del titular de los datos, como la posibilidad de revocar el consentimiento en cualquier momento, o la de ejercer los derechos de cancelación y oposición. La exigencia de que renueven estos consentimientos (especialmente, si el tratamiento se ha prolongando durante cierto tiempo y el interesado ha tenido ocasión de oponerse y no lo hecho), no redundará en una mayor protección de los titulares de los datos. En cambio, impone una obligación ciertamente gravosa para los responsables del tratamiento. 

jueves, 2 de junio de 2016

El Reglamento General de Protección de Datos ya está aquí

Finalmente, el Reglamento General de Protección de Datos (“RGPD”, a partir de ahora y en todos los post, que no estoy para perder el tiempo) ha sido publicado en el Diario Oficial de la Unión Europea. Se avecinan tiempos emocionantes para los profesionales de la privacidad, y muy particularmente, los “blojeros”. Imagínense, la cantidad de post "chipas" que vamos a escribir (sobre la primera sanción, el primer acto delegado, las primeras BCR, etc., conformes a la nueva normativa...)

Todavía estamos a la espera de que se publiquen los primeros documentos con sustancia (del Grupo de Trabajo del Artículo 29, por ejemplo), y se tardará tiempo en fijar criterios de aplicación de RGPD que nos permitan movernos con seguridad en la implantación de las nuevas obligaciones.
Los documentos que han aparecido hasta el momento son, digámoslo así, introducciones al RLOPD: resúmenes de aspectos fundamentales, que aclaran dudas inmediatas y proponen soluciones de sentido común a problemas básicos. No entran en detalle. 

Así, la AEPD (“AGEPEDÉ”, para los entendidos en la materia) ha tenido a bien publicar un resumen de la nueva norma en 12 preguntas claves. Las dos primeras son muy interesantes, y seguro que ustedes han estado dándole vueltas a este tema: 

"1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?

No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?

El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita."

El texto completo se encuentra disponible aquí.

Aunque no está mal el documento preparado por nuestra autoridad nacional, me ha gustado mucho más la Guía del ICO, y su estupenda iniciativa de crear un blog dedicado al RGPD. Si ustedes se sienten solos, deprimidos e inseguros en cuanto a lo que el futuro nos deparará, les recomiendo que lean el documento titulado "What to expect and when".

La CNIL, por su parte, ha optado por preparar unas fichas prácticas con dibujos. Se pueden consultar aquí.El poster descargable queda muy bien en la habitación de los niños. En fin, no sé qué decirles. Son ese tipo de cosas inexplicables que hacen de vez en cuando los franceses (espero que el pueblo que inventó la Grandeur nos acabe obsequiando con una guía en condiciones del RGPD). 

La autoridad alemana también dispone de una guía sobre el RGPD, que en alemán se dice Datenschutz-Grundverordnung. Sin duda es el documento más contundente de los publicados hasta la fecha. Poco más les puedo de él, salvo que si van a la página 6, verán la foto de una señora gorda. Aquí lo dejo porque, pero me están entrando ganas de invadir Polonia. Buenas noches. 


domingo, 29 de mayo de 2016

Tratamiento privado de datos relativos a comisión de infracciones

Como sin duda ustedes ya saben, el apartado 5 del todavía vigente artículo 7 LOPD es una especie de chambre de bonne para datos especialmente protegidos de segunda categoría, que no merecen vivir en las plantas nobles del edificio junto a los datos de saludo o de ideología política (de hecho, a pesar de estar incluidos en este precepto nadie los considera como tales)Dispone el artículo 7.5 LOPD que "los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras".

El citado artículo 7.5 establece una prohibición general que parece de sentido común. Sin embargo, ocasiona más de un quebradero de cabeza a aquellos responsables de ficheros privados que, circunstancialmente, deben tratar datos relativos a infracciones. Pensemos en mi caso: como abogado tengo varios archivadores con datos de este tipo de mis clientes. Nadie parece haberse planteado hasta la fecha la ilegalidad de nuestro proceder (por favor, organicemos una charla sobre esto en el ICAM a la mayor brevedad posible). También se encuentran en una situación de riesgo las aseguradoras, gestorías, y cualquier entidad privada que solicite un certificado de antecedentes penales para determinadas posiciones, en muchos casos por motivos de seguridad o por imposición legal. 

En mi opinión, esta norma debería interpretarse en el sentido de que una entidad privada no puede crear un fichero con la exclusiva finalidad de tratar datos relativos a infracciones penales o administrativas, pero sí pueden tratar estos datos de forma accesoria cuando sea necesario para llevar a cabo tratamientos legítimos. La interpretación de la Agencia Española de Protección de Datos ha venido siendo estricta con la literalidad del texto del citado artículo 7.5 LOPD. En un informe jurídico del año 2009, se mostraba así de tajante:

"Por otra parte, y refiriéndonos en particular a los ficheros en que se contengan datos relacionados con la comisión de infracciones penales y administrativas, el artículo 7.5 de la LOPD establece que tales datos “sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”.

En consecuencia, el artículo 7.5 de la Ley establece una regla específica para este tipo de datos, que impide, en todo caso, su tratamiento por parte de cualquier entidad de derecho privado, quedando limitado dicho tratamiento a las Administraciones Públicas y, exclusivamente, cuando así lo establezca una norma con rango suficiente. De ello se desprende que, incluso si los datos contenidos en las resoluciones judiciales fueran considerados incorporados a fuentes accesibles al público (cuestión ésta a la que nos referiremos posteriormente), su tratamiento inconsentido se encontraría vedado por la Ley a la consultante, dada su naturaleza jurídico-privada".


En otro brillante a la par que exhaustivo informe del año 2013, la AEPD (y noten que estoy haciendo grandes esfuerzos por no escribir AGEPEDÉ) soltaba la siguiente parrafada a una Administración Pública que estaba obligada a publicar tablones edictales: 

"Pero al propio tiempo, esta previsión deberá complementarse con otra que garantice que los datos personales contenidos en los edictos puedan ser susceptibles de almacenamiento masivo o incluso de conservación por parte de terceros, aunque dicha conservación se derive directamente del acceso al Tablón y no de la consulta del mismo a través de motores de búsqueda.

En este sentido, debe recordarse, en lo que afecta a los actos de contenido sancionador, que el artículo 7.5 de la Ley Orgánica 15/1999 dispone que “los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”.

La sentencia de la Audiencia Nacional de 6 de octubre de 2010 analiza el supuesto en que una empresa mantenía un fichero, denominado “potenciales clientes”, con el contenido de los edictos publicados en los distintos boletines oficiales en materia sancionadora de tráfico y seguridad vial, considerando dicha conducta contraria a lo dispuesto en la Ley Orgánica 15/1999, sin perjuicio de la estimación del recurso por otros motivos. Dicha sentencia señala lo siguiente:

“(...) no es posible y está prohibida la creación de ficheros como el que aquí nos ocupa, relacionados con infracciones administrativas de tráfico, por entidades distintas de la Administración Pública competente.
Téngase en cuenta, que en el sitio web desde el que se accede a los datos recogidos en el fichero “Potenciales Clientes” se invita a realizar una “búsqueda entre más de 2,5 millones de multas” o lo que es igual de sanciones impuestas por la comisión de otras tantas infracciones administrativas, por lo que el tratamiento de los mencionados datos personales recogidos en el citado fichero y a los que se accede por
cualquier persona a través del sitio web [*] utilizando los criterios de búsqueda más arriba expuestos es un tratamiento que vulnera el citado artículo 7.5 LOPD.

A lo anterior no obsta que dichos datos procedan o hayan sido recogidos de boletines oficiales que tienen la consideración de fuentes accesibles al público, según el artículo 3 j) de la LOPD. En efecto, si bien el artículo 6.2 de la LOPD excepciona de la necesidad de recabar el consentimiento del afectado para el tratamiento de sus datos, cuando procedan de fuentes accesibles al público, dicha excepción no entra en 
juego en supuestos como el presente, a la vista de la regla específica del artículo 7.5 LOPD para ese tipo de datos, por lo que el origen público del dato resulta irrelevante en casos como el de autos en que una entidad 
privada se dedica a recopilar infracciones administrativas en un fichero (más de 2,5 millones de multas de tráfico) y tratar los datos personales de las mismas, lo que sólo puede llevarse a cabo por las Administraciones Públicas cuando esté previsto en su normativa reguladora.

En conclusión, nos hallamos ante una conducta contraria a la LOPD que vulnera el citado artículo 7.5.”

Pues bien, cuando ya me veía en la cárcel por incumplir sistemáticamente el art. 7.5 LOPD, el insigne Gabinete Jurídico ha emitido otro informe revelador que abre una luz para la esperanza. 

La consulta que da origen a este informe la plantea un empresario (probablemente dedicado al transporte escolar), que debe cumplir con la Ley Orgánica 1/1996, de 15 de enero de Protección Jurídica del Menor. Dicha ley dispone en su art. 13.5: “Será requisito para el acceso y ejercicio a las profesiones, oficios y actividades que impliquen contacto habitual con menores, el no haber sido condenado por sentencia firme por algún delito contra la libertad e indemnidad sexual, que incluye la agresión y abuso sexual, acoso sexual, exhibicionismo y provocación sexual, prostitución y explotación sexual y corrupción de menores, así como por trata de seres humanos. A tal efecto, quien pretenda el acceso a tales profesiones, oficios o actividades deberá acreditar esta circunstancia mediante la aportación de una certificación negativa del Registro Central de delincuentes sexuales”. 

Como podrán imaginar, el nuestro heroico empresario se veía en una difícil encrucijada: Contratar pedarastas o incumplir la Lopedé. Así que decidió plantear una Consulta a la Agencia Española de Protección de Datos. 

Su insigne Gabinete Jurídico, como les he adelantada, suaviza el criterio mantenido anteriormente. En este caso concreto, indica que se podrán conservar los certificados del Registro Central de delincuentes sexuales durante el proceso de selección, mientras dure la relación laboral y, una vez finalizada ésta, durante los plazos necesarios para atender posibles responsabilidades del empresario (acción por despido, etc.). Léanlo ustedes mismos aquí (páginas 4 y 5)

Amigos de Multuato, todavía hay esperanza para nosotros. Buenas tardes. 

jueves, 7 de mayo de 2015

Badoo cambia de criterio

Entre esta resolución y ésta ha ocurrido algo fundamental. La sociedad británica Badoo Trading, Ltd., propietaria de la red social Badoo (como los más sagaces de Ustedes ya habrán deducido), ha cambiado su criterio en relación a la comunicación de datos de IPs de sus usuarios.

En el primer caso, Dª B.B.B. fue sancionada con 2.000 €, entre otras cosas, por crear un perfil falso en la citada red social utilizando fotografías de Dª C.C.C.

Aunque Dª C.C.C. no sabía quién estaba detrás de los mensajes que corrían por Facebook injuriándola, ni conocía la identidad de la persona que había abierto una cuenta en Badoo con 27 fotografías suyas pidiendo explícitamente contactos sexuales, sospechaba que se trataba de alguien cercano a su ex marido. Presentó una denuncia a la Agencia Española de Protección de Datos exponiendo simplemente los hechos, sin señalar culpables.

La AEPD abrió la correspondiente investigación. Como suele hacer en estos casos, se dirigió a los responsables de las redes sociales.

De manera diligente, Badoo Tranding Ltd. dio de baja el perfil falso y comunicó a la Agencia las direcciones IP de los equipos desde los que se había creado y actualizado dicho perfil. Como se indica en la resolución:

A partir de esta información y de la facilitada por los operadores de telecomunicaciones que tienen asignado el uso de esas direcciones IP, se desprende que los datos de carácter personal de la denunciante fueron tratados en la red social Badoo los días 26 y 28 de diciembre de 2011, 4, 9, 12 y 28 de enero de 2012. Según estas informaciones, los accesos se produjeron desde equipos conectados a internet a través de la línea telefónica de la que es titular doña B.B.B. (en lo sucesivo la denunciada), instalada en una localidad próxima a aquella en la que reside la denunciante.”

La denuncia se presentó en mayo de 2012, y entendemos que las actuaciones no se debieron demorar mucho. Como decimos, finalmente, el asunto se cerró con una multa a Dª B.B.B. de 2.000 € por tratar datos sin el consentimiento de la denunciante.

Sin embargo, pocos meses después, en diciembre de 2012, el departamento legal de Badoo Trading, Ltd. remitió un escrito a la AEPD señalando que cambiaba su criterio, y que no facilitaría las IPs de los usuarios. Así, cuando a principios de 2014 la Guardia Civil de La Victoria de Acentejo dio traslado a la Agencia de dos atestados relativos a denuncias por suplantación de la identidad de dos niñas de 16 años, a través de perfiles falsos en Badoo, se tuvo que archivar el procedimiento sin multa para los responsables. La resolución concluye con la siguiente explicación:

“A este respecto, en escrito de fecha 19 de diciembre de 2012, por el departamento legal de la compañía de nacionalidad británica Badoo Trading, Ltd. se confirmó a la Inspección de Datos un cambio de criterio respecto a la atención de las solicitudes de información que hasta entonces venían canalizándose a través del departamento técnico de la compañía. Badoo Trading, Ltd., con domicilio social en Inglaterra, interpreta que, desde una perspectiva territorial, la norma que le resultaría aplicable a Badoo sería la Ley de Protección de Datos del Reino Unido, y declara que, con carácter general, la misma prohíbe facilitar datos de carácter personal sin el consentimiento expreso del titular de los mismos, salvo que sean requeridos por una autoridad competente en Inglaterra. Por otra parte, la Autoridad británica de protección de datos, Information Commissioner’s Office, ha confirmado a esta Agencia que carece de competencia legal para solicitar información sobre direcciones IP a los prestadores de servicios de la sociedad de la información, facultad conferida exclusivamente a la Policía en el marco de un procedimiento penal.

Por otra parte, la Autoridad británica de protección de datos, Information Commissioner’s Office, ha confirmado a esta Agencia que carece de competencia legal para solicitar información sobre direcciones IP a los prestadores de servicios de la sociedad de la información, facultad conferida exclusivamente a la Policía en el marco de un procedimiento penal. En el presente caso, por la Inspección de Datos no se ha obtenido información relevante que permita la identificación de los autores de los perfiles denunciados.”

Más suerte tuvo la denunciante de la tercera resolución que les comentaré hoy. El 5 de marzo de 2014, una señorita que se declara “camarera de animación” puso en conocimiento de la AEPD que su ex jefe había creado un perfil falso en Badoo utilizando su fotografía “como reclamo para contactar con chicas que pudieran estar interesadas en participar en los espectáculos lésbicos que organiza la empresa que dirige”.

Sí, han leído bien…pero centrémonos en los temas relativos a protección de datos. Al ex jefe le cayó una multa de 2.000 euros. ¿Cómo es posible, si Badoo no facilita datos de IPs de diciembre de 2012? ¿Han vuelto a cambiar de criterio estos ingleses? No. Son gente de fiar y muy seria. Lo que ocurre es que el denunciado había sobreimpreso en la fotografía su número de teléfono personal y el nombre comercial de su empresa. Así es difícil negar los hechos.

Lean el texto completo de la resolución aquí.

martes, 6 de enero de 2015

Una casilla lo cambia todo

No son muchas las resoluciones en las que la Agencia Española de Protección de Datos analiza con detalle la redacción de las cláusulas informativas utilizadas en procesos de recogida de datos. En los próximos días, Dios mediante, analizaremos tres interesantes resoluciones publicadas en 2014 sobre este particular. Para empezar el año, he elegido la mejor de todas. Ya verán. Parece el guión de una película de Frank Capra. 

El denunciante, el señor A.A.A., es sin duda alguien con ideales elevados, alguien que lucha por un mundo justo, donde las grandes compañías no envían publicidad por e-mail, ni elaboran perfiles de sus clientes, ni ceden datos a terceros. 

En fin, nuestro héroe, cansado de las condiciones abusivas impuestas por Jazztel, denuncia a esta compañía con la intención principal, y cito textualmente, de "conseguir que Jazztel y las demás empresas de telecomunicaciones y de otros sectores que se valgan de los mismos métodos para el envío de información comercial:

- Incluyan una casilla/recuadro de envío de información comercial en los contratos.
- Que se incluya una cláusula de cesión de datos para envío de publicidad en los
contratos.
- Que pongan una letra que sea legible.”

Un fin, muy loable, sí señor. Me imagino a D. A.A.A. como a James Stewart en "Caballero sin Espada". Eso sí, menos ingenuo. Se nota que este héroe contemporáneo está en tercero de lopedé, ya que antes de presentar la denuncia, ató bien todos los cabos y, entre otras cosas, grabó una conversación telefónica en la que se le negaba repetidamente el ejercicio de su derecho de oposición. Vuelvo a citar textualmente:

" Consta en el expediente grabación de una contratación telefónica de una línea móvil de JAZZTEL efectuada por el denunciante en fecha 29/04/2014, en la cual el denunciante puesto al habla con el departamento de ventas móviles de JAZZTEL solicita contratar una nueva línea de móvil. Después de confirmar con el denunciante sus datos personales (nombre y apellidos, DNI, dirección, teléfono de contacto y correo electrónico), así como la tarifa contratada, se le informa que la conversación va a ser grabada y que en cumplimiento de la LOPD se le informa que sus datos van a ser incorporados a un fichero automatizado de JAZZTEL con los fines de comercialización, prestación e información comercial y publicidad y que podrán ser cedidos a otras entidades que colaboran con JAZZTEL en la realización de los mismos. Se le informa que podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición por escrito  enviándolo a una dirección postal, o mediante llamada a una teléfono gratuito (1565). El denunciante manifiesta hasta en tres ocasiones la negativa a que sus datos sean utilizados con fines comerciales y publicitarios y su cesión a otras entidades, manifestando que quiere que sean tratados únicamente para el mantenimiento de la relación contractual (facturación). JAZZTEL niega la posibilidad de tal oposición al tratamiento con fines comerciales informando al denunciante que si desea ejercer tal derecho debe llamar al teléfono gratuito 1565 para oponerse al envío de información comercial (folios 69-73)."

Vayamos a lo interesante. El caso es que Jazztel se pasaba por el forro eso de ofrecer la posibilidad al interesado de oponerse a recibir publicidad en el momento de la contratación del servicio mediante la marcación de una casillita. Y aquí va lo que dice la AEPD, y lo que deben recordar cuando redacten una cláusula lopedé (Otra cita literal. Estoy en plan Ana Rosa...Voy a tener que pagar derechos de autor a Monsieur le Directeur):

"En este supuesto, de las actuaciones practicadas y pruebas aportadas se acredita que JAZZTEL incumple lo dispuesto en el artículo 5.1 de la LOPD y 15 del RLOPD por cuanto en las contrataciones telefónicas de sus servicios no ofrece al cliente la posibilidad de oponerse la tratamiento de sus datos personales con fines comerciales, incorporándolos a su fichero automatizado con tal finalidad, obligando por tanto al cliente que desea oponerse a dicho tratamiento a dirigirse con posterioridad a JAZZTEL, por escrito mediante envío postal, o mediante llamada gratuita al 1565, para manifestar su deseo de oponerse al tratamiento de sus datos con fines comerciales y publicitarios.

(...) Es decir, en el presente caso no basta con informar que los datos facilitados en la contratación serán incorporados a un fichero automatizado de datos de carácter personal creado bajo la responsabilidad de JAZZTEL, con los fines de publicidad, prestación del servicio y promoción comercial, así como informar de la cesión a otras entidades. Además de informar sobre la finalidad publicitaria del tratamiento hay que permitir al titular de los datos que manifieste expresamente su negativa al tratamiento de sus datos para finalidades ajenas a la relación contractual, pues sólo así se observa plenamente el requisito de informar sobre la finalidad del tratamiento. En este caso, en lugar de haber informado al denunciante de la posibilidad de oponerse al tratamiento de sus datos con fines comerciales y publicitarios y de su cesión a otras entidades, en un momento posterior a haber sido incluido en el fichero con tales finalidades, debería ofrecer, en el mismo momento de efectuar la contratación telefónica, la posibilidad de oponerse al tratamiento de sus datos con los citados fines comerciales y publicitarios, hecho, que como se acredita en el expediente no se produce en dichas contrataciones telefónicas.

Aduce JAZZTEL que ha garantizado el cumplimiento de lo previsto en el artículo 15 del RDLOPD al haber optado por una de las opciones que se otorgan al responsable del tratamiento para cumplir con la obligación descrita en tal precepto, puesto que tenía implementado un procedimiento que permitía al afectado manifestar su negativa, ejercitando su derecho de oposición mediante comunicación escrita dirigida a una dirección postal o llamada gratuita al número habilitado al efecto.

Dicha afirmación debe rechazarse, ya que con independencia del procedimiento para el ejercicio del derecho de oposición, lo cierto es que JAZZTEL no ha acreditado la implementación de un procedimiento para que el cliente que contrata telefónicamente sus servicios, tenga la posibilidad, como exige la normativa de protección de datos, de oponerse, en el momento en que se recaban sus datos, al tratamiento de los mismos con fines distintos a los estrictamente necesarios para el mantenimiento de la relación contractual, en este caso, con fines comerciales y  publicitario"

Como habrán deducido, gana los buenos y a Jazztel le cae una multa de 40.000 euros para Jazztel. Don A.A.A. puede estar contento. Eso sí, me temo que la empresa sancionada pagará la multa sin despeinarse (simples migajas), y no modificará demasiado sus prácticas.

Mañana más. Buenas noches.