sábado, 1 de mayo de 2010

Varios

Don José Ignacio me remitió hace unos días la resolución R/0043/2004. En la misma, se sanciona a Metrovacesa y a Caja de Mediterráneo porque la primera entidad cedió a la segunda el teléfono móvil de un cliente sin el consentimiento de éste. Supongo que lo que ha llamado la atención de Don José Ignacio es la siguiente afirmación de la Agencia:

"Respecto a las alegaciones a la Propuesta de Resolución ha quedado probado que el tratamiento del n.º del teléfono móvil del denunciante se realiza se realiza, según actas notariales aportadas a la denuncia, folios 3 a 9 en el mes de junio de 2002. Además el número de teléfono (fijo o móvil) es por sí mismo un dato personal de carácter identificativo y que, por tanto, la información asociada al mismo puede concernir a una persona identificable.

Por ello debe desestimarse la alegación de la inaplicación de la LOPD dado que el tratamiento del datos personal del número de teléfono móvil del denunciante se produjo en el mes de junio de 2002, es decir al amparo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, y el “tratamiento” consistente en las llamadas al denunciante a su n. º de teléfono móvil se encuentra en el ámbito de aplicación de dicha norma.

Asimismo debe rechazarse la invocación de prescripción dado que la cesión material del n.º de teléfono móvil del denunciante se consumó en el mes de junio del año 2002 en que se producen las llamadas y el Acuerdo de Inicio de procedimiento Sancionador es de 24/2/2004, por lo que no han trascurrido el plazo de dos años de prescripción de las infracciones graves previsto en el articulo 47 de la LOPD y , consiguientemente el plazo de tras años correspondientes a las infracciones muy graves."


Deduzco que las partes implicadas alegaban que el número de teléfono se anotó a mano en una ficha o similar, cuando todavía no estaba vigente la LOPD y el tratamiento no automatizado de datos era "libre". Como ven, no les sirvió de mucho.

Por otro lado, Paco me descubrió la semana pasada una modificación del Reglamento de la LOPD que ha pasado muy desapercibida. Está prevista en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica:

DISPOSICIÓN ADICIONAL CUARTA. Modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Se modifica la letra b del apartado 5 del artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal aprobado por Real Decreto 1720/2007, de 21 de diciembre, que pasa a tener la siguiente redacción:

b. Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad
.”

Revisen Ustedes el nivel de seguridad de sus ficheros.

3 comentarios:

Osete dijo...

Apreciada María, lo que me llamó la atención de la resolución fue la idea de delito continuado que aplica la AGPD, y que no le ha servido de mucho puesto que la Audiencia a anulado la sanción interpuesta a Metrovacesa por esa cesión del dato.

Te adjunto el link de la sentencia.

http://estaticos.expansion.com/estaticas/documentos/juridico/sentencias/2010/sentencia_datos.pdf

Saludos.

Osete dijo...

Ya no define si el tratamiento es automátizado o no, acorde a lo que se indica en el resto del Reglamento sobre medidas de seguridad para papel.

Muy buen apunte.

Gracias.

Ad Edictum dijo...

Dele las gracias al tío Paco.