Posted: agosto 26th, 2010 | Author: admin | Filed under: Administración pública, cesión de datos, currículum vitae | No Comments »
Introducción.
Otra vez hacemos referencia a una denuncia por cesión inconsentida de datos de carácter personal desde una empresa hacia una Administración Publica en el marco de un concurso público (PS/00180/2008, R/01402/2008), similar a la analizamos hace unos días en la entrada “Cesión de currículum vitae de empresa de seguridad a Universidad (E/00998/2009)”.
Los argumentos de la denunciante.
La denunciante es una asociación de traductores e interpretes que actúa contra una empresa del sector ya que ésta ha comunicado datos personales de traductores e interpretes al Departamento de Interior de la Generalitat de Catalunya (para la participación en un concurso público) sin consentimiento de los afectados. Los traductores e interpretes en algún momento prestaron servicios a la denunciada, aportándose escritos de 4 personas que exponen que no han dado su conformidad para la comunicación de sus datos personales a la Administración Pública.
Las explicaciones de la denunciada.
En el año 2006 la empresa denunciada presentó en el Servicio de Contratacions i Patrimoni del Departamento de Interior, Relacions Institucionals i Participació de la Generalitat de Catalunya la documentación necesaria para la participación en un concurso público convocado por este Organismo. Entre la documentación aportada había una relación del personal en soporte informático (CD-ROM), cuyo acceso estaba limitado toda vez que obligaba a la introducción de una contraseña. El CD-ROM contenía 1985 registros con los siguientes datos:
- Nombre y apellidos,
- DNI/NIE,
- Teléfono,
- Personal propio o subcontratado,
- Tipo de cualificación,
- Diversidad idiomática.
La denunciada explica que esas personas que ahora manifiestan que no habían dado su consentimiento para la cesión de datos, habían mantenido una relación profesional con su compañía y para acreditarlo aporta copia de los certificados resumen de la declaración anual del 190 (detalle de perceptores de los años 2000, 2001, 2002 y 2003 de la agencia tributaria) donde figuran ambas afectadas, así como el currículum de las mismas.
También expone que la finalidad principal de la compañía consiste en la prestación de servicios de traducción e interpretación, para lo cual dispone de empleados propios y colaboradores externos que han proporcionado sus datos con el conocimiento del tipo de servicios que se oferta y que en este caso, el tratamiento implica la comunicación de sus datos al Departamento de Interior de la Generalitat de Catalunya para poder participar en los concursos.
En referencia a la LOPD, la denunciada explica que el fichero al que se incorporan esos datos está inscrito en el Registro General de Protección de Datos (figurando la comunicación de datos a la Generalitat de Catalunya) y que en la página Web de la empresa figura un apartado relativo a Protección de Datos. Además al implementar la política de protección de datos, se envía un escrito a todos los usuarios inscritos en la base de datos anteriormente mencionada informando de la citada política.
Explica también que el concurso correspondía a la adjudicación del servicio de interpretación y traducción de lenguas en las unidades centrales y territoriales del cuerpo de Mossos d’Esquadra, en cuyo anexo 3, donde figuran los criterios de valoración, en su apartado 2 “Adscripción de medios personales a la ejecución del servicio” consta textualmente:
“Para obtener puntuación en este apartado será requisito indispensable presentar los datos relativos a dotación, calificación y diversidad idiomática del personal traductor e interprete …”.
La denunciada concluye diciendo que no se ha producido la infracción imputada ya que la empresa mantenía una relación laboral/mercantil con las denunciantes pues realizaban trabajos para la empresa, por lo que el tratamiento de sus datos estaba autorizado al amparo de lo previsto en el artículo 6.2 de la LOPD, y además para el desarrollo de esa relación laboral/mercantil era necesaria la comunicación de sus datos al Departamento de Interior de la Generalitat de Catalunya, ya que para poder licitar en el concurso público establecido para otorgar el servicio de traductor e intérprete, es condición sine qua non el acreditar los recursos con los que se cuenta para ofrecer esos servicios. Finalmente se alega que las denunciantes no han pedido en ningún momento la cancelación de sus datos.
La excepción al consentimiento para la cesión de datos: el art. 11.2.c)
La comunicación de datos personales de los traductores desde la empresa a la Generalitat sin consentimiento de ellos estaría habilitada por el artículo 11.2.c) de la LOPD, por cuanto esa comunicación a terceros era necesaria para el desarrollo de esa relación negocial y se limitaba a dar cumplimiento al encargo recibido de proporcionarles trabajos de traducción/interpretación.
La clave: la ley de contratos de las Administraciones Públicas.
Aparte de la excepción del art. 11.2.c), el texto refundido de la Ley de contratos de las Administraciones Públicas (RDL 2/2000, de 16 de junio), es otras de las claves que justifican la legalidad de la actuación de la empresa denunciada, toda vez que el artículo 19 prevé lo siguiente:
“Artículo 19. Solvencia técnica o profesional en los restantes contratos.
En los demás contratos regulados por esta Ley la solvencia técnica o profesional de los empresarios deberá apreciarse teniendo en cuenta sus conocimientos técnicos, eficacia, experiencia y fiabilidad, lo que podrá acreditarse, según el objeto del contrato, por uno o varios de los medios siguientes:
a) Las titulaciones académicas y profesionales de los empresarios y del personal de dirección de la empresa y, en particular, del personal responsable de la ejecución del contrato.
b) Una relación de los principales servicios o trabajos realizados en los últimos tres años que incluya importe, fechas y beneficiarios públicos o privados de los mismos.
c) Una descripción del equipo técnico y unidades técnicas participantes en el contrato, estén o no integrados directamente en la empresa del contratista, especialmente de los responsables del control de calidad.
d) Una declaración que indique el promedio anual de personal, con mención, en su caso, del grado de estabilidad en el empleo y la plantilla del personal directivo durante los últimos tres años.
e) Una declaración del material, instalaciones y equipo técnico de que disponga el empresario para la realización del contrato.
f) Una declaración de las medidas adoptadas por los empresarios para controlar la calidad, así como de los medios de estudio y de investigación de que dispongan.
g) Cuando se trate de servicios o trabajos complejos o cuando, excepcionalmente, deban responder a un fin especial, un control efectuado por el órgano de contratación o en nombre de éste por un organismo oficial u homologado competente del Estado en que esté establecido el empresario, con el acuerdo de dicho organismo sobre la capacidad técnica del empresario y, si fuese necesario, sobre los medios de estudio y de investigación de que disponga y sobre las medidas de control de la calidad”.
Finalmente se archiva la denuncia ya que no existe infracción.
La AGPD archiva las actuaciones al considerar que no se ha producido infracción alguna a la normativa de protección de datos, ya que ha quedado acreditado que los denunciantes mantenían o habían mantenido una relación laboral/mercantil con la denunciante y que además ninguno de ellos habían solicitado la cancelación de sus datos personales.
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 24th, 2010 | Author: admin | Filed under: Administración pública, Protección de datos de carácter personal, currículum vitae, deber de secreto | No Comments »
Antecedentes.
La denunciante en este proceso (AAPP/00029/2007, R/01317/2007) manifiesta que en junio de 2006 procedió al envío (vía email) de su currículum vitae a un Ayuntamiento con la finalidad de solicitar un puesto de trabajo.
Al cabo de un mes recibió la contestación mediante correo electrónico, comprobando que en la cabecera del mismo aparecían todas las direcciones de e-mail de las personas que al parecer, habían procedido a la solicitud del citado puesto de trabajo.
Tras la denuncia, el Ayuntamiento reconoce los hechos y manifiesta que las cabeceras de dichos correos corresponden a los diferentes candidatos que presentaron el currículo para una plaza de trabajador social y que se les contestó de forma individual, por lo que en ningún momento se pensó que los diferentes correos remitidos iban a ir sumando todas las direcciones a las que se enviaron. Expone además que desde el Servicio Social en ningún momento se envió de forma intencionada las direcciones y que dicha remisión ha sido fruto de un error. Finalmente el Ayuntamiento dice que se puede apreciar que el contenido de dicho correo no contiene datos personales (nombres, direcciones, datos curriculares), ya que son datos de carácter electrónico que en muchos de los casos no identifican a la persona de forma personal, solicitando que se proceda a la archivo de las actuaciones.
El deber de secreto y la cesión de datos
La AGPD hace referencia a las dos infracciones que en principio, se pueden haber cometido por el Ayuntamiento con su actuación:
a.- infracción de la obligación de secreto profesional que incumbe al responsable del fichero y a todos aquellos que intervengan en cualquier fase del tratamiento (art. 10 LOPD).
b.- infracción del régimen jurídico de la cesión de datos personales (art. 11.1 de la LOPD) que exige con carácter general, el consentimiento del afectado para la cesión de sus datos, salvo en los supuestos del apartado 2 del artículo 11 (excepciones).
¿Que supone el deber de secreto?
El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Para ilustrar sobre ese deber, la AGPD cita dos sentencias:
1.- STSJ de Madrid de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.
2.- SAN de 14/09/2001 (fd2): “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida”.
¿La dirección de correo electrónico es un dato personal?
Una cuestión que discute el Ayuntamiento es que la dirección de correo electrónico sea un dato de carácter personal.
Sobre tal cuestión –dice la AGPD- se ha pronunciando el Abogado del Estado, Jefe del Gabinete Jurídico, en su escrito nº 508/2003 de fecha 5/02/2004 al recoger que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en si misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.
De lo antedicho se desprende que podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo:
a.- El primero de ellos se refiere a aquellos supuestos en que voluntaria o
involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto, a juicio de la AGPD, no existe duda de que la dirección de correo identifica, incluso de forma directa al titular de la cuenta, por lo que, en todo caso dicha dirección ha de ser considerada como dato de carácter personal. Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondiéndose el dominio de primer nivel con el propio del estado en
que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios (pudiendo incluso delimitarse el centro de trabajo en que se realiza la prestación).
2.- Un segundo supuesto seria aquél en que, en principio, la dirección de correo no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación.
3.- Junto con estos dos supuestos, debe añadirse que si en un fichero junto con la dirección de aparecieran otros datos que permitieran la identificación del sujeto (tales como su nombre y apellidos, su número de teléfono o su domicilio, conjunta o separadamente), la identificación seria absoluta y no se plantearía duda de que nos encontramos ante un supuesto de cesión de datos de carácter personal.
A la vista de lo que se ha indicado, cabe concluir una dirección de correo electrónico es un dato de carácter personal y que el tratamiento de los datos relacionados con dicha dirección de correo requerirá el consentimiento del afectado, por lo que no será posible utilizar la dirección de correo electrónico si la interesada no ha dado su consentimiento para que esos datos sean cedidos a terceras personas.
Finalmente, vulneración del deber de secreto.
Habida cuenta de lo expuesto, el correo electrónico del Ayuntamiento incluye direcciones electrónicas correspondientes a personas físicas -que son datos de carácter personal-, por lo que la cesión a terceros ajenos supone una vulneración del deber de secreto.
Por tanto el Ayuntamiento ha infringido lo dispuesto en el artículo 10 de la LOPD, infracción tipificada como leve en el artículo 44.2.e) de la citada norma, al remitir a la denunciante un correo electrónico con direcciones electrónicas de terceros.
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 21st, 2010 | Author: admin | Filed under: Administración pública, creación de fichero, currículum vitae, deber de secreto | No Comments »
El diario Heraldo de Aragón publica la siguiente noticia “Roban datos de trabajadores del Provincial”, información que un particular pone en conocimiento de la AGPD, la que inicia las investigaciones que finalizan con la declaración de dos infracciones graves (falta de seguridad y falta de creación del fichero) como se expone en la AP/00018/2010, R/01436/2010 de 2-07-2010.
Durante la visita de la inspección de la AGPDA realizada al Hospital, se constata que entre los objetos sustraídos, figura un dispositivo de almacenamiento usb de 1gb capacidad, color blanco y marca que se desconoce, conteniendo en su interior un fichero con los datos personales y de la nómina del citado hospital, lápiz de memoria que fue proporcionado por el servicio de informática al servicio de personal del hospital.
¿Que contenia el usb robado?.
En el momento del robo, la información contenida en el mencionado soporte consistía en diversos datos de carácter personal:
1.- un fichero con la nómina del personal, cuyo destino era la entidad bancaria que realiza los pagos de dicha nómina, con el nombre, los apellidos, el código de cuenta corriente y el salario. El motivo de que se llevase dicho soporte al banco es que anteriormente dicha transferencia de información se realizaba en disquetes, que frecuentemente resultaban dañados en los arcos de seguridad de la sucursal bancaria. Aclaran igualmente que el código de cuenta corriente figuraba codificado.
2.- un fichero de trienios, conteniendo la información acerca de las personas que tenían un trienio recientemente reconocido y que había que comenzar a pagar. El contenido concreto del fichero era el nombre, la categoría profesional, la fecha del trienio y el importe.
3.- un fichero de costes, utilizado para la realización de estudios de costes, conteniendo: nombre, gfh (grupo funcional homologado) y coste asociado.
El servicio de informática dispone del software TrueCrypt para el cifrado de soportes, a disposición de aquellos usuarios que lo soliciten. Actualmente se utiliza únicamente en el Servicio de Informática.
El hospital toma medidas de seguridad … pero despues del robo.
Durante la visita de inspección los representantes del mismo informan ademas de las medidas adoptadas a raíz del robo:
a.- Instalación de un sistema de alarma y videovigilancia.
b.- Transmisión telemática de los datos de nóminas a la entidad bancaria.
c.- Deshabilitación de los puertos USB en todos los equipos excepto en aquellos en que se solicite habilitación, de forma expresa.
Exponen los representantes del Hospital que el documento de seguridad se encuentra en desarrollo y que tampoco disponen del registro de incidencias ni del registro de soportes.
¿Y el documento de seguridad? … en fase de creación.
En el Acta de inspección consta que el documento de seguridad está en elaboración, y que no tienen registro de soportes ni registro de incidencias, aunque si dos documentos estableciendo las funciones del personal que trabaja con ficheros que contienen datos de carácter personal:
a.- Funciones y obligaciones específicas de cada usuario.
b.- Obligaciones de los usuarios de ficheros con datos de carácter personal.
El primero de ellos debe ser firmado por los nuevos usuarios del sistema de información del Hospital, a quienes se les entrega en el mismo acto una copia del segundo documento.
Los representantes del Hospital aportan copias de los documentos mencionados.
Las comprobaciones de los inspectores de la AGPD.
Los inspectores de la Agencia realizaron las siguientes comprobaciones:
a. Se accedió al ordenador del Jefe de Servicio, donde tras insertar un lápiz de memoria en un puerto USB se verificó que el sistema requiere permisos de administrador para la instalación del mismo.
b. Se accedió a los ordenadores de los dos jefes de sección con que cuenta el Servicio, verificando que en uno de ellos el sistema operativo requiere la instalación de un software que precisa de privilegios de administrador, mientras que el segundo tiene habilitado el acceso, manifestando su usuaria que dicha habilitación se solicitó al tener que trasladar copia de la información de un concurso a un ordenador portátil para ser usado en la Mesa de Valoración.
c. Se accedió a tres ordenadores seleccionados al azar entre el resto de los equipos del Servicio, comprobando que en dos de ellos está habilitado el uso de dispositivos de memoria extraíbles, mientras que en el tercero de ellos no lo está. (Folios 24 y 25).
El deber de seguridad, segun la LOPD.
En referencia al deber de seguridad la LOPD –art. 9- impone al responsable del fichero la adopción de medidas de seguridad que eviten accesos no autorizados, por lo que el mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
¿Y que dice la normativa especifica en materia de seguridad?
En referencia a las infracciones objeto de análisis, el Real Decreto 1720/2007 establece lo siguiente:
Artículo 90. Registro de incidencias.
Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
Artículo 92. Gestión de soportes y documentos.
1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.
2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitarla sustracción, pérdida o acceso indebido a la información durante su transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas”.
Al final, dos infracciones graves.
Se constata la infracción de dos obligaciones:
a.- la primera la de dictar la preceptiva disposición de creación del fichero o de los ficheros del Hospital, lo que supone una vulneración del artículo 20 de la LOPD.
b.- la segunda (art. 9 LOPD) la de mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen (el RD 1720/2007).
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 18th, 2010 | Author: admin | Filed under: Protección de datos de carácter personal, consentimiento, currículum vitae | No Comments »
En esta resolución de la AGPD (PS/00046/2007, R/00998/2007) se analiza el caso de una persona (la denunciante) que envía su curriculum vitae por correo electronico a una empresa y más tarde ésta incluye sus datos personales (asi como el currículum) en una relación nominal de personal que aporta para presentarse a un concurso público, todo ello sin consentimiento de la denunciante.
La afectada acredita que nunca habia trabajado para esa empresa (de hecho aporta un informe de vida laboral) y que tampoco consintió en que se llevara a cabo ese tratamiento ni la cesión de sus datos personales.
La empresa por su parte se defiende manifestando lo siguiente:
a.- La denunciante autorizó de forma expresa y verbal el tratamiento por parte de la empresa y la cesion de sus datos personales.
b.- Además existía entre ambos una relación precontractual con objeto de incorporar a la afectada a la plantilla de la empresa, lo que finalmente no se produjo.
La AGPD explica en su resolución que no se ha acreditado la existencia de relación laboral con la denunciante, ni la existencia de precontrato entre ambas partes, así como cualquier otro tipo de prestación de servicios efectuada, ni por tanto consentimiento para la cesión de datos personales, con lo la AGPD impone dos sanciones a la empresa:
a.- La primera por falta de consentimiento, lo que supone una multa de 60.101,21 € (infracción del artículo 6.1 en relacion con el artículo 44.3.d).
b.- La segunda por cesion inconsentida, con una sanción de 300.506,05 € (infracción del artículo 11.1 en relacion con el artículo 44.4.b).
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 11th, 2010 | Author: admin | Filed under: Protección de datos de carácter personal, currículum vitae | No Comments »
Un empleado que trabaja en una empresa de seguridad privada la denuncia ante la AGPD, ya que la empresa ha cedido a una Universidad sus datos personales sin consentimiento.
En el expediente incoado por la AGPD (E/00998/2009), se explica que el trabajador aportó a la empresa de seguridad los datos necesarios para formalizar el habitual proceso de contratación laboral, elaborando aquélla la ficha de personal (con el DNI, el nombre, los apellidos, el domicilio, el teléfono, la fecha de nacimiento, el nombre del padre y de la madre, el teléfono móvil, la dirección de correo electrónico, la fecha de expedición del DNI y la experiencia laboral).
Más tarde la empresa de seguridad en la quetrabaja el denunciante cede sus datos personales a la Universidad, al resultar adjudicataria la empresa de seguridad del concurso de seguridad y vigilancia.
El trabajador ante ello ejerce un derecho de acceso ante la Universidad (que le responde facilitándole su ficha de personal) y además presenta una denuncia ante la AGPD contra la empresa.
La Agencia explica que concurre en este caso una excepción al deber de obtener el consentimiento por parte la empresa a su trabajador para ceder sus datos personales, ya que existe una relación contractual entre la Universidad y la empresa de seguridad para cuyo cumplimiento es necesario que la empresa de seguridad facilite datos personales a la Universidad de los trabajadores que van a prestar sus servicios, y que además concurre otra circunstancia importante y es que la cesión de datos personales está prevista en el contrato entre la Universidad y la empresa de seguridad, ya que en el pliego que regula el concurso (apartado 4.2.) se contempla precisamente la cesión de datos personales:
“Elección y sustitución del personal de seguridad y vigilancia …. La empresa adjudicataria proporcionará, como requisito previo a la prestación del servicio, el currcuílum de los vigilantes nuevos propuestos a fin de poder seleccionar aquellos que considere en mejores condiciones para el desempeño de las funciones. Deberá incluir la relación nominativa –con identificación fotográfica- del personal adscrito a la prestación del servicio. A este respecto la UPV/EHU podrá recabar cuanta información y documentación estime pertinente …”.
La AGPD finalmente archiva la denuncia.
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 11th, 2010 | Author: admin | Filed under: Protección de datos de carácter personal, currículum vitae, deber de secreto | No Comments »
La Guardia Urbana de Barcelona localiza diversa documentación abandonada en la calle, entre la que encuentra unos 100 currículums vitae con datos personales. Algunos de esos documentos (unos 35) incluyen además una ficha de la entrevista personal llevada a cabo entre el candidato y el entrevistador (con anotaciones referidas a la impresión causada y a su disponibilidad).
Tras la denuncia de la Guardia Urbana, la AGPD (PS/00525/2008, R/00474/2009) inicia un proceso sancionador, destacandose que en el momento de los hechos el responsable no disponía de documento de seguridad, lo que añadido a la presencia de los currículums en la calle, lleva a la AGPD a imputarle la infracción de dos deberes, el de seguridad (art. 9 LOPD) y el de secreto (art. 10 LOPD).
Una cuestión interesante que se discute entre el responsable del fichero o tratamiento y la AGPD es en qué momento empieza el cómputo de la prescripción de las infracciones, si debe iniciarse cuándo se produce el vertido de la documentación en la vía publica (argumento del responsable), o bien, tratándose de una infracción continuada, la misma comienza cuándo dicha documentación es depositada en la calle a la vista de terceros y finaliza en el momento en que la Guardia Urbana localiza las carpetas.
La AGPD se decanta por esta segunda tesis ya que se trata de una infracción permanente (citando la SAN 3-12-2008) con lo que la alegación de prescripción del responsable finalmente no prospera.
La AGPD expone además que el responsable debió adoptar las medidas de seguridad necesarias para impedir cualquier recuperación posterior de la documentación, medidas que no fueron tomadas (art. 44.3.h LOPD, infracción grave de seguridad) y que con su conducta, el responsable tambien vulneró el deber de confidencialidad, que tiene como finalidad evitar que quienes están en contacto con los datos personales, realicen filtraciones de los mismos no consentidas por los titulares de los mismos (art. 44.3.g LOPD).
Dado por tanto que el responsable quebrantó dos deberes (seguridad y secreto) y que ambas infracciones son de caracter grave, por aplicación del art. 4.4 del RD 1398/1993 (reglamento de procedimiento de la potestad sancionadora) las dos se subsumen finalmente en una sola (en este caso, infracción del deber de seguridad, art. 9 LOPD).
La sancion que se impone al responsable es de 4000 euros, importe inferior al habitual en estos casos, al haber ponderado la AGPD diversas circunstancias concurrentes que justifican la reducción del importe de la misma (por aplicacion del art. 45.5 LOPD) como son, por una parte, la existencia de un cambio de titularidad en la empresa meses antes del vertido y tambien por el hecho que la empresa estaba en periodo de cambio de sistemas de informacion, uno de cuyos motivos era precisamente, adaptarse a la LOPD.
© Ramon Arnó Torrades, 2010, Lleida
