En representación de un socio, UCE-ASTURIAS presentó una denuncia ante la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) contra VODAFONE, por entender vulnerada la normativa reguladora de protección de datos personales.
El caso fue que el socio de UCE-ASTURIAS, al acceder a la página web de VODAFONE y utilizar la el portal “Mi Vodafone”, pudo visualizar datos (nombre, apellidos, DNI, sexo, fecha de nacimiento, nacionalidad, números de teléfono fijo y móvil, dirección postal completa, etc.) de otros clientes de la operadora.
La AEPD reconoce que en este supuesto existen dos infracciones a la normativa reguladora de protección de datos de carácter personal ya que se vulneró tanto el art. 9 , como el 10 de la LOPD, preceptos que imponen la obligación de adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos, con la finalidad de evitar el “acceso no autorizado” por parte de terceros (art. 9) y la obligación de garantizar el secreto profesional respecto a los datos de carácter personal objeto de tratamiento (art. 10).
No obstante, la AEPD únicamente impone a VODAFONE una sanción por importe de 100.000 euros relativa a la infracción considerada más grave, toda vez que considera que “nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Esto es, si un documento interno que contiene información sobre datos personales sale del ámbito de la entidad responsable de sus confidencialidad, se está produciendo un incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto”. Por ello, entiende de aplicación el art. 4.4 del Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, aprobado por el Real Decreto 1398/1993, de 4 de agosto, que dispone que “en defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida”.
Así “dado que, en este caso, se ha producido una vulneración de las medidas de seguridad calificada como grave por el artículo 44.3 h) de la LOPD y también un incumplimiento del deber de guardar secreto, calificado como grave en el artículo 44.3 g) de la misma norma, procede imputar únicamente la infracción del artículo 9 de la LOPD”.
En la extensa y fundamentada resolución de la AEPD se efectúan las siguientes consideraciones:
-“Hay que tener en consideración que la obligación de seguridad de los datos que impone el artículo 9 de la LOPD es una obligación de resultado, lo que implica que la entidad denunciada debió adoptar todas las medidas necesarias para impedir que los clientes que accedieran al portal Mi Vodafone, accedieran a datos de terceros".
-Esta necesidad de especial diligencia ha sido puesta de relieve por la Audiencia Nacional, en su sentencia de 01/10/2009 (recurso 794/2008; Id Cendoj: 28079230012009100490), que señala lo siguiente:
«Por otra parte, es doctrina reiterada de esta Sala, fijada al resolver supuestos similares al presente (SSAN, Sec. 1ª, de 13 de junio de 2002, Rec. 1517/2001; 7 de febrero de 2003 Rec. 1182/2001; 25-1-2006 Rec. 227/2004; 28 de junio de 2006 Rec. 290/2004 etc), que "No basta con la aprobación de cualquier medida de seguridad, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto... Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva ... la recurrente es, por disposición legal, una deudora de seguridad en materia de datos ... y puesto que ... es una deudora de seguridad en materia de datos ... es insuficiente, según se desprende de la doctrina de la Sala que se acaba de exponer, con acreditar que se adoptaron una serie de medidas, pues dicha entidad ... también es responsable de que las mismas se cumplan y ejecuten con rigor. En definitiva toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica, sin que bajo ningún concepto, datos bancarios o cualesquiera otros de carácter personal puedan llegar a manos de terceras personas"».
-El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento.
Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido tendiendo “el deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre y, por lo que ahora interesa, comparta que los datos tratado no pueden ser conocidos por ninguna persona o entidad ajena fuera de los caos autorizados por la Ley, pues en eso consiste precisamente el secreto.
Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el art. 18.4 de la Constitución Española. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a l dignidad y a la libertada de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre).
Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida.
Fuente:UCE-ASTURIAS
No hay comentarios:
Publicar un comentario