21febr.

Una empresa ha estat sancionada per enviar una única carta de publicitat al domicili de la denunciant sense comptar amb el seu consentiment. En concret, l’Agència Espanyola de Protecció de Dades constata que l’empresa que va enviar la carta va tractar les dades relatives a nom, cognoms i adreça sense el consentiment del seu titular per fer-li arribar una oferta promocional, pel que procedeix que sigui sancionada amb 100.000 euros de multa.

No, no és una errada, no parlo de “cent coma zero zero zero euros”, són “cent mil euros”, i no hi ha dubte que imposar una sanció de 100.000 euros a una SL per enviar una comunicació comercial per via postal al domicili d’una persona que no va donar el seu consentiment per rebre aquest tipus de comunicacions, pot resultar una mica excessiu.

Però això és el que li ha passat a la societat Tot Data Integral Services SL que ha vist com el 14 juny 2012 li sancionaven per enviar una carta de publicitat al domicili d’un particular que posteriorment va denunciar a aquesta empresa.

L’Agència Espanyola de Protecció de Dades (AEPD), en la seva Resolució, declara que aquesta mercantil “registre en el seu fitxer automatitzat i utilitzo les dades de la denunciant concretant en nom i cognoms, adreça amb pis i porta, sense poder acreditar cap circumstància que legitimi aquest tractament de dades “.

En efecte, per poder realitzar aquest enviament publicitari, l’empresa va haver de tractar les dades personals (nom, cognoms i adreça) de la denunciant, i en no comptar amb el seu consentiment es produeix una infracció de la Llei Orgànica de Protecció de Dades, en concret una infracció de l’article 6.1 que recull el principi general de consentiment que ve a indicar senzillament que per al tractament de les nostres dades personals es requereix el nostre consentiment.

En el cas que algú tractés nostres dades personals sense el nostre consentiment, es produeix una infracció greu, que comporta una multa d’entre 40001 i 300000 euros.

Malgrat aquestes sancions astronòmiques per la comissió d’una infracció greu, la mateixa normativa de protecció de dades permet rebaixar “en grau” aquestes sancions, derivat del principi de proporcionalitat de la sanció i el fet il·lícit comès, de manera que davant infraccions greus és possible que s’apliqui l’escala de sancions lleus, les multes van dels 900 a els 40000 euros. Tanmateix, i malgrat la petició de l’empresa de l’aplicació d’aquesta excepció, l’AEPD la denega argumentant que no es donen les circumstàncies per apreciar aquesta atenuant i perquè a més ja el 2011 va ser sancionada també per vulnerar la normativa de protecció de dades .

En vista de tot l’anterior, podent sancionar entre els 40001 i els 300000 euros, acaben imposant una sanció de 100000 euros.

Ara bé, m’agradaria destacar alguns elements d’aquesta Resolució perquè em semblen curiosos:

 

1 º: Durant la tramitació del procediment sancionador, la societat sancionada sol·licitar còpia de l’expedient administratiu, sol·licitar còpia d’un expedient administratiu sancionador és més que necessari si es vol preparar adequadament una defensa ja que s’hi contenen tots els documents que seran tinguts en compte per la Resolució.

Doncs bé, com dic, se sol · licita còpia de l’expedient el dia 16 de febrer de 2012, però el 28 de febrer el sol·licitant rep una comunicació de l’instructor indicant-li que perquè pugui accedir a l’expedient cal que proporcioni un número de telèfon al qual poder contactar amb ell per avisar de quan pot passar per la seu de l’Agència a recollir l’expedient.

Això sens dubte és atípic …

En resposta a aquesta notificació, aquest mateix dia, l’empresa informa l’instructor per e.mail perquè, si us plau, els indiqui per aquesta mateixa via quan es poden passar a recollir l’expedient i que queden a la seva disposició en les despeses, afirmant que no poden exigir requisits no legalment imposats per accedir a l’expedient.

L’instructor li respon per via postal el 12 març 2012 indicant:

a) Que “des d’aquesta Agència no se li està exigint requisit no imposat legalment com addueix en el seu escrit, simplement se li està demanant un mitjà de contacte que acrediti la seva identitat, (ja sigui telèfon o qualsevol altre …) perquè vostè conegui quan està disponible la còpia de l’expedient que sol · licita. Circumstància que està dins de tota lògica i sentit comú, és a dir, vostè exerceix el seu dret de vista de l’expedient, i des d’aquesta administració se li pregunta com podem comunicar quan aquesta realitzada aquesta còpia. ”

b) Que: “En segon lloc, si bé el mitjà del correu electrònic procura un mitjà àgil per a les comunicacions, no és un mitjà que ofereix totals garanties de seguretat i integritat en les comunicacions i el seu contingut, ni l’enviament i ni la recepció , així com la veritable identitat dels interlocutors.

La direcció de correu electrònic no compleix les mesures d’autenticació i seguretat de la Llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als serveis públics, ni de la Llei 59/2003, de 19 de desembre, de signatura electrònica, ni tampoc compleix el Títol VIII del RD 1720/2007, Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, pel que fa a les mesures de seguretat. ”

I em pregunto jo ¿i un número de telèfon si?

c) Finalment li diu l’Instructor que ja està disponible el seu expedient i que es pot passar a recollir-lo a la seu de l’Agència entre les 11:30 i les 12:30 hores, això sí, qualsevol dia de la setmana.

Cal afegir que el sancionat no va passar a recollir l’expedient, segons indica la Resolució sancionadora.

 

El sancionat a més va sol · licitar la recusació de l’inspector i la iniciació d’un procediment disciplinari contra ell, encara que s’ignoren els motius pel que sol·licitaven això ja no s’indiquen en la Resolució, al que l’Agència respon que: “Atesa la sol · licitud d’inici de procediment disciplinari i la possible causa de recusació formulada contra l’instructor tant en les al·legacions a l’acord d’inici com en les formulades a la proposta de resolució, cal assenyalar que aquestes manifestacions han estat valorades i resoltes en peça separada, que es troba en els folis 74-80, de manera que no té res a referenciar en aquesta resolució, havent estat notificat el seu resultat a entitat imputada. ”

Però m’agradaria advertir altre detall.

Com he dit abans, aquesta mateixa empresa va ser sancionada el 2011 i per això es va entendre que era reincident (la Resolució sancionadora referència al PS 00.114 / 2011), el dada curiosa és que aquesta sanció de 2011 no va ser iniciada per denúncia de cap particular, sinó que es va realitzar d’ofici per aquesta Agència, sent un dels poquíssims casos en què l’Agència intervé d’ofici. Per aquell temps es va sancionar l’empresa amb una multa de 70000 euros, encara que no per enviar publicitat. Tanmateix, aquesta mateixa empresa sí va ser sancionada el 2011 per enviar una altra carta de publicitat sense consentiment, llavors va ser sancionada amb 120.000 euros.

En total aquesta empresa acumula 220.000 euros en multes per enviar 2 cartes de publicitat i una altra multa de 70.000 iniciada d’ofici per l’Agència.

Finalment, en relació a la reincidència adduïda en aquesta Resolució sancionadora, crida l’atenció que sí que s’apreciï reincidència en aquest cas concret, però no per exemple davant d’altres entitats que han pogut rebre més de 200 sancions en un any per infringir el mateix precepte de la normativa sobre protecció de dades.

Aquí la Resolució sancionadora comentada.