¿Por qué me puede multar la agencia española de protección de datos?

Por Marta Sánchez Valdeón

Una vez que la Agencia Española de protección de datos (en adelante AEPD), inicia una inspección bien por denuncia bien de oficio, es habitual que al denunciado le solicite una serie de documentación para recabar, si esa empresa, autónomo, etc. cumple con la Ley Orgánica de protección de datos (en adelante LOPD).

Corroborará en su registro, si el denunciado tiene inscritos los correspondientes ficheros, adecuados a la actividad que realiza: fichero de clientes, si es un comercio, fichero de pacientes si se trata de un profesional sanitario, fichero de libros oficiales si se trata de un establecimiento farmacéutico… Y además, solicitará documentación incluida en el documento de seguridad: normativas de seguridad firmadas por los empleados, compromisos de confidencialidad de los posibles colaboradores o proveedores de la empresa, registro de incidencias, registro de personas con acceso a los datos

Pero ¿Qué error podemos cometer para que alguien nos denuncie y la AEPD nos haga una inspección?

Un hecho tan cotidiano como remitir un correo electrónico puede ser causa de una denuncia. Cuando son varios destinatarios a los que remito un correo, las direcciones deben incluirse en el campo “con copia oculta”, ya que si los correos electrónicos aparecen a la vista, constituye una cesión de datos. La cesión debe sujetarse al régimen general de comunicación de datos de carácter personal que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. El consentimiento deberá ser otorgado con carácter previo a la cesión y suficientemente informado de la finalidad a la que se destinen los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quién se pretende comunicar (artículo 11.3), y que debe recabar el cedente como responsable del fichero que contiene los datos que se pretenden ceder.

Por todo ello, cuando se ha remitido un correo de este tipo, se puede establecer que se ha producido una cesión no consentida de los datos, produciéndose según el artículo 44.3.k de la LOPD lo que se considera una infracción grave: “La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave“.

Igualmente, podemos incurrir en infracciones por utilizar la dirección de correo si ésta fue recabada para un fin distinto para el efectivamente lo vamos a utilizar. Es decir, si hemos recabado la dirección de correo para remitir a un paciente un informe, no podemos remitir publicidad si no hemos recabado previamente el consentimiento. En cuanto a las obligaciones del responsable del fichero relativas a la recogida de los datos personales y el principio de calidad, cualquiera que fuese la vía utilizada para recabar los datos personales utilizados, el paciente debe ser informado de conformidad con el artículo 5 de la Ley Orgánica de Protección de Datos y autorizar el tratamiento de sus datos con estos fines. De no ser así, esto supone una infracción por parte del denunciado.

Además de la LOPD y su normativa de desarrollo que será de aplicación en todo caso, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales, en estas infracciones por el uso de medios electrónicos interviene también la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, (en adelante LSSICE) en la cual se establece en su art.21.1: Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”

Por todo ellos resulta imprescindible estar adecuados correctamente a la LOPD y a la LSSICE, siempre adaptado a las necesidades del cliente particular, analizando los datos que se recaban e implementando las medidas necesarias para cumplir con la legislación de la manera más sencilla pero correcta, para que no se incurran en infracciones de este tipo.