lunes, 28 de septiembre de 2015

Resolución Curiosa de la AEPD: ¿Por qué me sancionan? Pero si la LOPD ni existía!


Hola de nuevo!

Tras unos días intensos de vacaciones por el país vecino, retomo el blog con una resolución sancionadora de la AEPD realmente interesante para paliar un poco este síndrome post vacacional que arrastro. LOPDear un poco siempre es una buena forma de afrontar la #semanaoficialdelparraque cargando pilas. ;-). 

Mono, Chimpanse, Negro Blanco, Bw

Vamos a ello:

Lo primero, los hechos:  El denunciante (un ávido internauta) descubre en Internet un documento en el que figuran sus datos personales. El documento maldito está en una web de una empresa X. Por lo que parece, allá por el año 1996, nuestro ávido denunciante cumplimentó un plan de empresa con esta empresa para hacerse emprendedor y es este el que aparece en la web. Enfado al canto del internauta y denuncia ante la AEPD. 

Estudiante, Escribir, Teclado, Texto

¿Qué hace en la AEPD?: Pues lo de siempre, investigar. Ven el documento en la web y le piden explicaciones a la entidad. La entidad responde cosas muy interesantes:
1) Que eliminó los datos cuando el denunciante lo pidió.
2) Que el documento siempre ha estado oculto hasta que Google lo encontró (a veces Google parece una madre en modo "a que voy yo y lo encuentro"?). 

Tras estas explicaciones, la AEPD vuelve a hacer la búsqueda y el documento ya no aparece. La entidad, tras recibir el inicio de procedimiento sancionador (1500 euros), escribe a la AEPD diciendo cosas, de nuevo, interesantes (ojo a la primera, que es un misil):

1) "En una búsqueda realizada con el buscador de Internet Google no aparece ningún resultado relativo al denunciante, y que éste facilita voluntariamente su información personal en diferentes redes sociales (facebook, Iinkedin, etc.), así como en organismos y otros, permitiendo acceder a todos sus datos (DNI, domicilio, teléfono, aficiones, email, etc.) de forma sencilla y clara. Entiende, por ello, que el denunciante no ha sufrido daño alguno por los datos que X mantenía con su permiso y que fueron eliminados en atención a su solicitud".  FAIL: Lo que está en Internet no es gratis, ni libre ni se puede usar (y menos si son datos personales y todavía menos si encima eres una empresa). En este caso la empresa no pelea por haber cogido los datos de la red de redes pero usar este argumento es como raro: No te sancionan por el daño que le has hecho al ávido internauta; te sancionan porque no tenías que poner esos datos en la red. Da igual que el sujeto cuelgue fotos de sus vacaciones, del cocido que se ha comido o se dedique a poner su teléfono en internet; no es relevante a efectos LOPD!
 
2) "Que el denunciante aprobó el uso de sus datos en el momento de realizar el estudio. (...) que no se formalizó en documento según la LOPD dado que este esta normativa es posterior al hecho"
 
3) "Que en el momento en que el denunciante comunicó su oposición a que los datos figurasen publicados, tales datos fueron eliminados, a pesar de que contaban con su aprobación previa".
 
Quedaros con estos dos porque tienen un papel clave en la resolución, palabrita de  Iurisfriki. ;-)

Tras recibir la propuesta de sanción, la entidad vuelve a reiterar lo que ya dijo en el punto 1) - el FAIL gordote - y vuelve a echarle la culpa a Google por entrar donde no debía (de hecho, invita a la AEPD a ir contra Google; como si Google no tuviera ya sus propios problemas! :-P)

Y el desenlace es...
 
Caja De Dinero, La Riqueza, Las Finanzas
 
Lo predecible: la AEPD les sanciona con base en el art.9 de la LOPD. Ojo: esto es importante; no te están sancionando por el inicio de la historia (es decir, por la elaboración del documento del plan de empresa que se hizo en 1996, cuando, como bien dice la empresa, la LOPD no era ni un cigotito); te están sancionando porque en 2014 (vigente ya la ley) has incumplido una de las obligaciones base de la LOPD: QUE LOS DATOS ESTÉN SEGUROS Y BAJO CONTROL. Ni siquiera se para la AEPD a pensar en si tenías entonces o en si puedes probar ahora que tenías el consentimiento del afectado para tratar sus datos. Y da igual que el afectado se ponga a dar en Internet su grupo sanguíneo o comparta una foto como Dios le trajo al mundo. Te sancionan por vulnerar un principio de la LOPD y punto. Y encima, la propia AEPD te avisa de que te has librado de recibir también sanción por el art.10 de la LOPD, ojito.

Comentario Final Propio: Vamos a darle otra vuelta de tuerca a este caso. Pensemos.. El documento se elabora en 1996 y los hechos pasan en 2014, que es cuando el afectado ve sus datos ahí.. ¿No os suena raro? Me refiero a que esos datos deben estar más obsoletos que la cinta VHS; anda que no habrá cambiado la vida del ávido internauta desde esa fecha (para empezar, el número de teléfono, el cual la propia entidad manifiesta que no existe). El art. 4.5 de la LOPD lo dice muy claro: "Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados".

Yo lo dejo ahí; para la post-eridad (no he podido evitar el juego de palabras :-P). Os dejo el link de la resolución aquí por si queréis leerla.

Y hasta aquí llega el post de hoy; espero que os haya parecido interesante y nos vemos en la siguiente entrada.

Feliz #Semanaoficialdelparraque a tod@s y mil gracias por pararos a echar un ojito por este rinconcito de la Red. ;-)

Libro, Fuente, Au Revoir, Leer
 

 pdt: ¿Te ha gustado el post? Házmelo saber en mi Twitter que me harás la semanita postvacaciones mucho más feliz. ;-)