Utilizar los datos de un tercero para darle de alta en webs comerciales te puede salir caro

por

publicado el 2 febrero 2012

Categorías: Abogados LOPD / Agencia Proteccion Datos / Derechos Fundamentales / LOPD / Protección de Datos / Resoluciones

Pongámos en antecedentes, una persona, por motivos que no vienen al caso (casi siempre con ánimo de provocar un perjuicio, molestar o vaya a saber usted porqué), comienza a darse de alta con datos de un tercero en diferentes webs. En su nombre,  comienza a realizar pedidos con el consiguiente trastorno para la persona, que, siendo desconocedor de lo que está pasando, debe desistir de las contrataciones realizadas, darse de baja de las webs y servicios, así como investigar porqué está sucediendo todo eso. Esta situación que quizá en algún caso pueda terminar en una denuncia ante la polícía o directamente en los juzgados cuenta con otra vía de solución o más bien sirve de advertencia (por las consecuencias económicas que tiene) para quien esté pensando usarla, es la vía administrativa a través de la Agencia Española de Protección de Datos.

Una resolución de la AEPD de fecha 11 de octubre de 2011 sanciona con 2000 Euros por infracción grave en materia de protección de datos a un particular que sin consentimiento (o más bien con un consentimiento «oral» que no ha podido probar) da de alta a un tercero y realiza contrataciones en diferentes webs (como bien comenta Samuel Parra ya existe alguna otra resolución de la AEPD sobre el alta sin consentimiento en listas de distribución):

Tal y como consta en la documentación remitida a la Agencia por D. A.A.A. (en lo sucesivo el denunciado), en respuesta al requerimiento de información remitido desde esta Subdirección de Inspección a Dña. C.C.C., en fechas de registro 12 y 29 de abril de 2011, D. A.A.A. manifiesta que él mismo realizó sin consentimiento el registro de datos del denunciante en las web’s www.elbebe.com, www.venca.es, www.oropostal.es y www.laredoute.es.

¿Puede la AEPD entrar a investigar y sancionar este tipo de actuaciones?. La AEPD entiende que sí, porque el denunciado realiza un tratamiento de datos conforme a la normativa de protección de datos de carácter personal, basándose, como no, en la ya celebérrima sentencia Lindqvist:

Así lo ponen de manifiesto su apartado 20 en el que se hace referencia a la observación formulada por la Sra. Lindqvist la cual se limita al tratamiento de datos de una sola persona y los apartados 25 y 26 relativos al concepto de dato personal, considerando incluido en el mismo “toda información sobre una persona física identificada o identificable”, añadiendo que “este concepto incluye, sin duda, el nombre de una persona junto a su número de teléfono o a otra información relativa a sus condiciones de trabajo o a sus aficiones”. Así mismo establece la sentencia citada en su apartado 27 que: “Por tanto, procede responder a la primera cuestión que la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento total o parcialmente automatizado de datos personales” en el sentido del artículo 3, apartado 1, de la Directiva 95/46.”

Por ello la AEPD entiende que existe un tratamiento de datos:

De acuerdo con la definición de tratamiento de datos personales, en el presente caso ha quedado acreditado el alta del denunciante en diversas web`s. Para dichas altas, se realizó un el tratamiento del nombre, apellido, fecha de nacimiento, teléfono y dirección del Centro de Enseñanza. Las citadas altas en las web`s, constituye un tratamiento de datos personales incluido en el ámbito de aplicación de la citada Ley Orgánica.

y que este tratamiento debe ser realizado contando con el consentimiento del afectado:

En conclusión, el tratamiento de datos personales del denunciante por el denunciado, requiere el consentimiento del titular de los mismos. Teniendo en cuenta que en el presente expediente no obra del denunciante nada más que su escrito de denuncia, debe considerarse incumplido el principio de consentimiento regulado en el artículo 6 de la LOPD.

Ciertas dudas nos podrían entrar sobre cómo se pudo comprobar quién era la persona que realizaba las altas y cómo se produjo esta investigación (por todo aquello ya comentado sobre la normativa de retención de datos de comunicaciones electrónicas para la investigación de delitos graves), pero tal y como se recoge en la resolución el procedimiento se abre tras la absolución al denunciado en un juicio de faltas por el mismo hecho y siendo el propio denunciado el que aporta la documentación en el procedimiento ante la AEPD.

¿Cabría la excepción establecida en el artículo 2.2.a de la LOPD para las actividades exclusivamente personales o domésticas? A mi juicio, cualquier cosa que un particular vaya a realizar en Internet con datos personales será un tratamiento de datos siguiendo la interpretación de la sentencia Linqvist, pero, como digo, a mi juicio, desvirtúa la concepción original de la normativa  que es aquella que pretende proteger a los ciudadanos del tratamiento de sus datos en ficheros que contengan datos de carácter personal. Ahora bien, seguro que los defensores de la misma se hablará del derecho fundamental y de la autodeterminación informativa, pero siendo conscientes que quizá este tipo de tratamientos entra más en otra esfera o más bien en otras competencias normativas y judiciales. Dicho esto, está claro que, como medida disuasoria (y para no llenar todavía más los juzgados, si cabe) duele más la multa pecuniaria que el susto penal.

Y una última pregunta  ¿por qué no se ha sancionado a las empresas en el procedimiento? Está claro que han hecho un tratamiento de datos sin consentimiento del titular y tampoco han cumplido con el principio de calidad de los datos.

De aquella «autodeterminación informativa» estos lodos.