Академический Документы
Профессиональный Документы
Культура Документы
Pgina 2 de 63
Pgina 3 de 63
Que, en cumplimiento del artculo 22.4 de la Ley 15/1999, los datos sean
cancelados cuando no sean necesarios para las averiguaciones que
motivaron su almacenamiento.
Por ltimo, el informe identifica, segn el artculo 3.1 de la Ley Orgnica 2/1986,
de 13 de marzo, de Fuerzas y Cuerpos de Seguridad a las Fuerzas y Cuerpos de
Seguridad:
Pgina 4 de 63
Resolucin N R/01765/2011.
derecho de rectificacin
Desestimacin
del
Hechos
D A.A.A. (en lo sucesivo, la reclamante) present una solicitud ante la Agencia
Tributaria, dirigida a Catastro, exponiendo que en sus datos existen dos
errores. El primero de ellos es que en la referencia catastral de su vivienda no
figura su marido como cotitular. El segundo de los errores consiste en que
figura como domicilio fiscal un domicilio en el que jams ha vivido. Dicha
solicitud fue presentada ante la Administracin de El Escorial de la Agencia
Tributaria (en lo sucesivo, AEAT).
Con fecha 7 de febrero de 2011 tuvo entrada en esta Agencia la reclamacin
presentada por D A.A.A. contra AGENCIA TRIBUTARIA. ADMINISTRACIN DEL
ESCORIAL por no haber sido debidamente atendido su derecho de rectificacin.
Son conocidos por las partes de forma completa todos los hechos, alegaciones
y dems documentacin aportada por los interesados para su defensa, al
haberse dado traslado por la instruccin del expediente a cada uno de los
interesados en este procedimiento y constado todo ello en el expediente que
obra en esta Agencia Espaola de Proteccin de Datos.
Pgina 5 de 63
Fundamentos de derecho
Es competente para resolver el Director de la Agencia Espaola de Proteccin
de Datos, conforme a lo establecido en el artculo 37.d) en relacin con el
artculo 36, ambos de la Ley Orgnica 15/1999, de 13 de diciembre, de
Proteccin de Datos de Carcter Personal (en lo sucesivo LOPD).
El artculo 18.1 de la LOPD seala que:
Pgina 6 de 63
Pgina 7 de 63
(en
lo
sucesivo
ASESORA
Pgina 8 de 63
Pgina 9 de 63
cualquier otro organismo que, slo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento.
En consecuencia, la condicin de responsable o encargado del tratamiento se
delimita en virtud de la capacidad de decisin sobre la finalidad, contenido o
uso del tratamiento que ostentar el responsable, no correspondiendo dicha
potestad al encargado, habida cuenta del hecho de que el mismo se limitar a
actuar en virtud de las instrucciones conferidas por el responsable del
tratamiento. El artculo 5.1.i) del Reglamento de desarrollo de la Ley Orgnica
15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre, precisa as
que ser encargado de tratamiento La persona fsica o jurdica, pblica o
Pgina 10 de 63
acceso de un tercero a los datos cuando dicho acceso sea necesario para la
prestacin de un servicio al responsable del tratamiento
En este sentido, Para delimitar si en un supuesto concreto nos encontramos
ante una cesin de datos o ante una realizacin de actividades reguladas por el
artculo 12 de la Ley Orgnica, ser preciso atender a las circunstancias de
cada caso, de tal forma que existir cesin en aquellos supuestos en los que
quien reciba los datos pueda aplicar los mismos a sus propias finalidades,
decidiendo sobre el objeto y finalidad del tratamiento, lo que la convertir a su
vez en un responsable del fichero o tratamiento, mientras que la figura
regulada por el artculo 12 de la Ley Orgnica tendr cabida en aquellos otros
casos en que la entidad receptora de los datos se limite a efectuar
determinadas operaciones sobre los mismos, sin decidir sobre su finalidad.
Ahora bien, para que la relacin entre responsable y encargado del tratamiento
pueda darse y se ajuste a la Ley, es preciso que se cumplan los requisitos
expresados en el artculo 12 de la Ley Orgnica 15/1999, considerando los
siguientes aspectos:
En primer lugar, es preciso que el acceso a los datos por el tercero (en el
presente caso por la empresa prestadora del servicio de destruccin de
documentos) se efecte con la exclusiva finalidad de prestar un servicio al
responsable del fichero, y que dicha relacin de servicios se encuentre
contractualmente establecida. En lo que atae a los requisitos formales de este
tipo de contratos, el artculo 12.2 de la Ley Orgnica 15/1999 impone que la
Pgina 11 de 63
que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, ser
considerado, tambin, responsable del tratamiento, respondiendo de las
infracciones en que hubiera incurrido personalmente.
Por ltimo, en cuanto a las medidas de seguridad que hayan de ser adoptadas
por quienes realicen trabajos de tratamiento de datos por cuenta de tercero,
habrn de ser, en principio, las mismas que las impuestas al responsable del
fichero, tal y como se desprende de lo previsto en los artculo 9 y 12.2 de la Ley
Orgnica 15/1999.
Por consiguiente, en aquellos supuestos a los que parece referirse la consulta,
en que se contrate un servicio de destruccin de documentos, siempre y
cuando se cumplan todos aqullos requisitos sealados en el artculo 12 de la
Ley Orgnica 15/1999, resultar responsable del tratamiento la empresa o
entidad que contrate dicho servicio, respondiendo la empresa prestadora del
servicio contratado en los supuestos previstos en el artculo 12.4 de la misma
norma antes transcrito.
Pgina 12 de 63
Pgina 13 de 63
Pgina 14 de 63
Antecedentes
Con fecha 9 de octubre de 2006, tuvo entrada en esta Agencia un escrito de
C.C.C. (en lo sucesivo el denunciante), en el que manifiesta que es cliente de
EURO CRDITO EFC SA (en lo sucesivo EUROCRDITO) y que a principios del
mes de septiembre del ao 2006 recibi una carta de dicha entidad pudindose
leer en la ventanilla del sobre algo del contenido de la carta de forma muy
visible, que dice : os ha devuelto impagado, el recibo su cuenta bancaria.
El denunciante interpreta una supuesta vulneracin del art. 10 de la Ley
Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal (en lo sucesivo LOPD) por parte de EURO CRDITO al haber divulgado
datos de crdito relativos a su persona, a otras personas distintas que tuvieron
acceso al sobre antes de llegar a su poder.
Tras la recepcin de la denuncia, el Director de la Agencia Espaola de
Proteccin de Datos orden a la Subdireccin General de Inspeccin de Datos
la realizacin de las actuaciones previas de investigacin (E/01116/2006) para el
esclarecimiento de los hechos denunciados.
Previa a la resolucin del recurso, se realiza la actuacin de los Inspectores de
la Agencia en los locales de la entidad denunciada el da 17/10/07 y
comprueban que hechos similares al denunciado se repiten en algunas
situaciones.
De las actuaciones realizadas han de ser tenidos en cuenta los siguientes
hechos:
1) En el sobre cerrado aportado por el denunciante se comprueba que a travs
de la ventana se puede leer:
SR C.C.C.
Pgina 15 de 63
(C/......................)
(.............)
(.............)
OS HA DEVUELTO IMPAGADO, EL RECIBO
SU CUENTA BANCARIA
Una vez abierto, se evidencia que el sobre en el interior contiene un nico
documento, de una sola hoja, en el que aparecen los referidos datos
personales del denunciante (nombre apellidos y direccin) as como una
indicacin de impago: A FECHA DE HOY, SU BANCO NOS HA DEVUELTO
IMPAGADO, EL RECIBO QUE HABIAMOS PRESENTADO EN SU CUENTA
BANCARIA, que contiene el texto que se visualizaba a travs de la
ventanilla.
EUROCRDITO alega desconocer los motivos por los que se pudo producir el
hecho denunciado, dado que se emiten millones de cartas al ao sin haberse
detectado tal incidencia y pone a disposicin de la Agencia Espaola de
Proteccin de Datos muestras de cartas remitidas.
La impresin, ensobrado y entrega en correos de las cartas remitidas por
EUROCREDITO es realizada por CETELEM SERVICIOS INFORMATICOS AIE,
con quien suscribi un contrato de prestacin de servicios para la realizacin
de esa actividad.
Los inspectores de la Agencia se desplazan, a las instalaciones de la entidad
CETELEM SERVICIOS INFORMATICOS AIE. Solicitan que se realice la
impresin y ensobrado de una muestra de 240 comunicaciones a clientes de
EUROCREDITO, a partir de un fichero que se encontraba disponible para su
tratamiento en ese da. De la prueba se sacan las siguientes conclusiones:
Pgina 16 de 63
Fundamentos de derecho
El deber de confidencialidad obliga no slo al responsable del fichero sino a
todo aquel que intervenga en cualquier fase del tratamiento. El deber de
secreto profesional que incumbe a los responsables de los ficheros, recogido
en el artculo 10 de la LOPD, comporta que el responsable o quienes
intervengan en cualquier fase del tratamiento de los datos almacenados no
pueda revelar ni dar a conocer el contenido de estos datos "teniendo el deber
Pgina 17 de 63
Pgina 18 de 63
Antecedentes
Con fecha de 7 de enero de 2010 tiene entrada en esta Agencia un escrito de D.
B.B.B., en adelante el denunciante, en el que manifiesta lo siguiente:
1. Recibi el da 30 de septiembre de 2009 en la direccin de correo ...@1... un
correo electrnico comercial no solicitado de info@hostalet1701.com.
El correo recibido mantiene visibles todas las direcciones de mail de los
destinatarios.
2. El 1 de octubre remiti un correo solicitando el cese de los envos de correos
electrnicos a la direccin citada.
3. El 10 de diciembre recibi en la direccin de correo ...@1... otro correo
electrnico.
4. El mismo 10 de diciembre, 9 minutos despus de recibir el anterior, recibi
otro correo electrnico de info@galeriamiquelalzueta.com, una galera de
arte que organiza exposiciones de cuadros que se venden en el
establecimiento hotelero Hostalet 1701.
Nunca ha cedido sus datos a esta galera.
5. Al solicitar a la Galera Miquel Alzueta la cancelacin de sus datos y peguntar
por su origen estos le manifiestan que es muy probable que sea el
Hostalet 1701 pero que desconocen la forma o el motivo por el que se puede
haber producido, en tal caso, un intercambio de bases de datos.
A la vista de los hechos denunciados, en fase de actuaciones previas,
Servicios de Inspeccin de la Agencia solicitan informacin a la entidad,
GALERIA MIQUEL ALZUETA, S.L., A.A.A., teniendo conocimiento de que:
Pgina 19 de 63
Pgina 20 de 63
Pgina 21 de 63
Pgina 22 de 63
Pgina 23 de 63
Pgina 24 de 63
Antecedentes
Con fecha de 27 de mayo de 2009 tuvo entrada en esta Agencia un escrito de D.
A.A.A., (en lo sucesivo el denunciante), en el que expone que con fecha 12 de
febrero de 2009 present reclamacin ante la Oficina de Atencin al Usuario de
Telecomunicaciones, del Ministerio de Industria, Turismo y Comercio, en
relacin con una reclamacin de deuda formulada por el operador de telefona
mvil ORANGE/ France Telecom Espaa, S.A., (en lo sucesivo la denunciada o
F.T.). Aade que el 14 de febrero de 2009 recibi una comunicacin de Equifax
Ibrica, S. L., en la que le informan de la inscripcin de la citada deuda en el
fichero Asnef. El denunciante solicit la cancelacin de los datos que figuraban
en el fichero el 5 de marzo de 2009, al amparo del artculo 38 del R. D.
1720/2007, por hallarse pendiente de resolucin la reclamacin citada. Tras
cumplimentar la subsanacin de la documentacin aportada que le solicit
Equifax Ibrica, S. L., esta entidad le comunic, mediante escrito de 7 de abril
de 2009, que no exista anotacin alguna en su fichero al da de la fecha.
Das despus, el 18 de abril de 2009, recibi una nueva comunicacin de
Equifax Ibrica, S.L., en la que le informan sobre una nueva inscripcin de la
misma deuda en el fichero Asnef. Dado que en esa fecha no haba recibido an
la comunicacin de la resolucin de la Oficina de Atencin al Usuario de
Telecomunicaciones, entiende que la reiteracin por parte de France Telecom
Espaa, S.A. en la cesin de datos de carcter personal a Asnef vulnera el
artculo 38 del R. D. 1720/2007
Los Servicios de Inspeccin de la Agencia solicitaron informacin a las
entidades Asnef Equifax, Servicios de Informacin sobre Solvencia Patrimonial
y Crdito, S.L., y a F.T., teniendo conocimiento de los siguientes extremos:
1. De la documentacin aportada por Equifax Ibrica, S.L. a requerimiento de la
inspeccin de datos, se desprende que con fecha 15 de diciembre de 2009
consta una anotacin en el fichero Asnef a nombre del denunciante,
Pgina 25 de 63
Pgina 26 de 63
Pgina 27 de 63
Pgina 28 de 63
Pgina 29 de 63
de
Proteccin
de
Datos
la
entidad
COLEGIO
LA
Pgina 30 de 63
Que dichos padres relatan los hechos acontecidos desde que un da..
(tercero) tuvo un enfrentamiento con una seora y su hijo por cruzar stos
un semforo en rojo para peatones, hasta el ltimo de una serie de hechos
de la misma ndole que concluyen con otro enfrentamiento, esta vez con el
cnyuge de la seora y con ella misma, a puertas de nuestro centro
escolar, el viernes 12 de junio de 2009.
Que a la vista de los rasgos fsicos que facilitan los padres, resulta
imposible confirmar si son o no padres del Colegio; sin embargo,... (tercero)
se ve capaz de identificar, si hubiera alguna fotografa, al hijo de la pareja,
con la que lo ha visto en otras ocasiones.
Que por los datos de edad aproximada que se estima del hijo, y que son
presentados por ... (tercero), se calcula que pudiera cursar 1 o 2 de ESO, y
se accede a la pgina web del Colegio donde habitualmente se exponen
fotografas de las diversas actividades, salidas, etc., que realiza nuestro
alumnado y que pueden ser visionadas por sus padres.
Pgina 31 de 63
Pgina 32 de 63
Pgina 33 de 63
Pgina 34 de 63
Antecedentes
PRIMERO: Con fecha 15 de diciembre de 2009, tuvo entrada en esta Agencia un
escrito remitido por Doa A.A.A. (en lo sucesivo la denunciante), en el que
denuncia que, tras haberse dictado la resolucin R/2270/2009, relativa a la
tutela de derecho TD/00845/2009, por la que se estimaba la reclamacin
formulada por la denunciante y se instaba a DORSIA CLNICA DE ESTTICA
para que en el plazo de diez das procediera a facilitar el acceso completo a su
historia clnica, dicha entidad no le proporcion el acceso, limitndose a
remitirle un Burofax en el que certifica que se la ha facilitado el acceso
completo a la historia clnica, sin que en ningn caso figure dicha historia, ms
an cuando en el propio documento resumen de Burofax se hace referencia a
que el mismo consta nicamente de una pgina, excluyendo cartula.
En fecha 28 de diciembre de 2009, a partir del escrito de reclamacin antes
mencionado interpuesto por la denunciante, esta Agencia Espaola de
Proteccin de Datos solicit a Dorsia la certificacin del cumplimiento del
derecho de acceso pretendido por la afectada, sealando, en caso contrario, la
procedencia de la apertura del correspondiente procedimiento sancionador
previsto en el artculo 48 de la Ley Orgnica 15/1999, de 13 de Diciembre, de
Proteccin de Datos de Carcter Personal (en adelante la LOPD). Dorsia, en
escrito de 15 de enero de 2010 procedi a aportar como muestra del
cumplimiento de la resolucin R/2270/2009, copia del mismo Burofax facilitado
por la denunciante, en el que consta un sumario de documentos, pero no la
inclusin de los mismos, figurando tanto en la cartula del Burofax, como en el
documento de tramitacin de envo de Correos, el hecho de que la
comunicacin constaba nicamente de un documento, excluyendo la cartula.
La Subdireccin General de Inspeccin de Datos realiz las actuaciones previas
de investigacin para el esclarecimiento de los hechos denunciados, teniendo
conocimiento de los siguientes extremos:
Pgina 35 de 63
1. Contratos
2. Consentimiento informado
3. Evolucin mdica
4. Evolucin post-quirrgica.
5. Anlisis.
Fundamentos de derecho
Es competente para resolver este procedimiento el Director de la Agencia
Espaola de Proteccin de Datos, de conformidad con lo dispuesto en el
artculo 37. g) en relacin con el artculo 36 de la LOPD.
Pgina 36 de 63
Pgina 37 de 63
Pgina 38 de 63
cualquier otro organismo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento. Para que la relacin
entre responsable y encargado del tratamiento pueda darse y se ajuste a la
Pgina 39 de 63
regulada en un contrato que deber constar por escrito o en alguna otra forma
que
permita
acreditar
su
celebracin
contenido,
establecindose
tratamiento destine los datos a otra finalidad, los comunique o los utilice
incumpliendo las estipulaciones del contrato, ser considerado, tambin,
responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
Pgina 40 de 63
Pgina 41 de 63
Pgina 42 de 63
Pgina 43 de 63
Pgina 44 de 63
Pgina 45 de 63
Pgina 46 de 63
debe recabar el cedente como responsable del fichero que contiene los datos
que se pretenden ceder.
No obstante, el artculo 11.2 prev una serie de excepciones a la necesidad de
contar con el consentimiento del afectado que, a los efectos que interesan en el
presente supuesto, quedan limitadas a la contenida en el apartado a) que prev
la posibilidad de cesin inconsentida Cuando la cesin est autorizada en una
Ley. Por tanto, ser necesario que exista una norma con rango de Ley, estatal
o autonmica, que habilite la cesin no consentida de los datos.
El artculo 180 del Cdigo Civil dispone en su nmero 5 Las personas
Pgina 47 de 63
Pgina 48 de 63
Informe 0337/2008
La consulta plantea, si al amparo de Ley Orgnica 15/1999, de 13 de diciembre
de Proteccin de Datos de Carcter Personal, se pueden comunicar a una
empresa los datos relativos a las nminas, parte mdico de los trabajadores y
los TC1 y TC2.
Segn se indica, la transmisin de los datos, as como su previo tratamiento, se
encontrara amparado en lo dispuesto en la Ley 31/1995, de 8 de noviembre, de
Prevencin de Riesgos Laborales.
La transmisin, as planteada, implica la existencia de una cesin o
comunicacin de datos de carcter personal, definida por el artculo 3 i) de la
Ley Orgnica 15/1999 como Toda revelacin de datos realizada a una persona
Pgina 49 de 63
personal objeto del tratamiento slo podrn ser comunicados a un tercero para
el cumplimiento de fines directamente relacionados con las funciones legtimas
del cedente y del cesionario con el previo consentimiento del interesado. No
obstante, no sera preciso ese consentimiento cuando exista una norma con
rango de Ley habilitante de la cesin, conforme al artculo 11.2 a) de la Ley
Orgnica, as como cuando el tratamiento responda a la libre y legtima
Pgina 50 de 63
Pgina 51 de 63
Todo ello implica que dicho documento incluye datos que incluso pueden
encontrarse vinculados con la salud de los trabajadores, relacionados con su
salud laboral, incapacidades o minusvalas.
Respecto, en particular de estos datos el artculo 7.3 de la Ley Orgnica 15/1999
dispone que Los datos de carcter personal que hagan referencia al origen
Pgina 52 de 63
Pgina 53 de 63
Informe 0582/2009.
electrnico
Uso
compartido
de
correo
Pgina 54 de 63
Pgina 55 de 63
Debe existir una finalidad que, en este caso, no puede ser otra que la
establecida por el art. 20.3 ET de verificar el cumplimiento por el trabajador de
Pgina 56 de 63
Pgina 57 de 63
Informe 0285/2010.
panormicas
Uso
de
cmaras
con
vistas
Pgina 58 de 63
Pgina 59 de 63
Pgina 60 de 63
solicitud que debe realizar el propio trabajador, deben darse las condiciones
del art. 7.2 LOPD.
Slo con el consentimiento expreso y por escrito del afectado podrn ser objeto
de tratamiento los datos de carcter personal que revelen la ideologa,
afiliacin sindical, religin y creencias. Se exceptan los ficheros mantenidos
por los partidos polticos, sindicatos, iglesias, confesiones o comunidades
religiosas y asociaciones, fundaciones y otras entidades sin nimo de lucro,
cuya finalidad sea poltica, filosfica, religiosa o sindical, en cuanto a los datos
relativos a sus asociados o miembros, sin perjuicio de que la cesin de dichos
datos precisar siempre el previo consentimiento del afectado.
El tratamiento de estos datos requiere la adopcin de procedimientos por parte
de la organizacin ya que se trata de proteger informacin particularmente
sensible.
Es
recomendable
disponer
de
procedimientos
de
captacin
del
Pgina 61 de 63
Pgina 62 de 63
Pgina 63 de 63