La denuncia, presentada por un vecino agraviado, expone que ha observado sus datos «en una hoja en un tablón de anuncios» pero que también la ha encontrado en «los ascensores del edificio». En dicha hoja, según una fotografía aportada por la denunciante, se señala que los propietarios «que tienen recibos pendientes de pago no podrán ejercer el voto» y que «son los que se adjuntan en la parte trasera de la hoja», figurando entre otros el nombre y apellidos del denunciante, titular de un garaje en el inmueble.
No habría pasado nada si no es porque la Ley de Propiedad Horizontal previene de unos pasos establecidos que la comunidad se habría saltado a la hora de publicar la lista de morosos. Según indica la Agencia en su resolución, dicha normativa de propiedad permite la difusión en tablones de anuncios de las comunidades de propietarios de datos asociados a deudas pendientes sólo en dos casos concretos: si se ha intentado una citación o notificación al propietario para su conocimiento y fuese «imposible practicarla» y en las convocatorias de Juntas de propietarios, que también deben de contener la lista de deudores pero mediante una comunicación de idénticas características que la anterior: primero directa y, en segunda instancia, en el tablón. «Es importante insistir en que este último método es subsidiario. Su utilización debe justificarse. No es admisible acudir a dicho método con carácter general», remarca la resolución.
«La publicación en tablones de la deuda del denunciante […] no se haya en alguno de los supuestos que permiten dicha exposición, puesto que no consta notificación acreditada al domicilio del titular de la deuda impagada» y «tampoco consta su intento infructuoso». En los hechos probados, la Agencia de Protección de Datos remarca que el anuncio de la convocatoria de la Junta de Copropietarios «se colocó por el propio presidente», según se reconoce en un acta de la comunidad, tanto en el espacio del garaje como en el común del edificio.
Sin embargo, no queda acreditado el cumplimiento del requisito de notificación del acta. Además, el denunciante manifiesta a la Agencia de Protección de datos que acudió «hasta en dos ocasiones» al despacho de la entidad que actúa de administradora de la comunidad «a exponer la cuestión pero que le hizo caso omiso», así como que en la reunión de propietarios «pidió que constara en acta la cuestión como queja a la actuación producida».
La sanción impuesta a la comunidad de propietarios ejidense no es la única de este tipo que se da en España. Otras comunidades de propietarios de España (por ejemplo en Valladolid, Madrid o La Felguera, en Asturias se ha sancionado por no efectuar las comunicaciones sobre deudas a las comunidades de vecinos siguiendo estrictamente la fórmula de notificaciones que marca la Ley de Propiedad Horizontal). La exposición de la lista de morosos sólo es posible, por lo tanto, en un tablón de anuncios y de modo subsidiario siempre y cuando la comunicación directa haya sido imposible y quede constancia de ello.

Fuente: ideal.es

Si ser presidente de una comunidad de vecinos era algo poco goloso, probablemente a los vecinos de esta comunidad de El Ejido les queden menos ganas aún de postularse para el cargo. La Agencia Española de Protección de Datos ha sancionado con 1.200 euros de multa a una comunidad de propietarios ejidense por exponer los datos de un vecino, «asociados a su condición de deudor […] en los espacios comunes del edificio y también en el garaje». La resolución del organismo estatal supone una falta leve de la normativa estatal de protección de datos por una infracción del artículo 10 del texto legal, que asegura que quienes traten «datos de carácter personal» están «obligados al secreto profesional respecto de los mismos y al deber de guardarlos».

Reforma Ley Orgánica II. (By Samuel Parra)

Author: admin
2 Marzo 2011

La siguiente modificación es en relación a las cuantías de las sanciones; tranquilos, lo único que se hace es convertir las cifras en pesetas para poner su equivalencia en euros. Eso sí, han reducido ligeramente la cuantía mínima de la infracción leve, pues si hasta ahora era una multa de 100.000 pesetas, ahora lo es de 600 euros, cuando la conversión exacta debería ser de 601 euros (cuantía que viene aplicando la AEPD en sus sanciones, y no 600 euros). Y lo mismo para las cifras de 30.000, 60.000 y 600.000 euros.

Le toca el turno a los criterios para graduar las sanciones. Se han reformado y añadidos nuevos criterios para graduar las sanciones. Así, ahora se tendrá en cuenta:

  • a) El carácter continuado de la infracción
  • b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  • c) El volumen de negocio o actividad del infractor. Es de elogiar este intento de ajustar las sanciones a la realidad económica del infractor. No obstante esto queda lejos de lo que la doctrina viene reclamando: un auténtico sistema de graduación de las sanciones al estilo de los días-multa. Lo cierto es que al gran infractor, a ese que mueve millones de euros anuales, le dará un poco igual que la sanción sea de 60.000 euros que de 300.000 euros.
  • d) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. Otra interesante novedad sin duda.

Se añade ahora un auténtico elenco de atenuantes, eliminando así la actual mención del artículo 45.5.
Las atenuantes procederán:

  • a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
  • b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  • c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
  • d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
  • e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.

Tengo dudas en relación a la d) ¿espontáneamente? ¿qué significa eso? ¿que el propio infractor se denuncie? ¿que desde el primer momento reconozca su culpabilidad?

Pero sin lugar a dudas, de todas las reformas propuestas, la más relevante es la relativa a la adición de un nuevo apartado 6 en el artículo 45. Se pretende añadir este precepto:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”.

Los que se dediquen al mundo del derecho ya sabrán lo que significa la palabra “excepcionalmente” en una ley… lo mismo que “provisionalmente”.
Este nuevo 45.6 deja en manos de la propia AEPD castigar las infracciones leves y graves, dejando como único límite que el infractor no hubiese sido sancionado o apercibido con anterioridad, aunque no dice el precepto si esa sanción o apercibimiento anterior debe ser de la misma naturaleza que la infracción de la que se pretenda no iniciar procedimiento sancionador.

Mucho me temo que, de terminar aprobándose este precepto, empezaremos a ver supuestos idénticos pero que en unos casos terminarán en una sanción y en otros en un apercibimiento, pues en mi opinión se debería haber detallado más en qué circunstancias procede obviar la potestad sancionadora de la administración y dejar sin sanción una conducta típica, antijurídica y punible.

No obstante, esto también puede beneficiar a las entidades que se encuentren ahora mismo o en las próximas semanas con una denuncia, pues se debería aplicar este criterio de forma retroactiva.

Por último, la facultad prevista en el artículo 49 relativa a la posibilidad de inmovilizar ficheros, se extiende a los casos de infracciones graves. Recordemos que en la actualidad sólo es de aplicación para infracciones muy graves.

Todos estos preceptos, a pesar de que estén en una Ley Orgánica, tienen caracter de ley ordinaria.

 

Ver más en www.samuelparra.com

La más que inminente Ley de Economía Sostenible incluye, entre sus múltiples enmiendas, una interesante modificación de la LOPD; así, se propone entre otras cosas, la posibilidad de que las infracciones leves y graves queden impunes, o una reforma del elenco de infracciones, despenalizando determinadas conductas o añadiendo nuevos tipos.

El proyecto de Ley de Economía Sostenibles ha cobrado estos meses una relevancia importante por las cláusulas relativas a la defensa de los derechos de propiedad intelectual (“Ley Sinde” se conoce este proyecto en Internet, en alusión a la actual Ministra de Cultura). No obstante, el Grupo Parlamentario Catalán en el Senado de Convergència i Unió (GPCIU) ha presentado una enmienda de adición (esto es, que se añada una nueva disposición final en este caso), con la intención de reformar diversos artículos de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

En concreto se quieren reformar los artículos 43, 44, 45, 46, y 49.

¿Qué podría cambiar en las próximas semanas?

Examinemos las reformas más importantes:

1º: El artículo 44. Contiene todo el elenco de infracciones; este artículo es muy importante porque nos dice qué conductas son constitutivas de infracción y su grado (leve, grave o muy grave).

En relación a las infracciones leves, lo más relevante es que desaparecen dos infracciones: en primer lugar, dejará de considerarse infracción “No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda“.

Y en segundo lugar, desaparece la posibilidad de incumplir el deber de secreto como infracción leve. En la actualidad, y dependiendo de la naturaleza de los datos divulgados sujetos a este deber de secreto, la infracción puede ser leve (en todos los casos),  grave (en determinados supuestos) y hasta muy grave en unos pocos supuestos. Ahora desaparece la infracción leve, de forma que, como veremos a continuación, toda infracción del deber de secreto pasará a ser grave, así que tampoco será posible vulnerar el deber de secreto de forma muy grave.

Se añade una nueva infracción leve: “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.“. Esto supone una cristalización de la doctrina que ha venido manteniendo la Agencia Española de Protección de Datos (AEPD). Esta infracción supone penalizar la conducta consistente en facilitar datos de carácter personal a un encargado del tratamiento por parte del responsable del fichero sin que medie el contrato y forma que exige el artículo 12 de la LOPD.
¿Qué sucede ahora en esta situación? Ahora sucede que, si no existe el contrato mencionado, se entiende que lo que se ha producido es una cesión de datos de carácter personal, y como no va a existir el consentimiento para la cesión, al cedente (responsable del fichero) se le imputa una infracción muy grave, pero además, al cesionario una infracción grave por tratar los datos personales cedidos sin consentimiento (claro, si el que tiene el deber de obtener el consentimiento no lo hace, cuando los ceda llegarán ya intoxicados). Esta solución que la ha aplicado la AEPD en diversas ocasiones es una auténtica aberración se mire por donde se mire: la AEPD estaba creando un nuevo tipo infractor: facilitar los datos sin que medie contrato (vulneración del principio de legalidad y tipicidad más elemental).
Ahora se castiga expresamente no firmar ese contrato del artículo 12.

Respecto a las infracciones graves, lo más relevante es el hecho de considerar que las cesiones de datos serán castigadas como infracción grave y no como muy grave, dejando la calificación de “muy grave” para casos muy concretos. En la actualidad, toda cesión de datos sin consentimiento es una infracción muy grave.

Se añade una nueva infracción grave: “El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo” donde podrán encajar diversas conductas desobedientes.

En relación a las infracciones muy graves se simplifican y reducen significativamente: en la actualidad hay 9 conductas castigadas como infracción muy grave, con la reforma pasarían a 4.

Desaparece la cesión de datos en general, constituyendo infracción muy grave únicamente cuando los datos objeto de cesión se refieran a los indicados en los apartados 2, 3 y 5 del artículo 7.

Desaparece la posibilidad de vulnerar en el deber de secreto de forma muy grave cuando los datos hacian referencia a los mismos supuestos que el caso anterior.

Desaparece la infracción consistente en no atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero y obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición (conductas que podrán ser constitutivas de infracción grave pues encajarían en el nuevo tipo infractor de esta categoría)..

Ver www.samuelparra.com

Ante las noticias recibidas en los últimos tiempos en la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) sobre la existencia de empresas y organizaciones que se dirigen a los responsables de tratamientos y ficheros de datos personales pretendiendo representarla y exponiendo ante dichos responsables las sanciones económicas a las que se arriesgan en caso de no contratar sus servicios o insistiendo en la necesidad de realizar obligatoriamente ciertos curso de formación, la APDCM quiere hacer público lo siguiente:

  • La Agencia de Protección de Datos de la Comunidad de Madrid valora muy positivamente la labor que muchas organizaciones y empresas con personal bien formado realizan para la promoción de la protección de datos personales y la implantación de las garantías establecidas por la ley
  • La APDCM nunca actúa ni contacta a los responsables de tratamientos y ficheros de datos personales a través de intermediarios de ningún tipo. La relación con los responsables de ficheros de las AA.PP. sometidas a su supervisión siempre se realiza a través de las unidades competentes de la Agencia, bien en el ámbito de la notificación e inscripción de ficheros y las labores de apoyo, asesoramiento y ayuda a los responsables de ficheros y tratamientos, bien en el ámbito de actuaciones de investigación o de tramitación de procedimientos de infracción de AA.PP. o de tutela de los derechos de los ciudadanos Todas estas actuaciones corresponden a funciones atribuidas legalmente a la Agencia y se realizan gratuitamente, sin ninguna contraprestación económica.
  • Desde su establecimiento en 1997 la APDCM viene desarrollando una intensa actividad de concienciación que le ha llevado a formar a más de cuarenta y tres mil personas en más de tres mil seiscientas sesiones informativas y a celebrar decenas de seminarios y jornadas. Estas campañas y acciones divulgativas siempre son lideradas por la APDCM,  figurando así de modo claro y prominente en todos los materiales que con dicho motivo se editan. La comunicación e información sobre estas actividades siempre la lleva a cabo directamente la APDCM y siempre son gratuitas, ya que la Agencia nunca ha cobrado ni cobrará ninguna cantidad por la asistencia a las mismas
  • Asimismo, la APDCM participa y colabora en iniciativas de formación y educación de los sectores público y privado para las que es requerida pero tanto la utilización de la imagen pública de la misma como la participación de sus miembros se decide y autoriza caso a caso o a través de convenios de colaboración públicos que figuran en su portal en Internet (www.apdcm.es). Esta participación no supone ningún compromiso ni acuerdo con las tesis que puedan mantener los organizadores o con sus políticas de difusión de las convocatorias o de promoción y comercialización de sus servicios y productos
  • De acuerdo con la legislación nacional y autonómica de protección de datos, las Administraciones Públicas están completamente sometidas al régimen de infracciones previsto en la Ley Orgánica de Protección de Datos en el caso de llevar a cabo actuaciones contrarias a la misma pero, en ningún caso, reciben sanciones económicas por sus posibles violaciones de la ley, previendo la normativa vigente otras medidas alternativas para castigar dichas infracciones (medidas disciplinarias, notificación al Defensor de Pueblo, etc.). En el caso de entidades privadas, la competencia para su supervisión es de la Agencia Española de Protección de Datos por lo que la APDCM no podría declarar ninguna infracción ni imponer ninguna sanción a las mismas
  • En cualquier caso, siempre y cuando exista alguna duda respecto del respaldo o implicación de la APDCM en cualquier tipo de iniciativa, se puede recabar información a través del sitio web de la misma (www.apdcm.es) o contactando con ella a través de los medios que en el mismo figuran.
  • La APDCM se reserva la posibilidad de emprender las acciones legales que considere oportunas ante cualquier indicación falsa o fraudulenta sobre su representación por parte de terceros o su participación en cualquier tipo de iniciativa y en relación con la utilización indebida o ilegítima de su imagen.

    •  

    El director de la Agencia Española de Protección de Datos (AEPD), Artemi Rallo, manifestó hoy que la posibilidad de instalar cámaras de vigilancia en taxis “no está prohibido” por la normativa vigente si tiene “una finalidad de seguridad clara y explícita” y se ciñe a determinados requisitos, los mismos exigibles a la videovigilancia que se establezca en otros espacios cerrados o abiertos..


    Después de que la Comunidad de Madrid anunciara su disposición a estudiar la viabilidad técnica y jurídica de esta medida, Rallo aseguró a Europa Press que “nada impediría” la puesta en marcha de dicha iniciativa si fuera instalada por empresas de seguridad acreditadas en el Ministerio del Interior de acuerdo con la Ley de Seguridad Privada, y un distintivo avisara a los clientes de que el trayecto está siendo objeto de una grabación.


    Otras condiciones a cumplir serían la cancelación en el plazo de un mes de las imágenes captadas, salvo que sirva a su finalidad original, por ejemplo, como prueba de un delito; que se garantice el derecho de todos los usuarios a saber si su imagen ha sido grabada; y que las imágenes grabadas y conservadas sean notificadas como fichero en el Registro General de Protección de Datos.


    A la espera de que, en su caso, el Gobierno regional solicite un dictamen a la AEPD, el director de este organismo equiparó la videovigilacia en los taxis a la establecida, por ejemplo, en espacios pertenecientes a una comunidad de propietarios, como garajes, o en un local comercial.


    “SÓLO LAS IMAGÉNES NECESARIAS”

    En todo caso, el director de la AEPD advirtió de que las cámaras en los taxis “deberían instalarse de la forma que resulte más acorde con los principios de la normativa de protección de datos, es decir, recoger sólo las imágenes necesarias y evitar las innecesarias”.


    A este respecto, consideró que la videovigilancia debería no debería captar, por ejemplo, laterales, pues “no obedecerían a la finalidad que justificó su instalación, que es exclusivamente la seguridad”.


    Fuente: www.diariosigloxxi.com

    Un estudio realizado por la Universidad de Cambridge sobre los sitios web protegidos con contraseñas revela que la no aplicación de los estándares y prácticas recomendables por algunos websites perjudica la seguridad de los usuarios finales en general.

    Más concretamente, la debilidad de las implementaciones de autenticación basada en contraseñas en sitios de baja seguridad compromete las protecciones ofrecidas por los de alta seguridad, dado que los usuarios a menudo reutilizan sus contraseñas.

    Aprovechando esta tendencia, los atacantes pueden utilizar los sitios web de baja seguridad, como las webs de noticias que exigen autenticación, para averiguar contraseñas asociadas con determinados correos electrónicos y después utilizarlas para acceder a las cuentas de esos mismos usuarios en webs de alta seguridad, como las de comercio electrónico.

    En cualquier caso, los investigadores que han realizado este estudio – en el que se han analizado 150 sitios web- justifican la reutilización de contraseñas por parte de los usuarios, reconociendo que éstos suelen tener demasiadas cuentas online como para poder gestionarlas todas de forma segura.

    Un 78% de los sitios analizados no advertían a los usuarios de la conveniencia de utilizar una contraseña fuerte, y sólo siete del total exigían que se combinaran números y letras. Únicamente dos obligaba a incluir también caracteres no alfanuméricos.

    Fuente: CSO