En este caso, y en contra de la costumbre habitual y propósito de este blog, vamos a echar un vistazo a un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) en el que sanciona a una gran empresa. Más que el asunto en si mismo, se trata de comprobar como la adaptación de una empresa a la Ley Orgánica de Protección de Datos (LOPD) no es simplemente una cuestión administrativa de cumplimentación de formularios, sino un proceso continuo de calidad en el tratamiento de la información y de mejora de la imagen empresarial ante el mercado.

La sanción es de 30.000 euros, que Vodafone abonará sin que sus cuentas se resientan en exceso, pero podría ser igual para una empresa de cualquier otro tamaño.

Partimos de la base de que una empresa como Vodafone hace mucho tiempo que cumplió todos esos requisitos que algunas empresas creen que son “lo único que hay que hacer”: por supuesto sus ficheros están dados de alta en el Registro General de Protección de Datos, seguro que mantienen su Documento de Seguridad correctamente actualizado, fijo que han enviado Políticas de Privacidad a todos sus empleados con acceso a datos, así como a toda su red de distribución con quien además han firmado los necesarios contratos de tratamiento con terceros, etc, etc, etc.

Sin embargo la AEPD recibe una denuncia de un cliente al que en una tienda se le presentó un formulario que le parecía excesivo. En el análisis del formulario la AEPD encuentra cinco posibles motivos de sanción:

  1. En el apartado de datos del comprador se indican los datos obligatorios que este ha de facilitar en el momento de adquisición de la tarjeta en cumplimiento de lo dispuesto en la Ley 25/2007; sin embargo se recogen datos adicionales del cliente sin informar de la obligatoriedad de facilitar estos datos ni de las consecuencias.
  2. Tampoco informa de la finalidad de la recogida de los datos del cliente.
  3. Si bien informa del tratamiento automatizado de los datos recabados con la finalidad su posible cesión en los términos previstos en la Ley 25/2007, no informa qué datos va a ceder, si la cesión se refiere únicamente a los datos del comprador o a los datos del cliente
  4. No informa de los sectores de actividad de los que podrá recibir publicidad el afectado.
  5. No informa de la finalidad para la que se cederán los datos al grupo de empresas de Vodafone ni el tipo de actividad de estas empresas. Esta información no cumple con la exigencia de facilitar a los interesados información sobre los destinatarios de los datos que se recaba, ya que no permite conocer con precisión quienes van a ser los destinatarios.

Por todo ello, se considera que Vodafone ha vulnerado lo dispuesto en el artículo 5 de la LOPD en los formularios utilizados.

Y es por eso que el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad Vodafone España, S.A.U.., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 30.000 euros (treinta mil euros) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Resolución completa (PDF): Procedimiento Nº PS/00440/2010

Y así resulta constatado, aunque no sea más que por la vía del temor a la sanción, que cada vez que preparemos un formulario nuevo en el que se deban incluir datos de carácter personal, éste deberá ser siempre revisado a la luz de la LOPD.

Por lo tanto, si estás pensando en contratar un profesional para adaptar tu empresa a la LOPD, asegúrate de que además de “hacerte los papeles” te garantice un servicio de mantenimiento con consultoría sin coste añadido.

Información incorrecta en impreso de recogida de datos
Vota este artículo
  1. En mi opinión este procedimiento sancionador entra de lleno en el espíritu de la ley, en este caso la legitimidad y el deber de informar. Hemos visto procedimientos en mi opinión absurdos que tienen sólo en cuenta la literalidad de la ley o sus requerimientos formales y que permitían a ciertas empresas (normalmente las mismas, y no hablo de Vodafone) hacer de su capa un sayo. Este procedimiento sanciona un abuso de posición aunqye formalmente esté toco correcto en la literalidad de la ley.

  2. Considero que la ley es necesaria, pero el organismo en cuestión deja mucho que desear cuanto uno aporta documentacion pertinente, si la reclamacion es contra una administración no se investiga y dudan de los datos que uno aporta, para finalizar parece que cuando uno reclama la intervención de este organismo contra un Ayuntamieto por ejemplo, no se molestan en investigar y tampoco el porque se le niegan peticiones de investigacion sobre unos hechos que uno denuncio, hay un refran que dice hecha la ley hecha la trampa. por experiencia personal, este organismo a mi como perjudicado de una decisión arbitraria e injusta de una administracion local en lugar de investigar miro para otro lado, que quede claro que es mi opinión personal y uno se encuentra indefenso ante el proceder de una institución que deberia de investigar y no dar el carpetazo, Un saludo.

  3. Jesús, no hablo exactamente de este mismo tema, pero una empresa, en sus relaciones con otras empresas y autónomos o instituciones, aunque les recoja el DNI para facturar, ¿debe informarles de que tiene un fichero donde irán esos datos personales?. Esto, que puede parecer de cajón, no lo veo claro. Muchas gracias.

  4. Angel R.: habría que ver cada caso, según qué datos y en qué circunstancias. Por lo tanto yo aconsejo dejarse de líos y obtener consentimiento siempre, por si acaso.
    Ninguna empresa puede ser sancionada por recoger consentimiento cuando no era imprescindible, pero por lo contario sí… así que la decisión está clara: siempre por si acaso.
    Además es más fácil de cara por ejemplo a formularios de toma de datos, en vez de tener unos con cláusula LOPD incluida, y otros sin ella, usas exclusivamente los que incluyen.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *