^Ir Arriba

Entre las últimas resoluciones publicadas por la Agencia Española de Protección de Datos (AEPD) en su página web, se encuentra la que resuelve el Procedimiento Sancionador PS/00691/2015. La multa impuesta (100.000 €) no resulta habitual desde la última modificación del régimen sancionador de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), lo cual prueba la gravedad que, en opinión de la AEPD, revisten los hechos investigados.

 

La entidad sancionada es una asociación sin ánimo de lucro constituida con la finalidad de defender los derechos civiles y promover la investigación de las circunstancias en las que se produjo atentado del 11 de marzo de 2004 en la madrileña estación de Atocha, el denominado “11M”. En el marco de las actividades que desarrolla, esta asociación publicó una parte considerable del sumario instruido en relación a dicho atentado por el Juzgado Central de Instrucción nº 6 de Madrid.

 

Resulta significativa la forma en la que la AEPD tiene noticia de estos hechos. Durante una práctica en la clase de informática, un niño descubrió que al introducir su nombre en el buscador Google aparecía un enlace a una página web que contenía una fotocopia de su libro de familia, así como distinta información relacionada con el 11M. La madre del menor puso en conocimiento de la asociación de víctimas del atentado a la que pertenecía la existencia de la web, y es esta asociación quien presenta formalmente la denuncia.

 

En el transcurso de las actividades inspectoras, la Agencia pudo comprobar que, efectivamente, la asociación denunciada había subido a su web, entre otros documentos, un listado de heridos con nombre, apellidos y hospital en el que fueron atendidos; distintos partes de lesiones (incluyendo diagnóstico y tiempo de cura), y diversos vídeos con declaraciones de testigos. Posteriormente, la entidad sancionada trasladó los documentos a una página de acceso restringido de la misma web. Sin embargo, se colgó una nota, a la vista de cualquier usuario, en la que se indicaba lo siguiente:

 

“Pinchad aquí: xxx

Usuario: xxx

Contraseña: xxx

CON FECHA DE 19 de MARZO de 2015, HEMOS TENIDO QUE QUITAR EL SUMARIO POR CUESTIONES RELACIONADAS CON LA LOPD. Si alguien quiere tener acceso al Sumario, le podemos ayudar a localizarlo.”

 

Las claves facilitadas permitían el acceso al área restringida, dónde continuaban publicados datos de carácter personal relacionados con víctimas y testigos del 11M provenientes del sumario correspondiente a la investigación del atentado.

 

Según se verificó, ningún documento del sumario había sido anonimizada, de forma que contenía “providencias o recursos en los que se cita el nombre y apellidos de alguno-s de los perjudicados, así como otros documentos con datos de carácter personal (nombres, apellidos, DNI, domicilio, parentesco, fecha y lugar de nacimiento, número de tarjeta sanitaria, número de afiliación a la Seguridad Social, teléfono, etc.), tales como fotocopias de Libro de Familia, informes médicos, certificados del Ministerio del Interior sobre la condición de víctima de acto terrorista, notas simples del Registro de la Propiedad, certificados de registro municipales de parejas de hecho, volantes de empadronamiento, partes médicos de incapacidad temporal, alta, baja o confirmación, tanto el ejemplar del trabajador, en el que figura el diagnóstico, como el ejemplar para la empresa, según los casos, etc.”.

 

La Agencia considera que los hechos descritos son constitutivos de dos infracciones:

- Por una parte, la asociación responsable de la web había procedido a tratar datos sin el consentimiento de los titulares de los mismos, con el agravante de que parte de estos datos, tenían la consideración de especialmente protegidos. Los datos especialmente protegidos, según señala el artículo 7 de la LOPD requieren un consentimiento “cualificado”, bien expreso (datos de salud, origen racial y vida sexual), o bien expreso y por escrito (ideología, afiliación sindical, religión y creencias). Se trata de una infracción muy grave, sancionada con multa de 300.001 € a 600.000 €.

- Por otra parte, la divulgación de datos personales a través de Internet, posibilitando su acceso a terceros, implica una vulneración del deber de secreto (artículo 10 de la LOPD). En este caso, se trata de una infracción grave, sancionada con multa de 40.001 € a 300.000 €.

Copyright © 2016. SIC Consulting Marca Registrada


Utilizamos cookies propias y de terceros para mejorar nuestros servicios y hacer una análisis del comportamiento en esta página. Si continua navegando por la web acepta expresamente el uso e instalación de las mismas. Para encontrar más información acerca de nuestra política de cookies visite el siguiente enlace. Política de privacidad.

Aceptas el uso cookies en este sitio.