Custodia digital: la protección de la integridad

La protección de la integridad y de la autenticidad de la información es un elemento que poco a poco ha ido apareciendo como un concepto clave en el ámbito profesional de los directivos españoles. En este contexto aparecen términos como la protección de registros de auditoría (o logs) y la protección de su integridad.

Albalia Interactiva ha firmado un acuerdo como socio estratégico de Kinamik Data Integrity, empresa de software líder en el desarrollo de soluciones específicas para la protección de la integridad de la información en tiempo real. En el modelo de Albalia de Gestión de documentos electrónicos de carácter probatorio, una de las piezas claves es la firma electrónica y otra el sistema de custodia digital con metadatos. Hablaré en próximos artículos de las posibilidades de unir los dos conceptos, de su relación con la Ley 11/2007 y el cumplimiento de los recientemente publicados esquemas de Seguridad e Interoperabilidad, o el cumplimiento de la LOPD. En el artículo de hoy me centraré en las razones por las que es importante mantener registros de auditoría (o logs) correctamente protegidos, y que rol representa Kinamik para su correcta gestión.

Kinamik Data Integrity es una empresa de software especializada en la protección de la integridad de la información.

Han desarrollado una solución de software que recoge, asegura y centraliza en tiempo real los registros de auditoría (o logs) desde diversas fuentes. Al procesarlos les aplica un “sello digital” que permite evidenciar cualquier intento de manipulación, obteniendo por lo tanto pruebas irrefutables de su integridad. La solución de Kinamik, llamada Secure Audit Vault, aporta una serie de beneficios para las organizaciones, entre los que destacan la reducción de costes en procesos de auditoría (interna o externa), la gestión de pruebas electrónicas y/o procesos de investigación de informática forense. Asimismo, facilita el cumplimiento de leyes y estándares, como la Ley 11/2007, la LOPD, la norma utilizada en entornos de pago PCI-DSS o la norma ISO 27001, especialmente en lo que se relaciona con la prevención y detección de la manipulación de los registros electrónicos. Finalmente disuade el fraude, reduce el riesgo e impacto de la amenaza interna y sirve como soporte en procesos judiciales al aumentar el valor probatorio de los registros, dándoles una mayor validez legal y permitiendo su uso como prueba electrónica en caso de litigio.

Su principal diferencial respecto a otras tecnologías que intentan dar protección de la integridad (uso de autoridades de sellado de tiempo (TSA), dispositivos WORM (Write Once, Read Many), herramientas de gestión de eventos (SIM/SEM), hash simple, firma digital, etc) se centra en la capacidad de procesar y asegurar la información en tiempo real, aplicando un sello de inmutabilidad al mayor nivel de detalle. Cuando se desea proteger información en contextos de alto rendimiento, por ejemplo logs, las tecnologías existentes crean una ventana de oportunidad que permitiría que una manipulación de los ficheros no fuera detectada o, aún peor, podría dar una falsa sensación de seguridad. La existencia de esta ventana de oportunidad para la manipulación hace además que los ficheros pierdan valor probatorio, pues las organizaciones se encuentran con la imposibilidad de probar un negativo, es decir, probar que nadie ha hecho nada en los ficheros y que no han sido manipulados desde el momento de su creación.

Este hecho aparentemente trivial de demostrar la existencia en un momento dado y la integridad de un documento electrónico –por ejemplo con una firma digital- se transforma en imposible por los inmanejables costes computacionales que implicarían aplicar una firma por cada fracción de segundo, en forma constante. Este mismo contexto –alto rendimiento, aplicación de numerosas “sellos” por segundo, etc- hace impracticable el uso de los servicios de autoridades de sellado de tiempo (TSA), pues su carácter transaccional implica altísimos costes por el elevado número de transacciones a “sellar” y los altísimos niveles en el uso de recursos (en particular ancho de banda),

Los «Nativos digitales»

Reproduzco de la edición de hoy de ABC la interesante columna de opinión de la que es autor D. Artemi Rallo, Director de la Agencia Española de Protección de Datos

Los «Nativos digitales»

Artemi Rallo, Director de la Agencia Española de Protección de Datos

Sábado, 11-10-08

NUESTROS escolares son auténticos hijos de su tiempo y por lo tanto responden a esa denominación de «nativos digitales», ciudadanos para los que la convivencia instrumental con las nuevas tecnologías constituye algo tan natural como imprescindible y cuyo manejo responde tanto al aprendizaje como a la propia intuición.

En este curso 2008-09 que acaba de comenzar se han incorporado a la Enseñanza en Régimen General no universitario 193.325 alumnos (un 2,7 por ciento más de lo que había el curso pasado) y todos ellos sin práctica excepción van a comenzar desde la infancia a ser usuarios de las nuevas tecnologías, internautas, navegantes por la inmensidad de la Red. Dispondrán en poco tiempo de las mayores habilidades y convertirán su computador en un interlocutor móvil, personal e imprescindible que les habrá de servir para casi todo: comunicarse, entretenerse, cultivar las relaciones sociales y amicales, acceder a servicios y acrecentar sus conocimientos. A través de la pantalla del ordenador verán seguramente la TV, lo utilizarán como teléfono y audio y dispondrán del don de la ubicuidad.

La tecnología hará a estos «nativos digitales» que en estas semanas se incorporan a la Enseñanza más poderosos y versátiles que a los de generaciones anteriores y vivirán en un mundo más abierto, sin fronteras, lleno de virtualidades. La gran cuestión es si esta inédita frontera de las nuevas tecnologías garantizará o no sus derechos de privacidad en los términos que la ley orgánica de Protección de Datos prevé en cumplimiento del mandato constitucional. En la Agencia Española de Protección de Datos contemplamos las nuevas tecnologías en su doble dimensión: como oportunidad inmensa, pero también como problema. Y a la Agencia corresponde cohonestar que el desarrollo tecnológico sea compatible con la preservación de la privacidad. La única forma de lograrlo es introduciendo de manera progresiva una nueva cultura simultánea al imparable dinamismo que plantean las nuevas tecnologías. Se trata de una cultura de prudencia, de contención, de consciencia y conciencia de los riesgos que entraña esa formidable transparencia tecnológica.

Los niños son los objetivos más vulnerables tanto frente a los que, ilegalmente, tratan de hacerse con datos personales y familiares, como de los que preconizan que en la Red vale todo, incluida la falta de respeto a la Propiedad Intelectual. Los padres han de ser conscientes de sus derechos: los menores de 14 años necesitan de su consentimiento para el tratamiento de sus datos; los menores no pueden ser requeridos a facilitar datos familiares que no sean los estrictamente necesarios para mantener la imprescindible relación con el entorno del alumno. Por otra parte, aquellos que traten los datos de los niños deben comunicarse con él de manera accesible para su mejor comprensión, tienen que identificarse y ofrecer todo tipo de explicaciones sobre la utilización de los datos que debe ser siempre proporcional y con un sentido finalista claro y taxativo.

Los ámbitos en los que los menores deben ser protegidos de la depredación de su intimidad es el propio centro escolar en su función de aprendizaje digital; también su hogar cuando navegan por la red -los padres deben acompañarles en esa travesía marcándoles las pautas para hacerlo con seguridad-. Por supuesto, hay que tener especial cuidado en entornos determinados tales como los chats, foros o redes sociales y algunos tipos de video-juegos. Sin perjuicio del respeto a la vida privada del menor -que le es debido-, padres, profesores y tutores deben procurar que los niños accedan a internet de modo personalizado y con cuentas de usuario limitadas o restringidas pudiéndose utilizar para la navegación software de filtrado de páginas de contenido inadecuado y que permita la elaboración de informes de actividad de sitios visitados. Hagamos una advertencia: la monitorización del ordenador del menor, el uso de la videovigilancia o la geolocalización mediante el móvil son soluciones extremas que deben utilizarse cuando resulte imprescindible y teniendo en cuenta la proporcionalidad de la medida. En definitiva: enfrentarse a internet requiere de un proceso educativo basado en la prudencia y en el respeto a sí mismo y a los demás.

En internet no todo el mundo es quien dice ser; jamás deben proporcionarse datos -por ejemplo, la dirección- sin garantías plenas y nunca a desconocidos; debe evitarse el uso del nombre real y descargarse programas desconocidos o sin referencias suficientes. En resumen, hay que mantener ante el extraordinario fenómeno de internet una actitud vigilante, al mismo nivel de alerta que la acechanza de tantos desaprensivos que han convertido la Red en un territorio inseguro y agresivo para la intimidad personal y familiar. En realidad, el gran reto contemporáneo es el restablecimiento del equilibrio en la ecuación libertad-seguridad. Tenemos derecho a ser libres, pero también a estar seguros y ambos derechos han de entrar en sinergia para que el resultado resulte óptimo. Si este equilibrio de valores es preciso en todos los ámbitos, se hace acuciantemente necesario en la utilización, especialmente por los menores, de las nuevas tecnologías. Se trata de un desafío apasionante que debe encararse desde la primera fase: la iniciación escolar. Por eso, ahora, cuando doscientos mil nativos digitales comienzan su aprendizaje en la Enseñanza de Régimen General, conviene la advertencia de cautela desde una instancia que como la Agencia Española de Protección de Datos tiene como objetivo esencial la tutela de derechos de los ciudadanos.

Sentencias recopiladas por Miguel Angel Mata

Os recomiendo la lectura de las sentencias recopiladas por Miguel Angel Mata. En su blog también podéis encontrar interesantes comentarios sobre ellas y sobre diversos temas respecto a los que compartimos interés.

Cesión a las Fuerzas y Cuerpos de Seguridad de los datos de clientes alojados en establecimientos hoteleros

A raiz de la publicación de la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos, ha quedado de manifiesto que hay una cesión de datos de los establecimientos hoteleros a las dependencias policiales en aplicación de la Ley Orgánica 1/1992, de 21 de febrero, de Protección de la Seguridad Ciudadana.

¿Puede existir algún problema por parte del establecimiento al seguir esta normativa, si el cliente se resiste a dar los datos e invoca en su protección la normativa de protección de datos?

La Agencia Estatal de Protección de Datos ya ha dado su opinión sobre este tema.

Como punto de partida, debe analizarse si el tratamiento y posterior comunicación de los datos a los que se hace referencia en la consulta se encuentran amparados por lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

En este sentido, el artículo 6.1 de la Ley Orgánica dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

Del mismo modo, en cuanto a la cesión, el artículo 11.1 dispone que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante este consentimiento no será necesario ” Cuando la cesión está autorizada en una Ley” (artículo 11.2 a).

El tratamiento y cesión de datos a los que se refiere la consulta trae su causa de lo establecido en el artículo 45.1 del Convenio de Schengen, ratificado por España en fecha 23 de julio de 1993. Según este precepto: “Las Partes contratantes se comprometen a adoptar las medidas necesarias para garantizar que:

a) El director de un establecimiento de hospedaje o su encargado procuren que los extranjeros alojados, incluidos los nacionales de las demás Partes contratantes y de otros Estados miembros de las Comunidades Europeas, con excepción de los cónyuges o menores que les acompañen o de los miembros de grupos de viaje, cumplimenten y firmen personalmente las fichas de declaración y que justifiquen su identidad mediante la presentación de un documento de identidad vigente.

b) Las fichas de declaración así cumplimentadas sean conservadas por las autoridades competentes o transmitidas a éstas, siempre que dichas autoridades lo estimen necesario para prevenir peligros, para perseguir delitos o para dilucidar el paradero de personas desaparecidas o víctimas de accidentes, excepto si el Derecho nacional dispusiera otra cosa.”
En este sentido, es preciso recordar que el artículo 96.1 de la Constitución dispone que “Los tratados internacionales válidamente celebrados, una vez publicados oficialmente en España, formarán parte del ordenamiento interno. Sus disposiciones sólo podrán ser derogadas, modificadas o suspendidas en la forma prevista en los propios tratados o de acuerdo con las normas generales del Derecho internacional”.

Del mismo modo, el artículo 12 de la Ley Orgánica 1/1992, de 21 de febrero, dispone que “Las personas naturales o jurídicas que desarrollen actividades relevantes para la seguridad ciudadana, como las de hospedaje, el comercio o reparación de objetos usados, el alquiler o el desguace de vehículos de motor, o la compraventa de joyas y metales preciosos, deberán llevar a cabo las actuaciones de registro documental e información previstas en la normativa vigente”, habiendo sido desarrollada esta previsión por la Orden INT/1922/2003, de 3 de julio.

Por este motivo, el tratamiento de los datos mencionados y su comunicación a las Fuerzas y Cuerpos de Seguridad se encuentra amparado por lo establecido en los artículos 6.1 y 11.2 a) de la Ley Orgánica 15/1999, dado que existe una norma con rango de Ley que da cobertura al tratamiento y cesión de los datos.

Es decir, el establecimiento hotelero no ha de temer  la posibilidad de incumplir una norma por estar cumpliendo otra.

Conclusiones del III Congreso Nacional de Crédito al Consumo de ASNEF

En 2007, el fraude en la financiación del consumo para el sector financiero superó los 232 millones de euros.

La Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF), ha organizado el pasado 24 de abril de 2008, por tercer año consecutivo, el Congreso Nacional de Crédito al Consumo afianzándose como auténtico Foro de debate entre las Entidades Financieras involucradas en el Sector, los actores de la Economía Española (productores, distribuidores y comerciantes), que utilizan el Crédito al Consumo para gestionar sus ventas y los consumidores que se benefician y lo utilizan como una herramienta de acceso cómodo y ágil a determinados bienes y servicios que de otro modo les seria imposible obtener.

En esta III edición del Congreso se desarrollaron temas de vital importancia que centran en este momento la atención de todas las partes interesadas en el mercado del Crédito al Consumo, como: la visión general del Crédito al Consumo y el contexto económico actual, las novedades en la Prevención del Fraude, el Control del Riesgo, los Ficheros de Información de Crédito y la Directiva de Crédito al Consumo.

En esta ocasión ASNEF ha contado con ponentes de primer orden como Dª María José Tarrero, Secretaria General de la TESORERÍA GENERAL DE LA SEGURIDAD SOCIAL, D. Eduardo Perdiguero, Director General del Servicio de Organización y Modernización Judicial (CGPJ); D. Alberto López, Responsable del Instituto Nacional de Tecnologías de la Comunicación (INTECO-CERT), D. Francisco G. Gil, Jefe de Grupo en el Departamento de Inspección III del BANCO DE ESPAÑA, D. Leonardo Martínez, Director General de EQUIFAX IBÉRICA, D. José Ramón Devesa, Responsable de Eurojus de la COMISIÓN EUROPEA (Representación España) y D. Antonio Chausa, Jefe de Servicio de Normativa del INSTITUTO NACIONAL DE CONSUMO, entre otros.

La apertura y clausura del acto fueron realizadas por el Presidente de ASNEF, D. Pedro Guijarro y por el Director General de Regulación del BANCO de ESPAÑA, D. José María Roldán, respectivamente.

1º RESULTADOS ASNEF 2007 del CRÉDITO AL CONSUMO.

En el transcurso de este Congreso, ASNEF ha facilitado los RESULTADOS DE 2007 de sus entidades en los que la Inversión Nueva de las Operaciones de Crédito al Consumo de bienes duraderos fue de 36.758,2 millones de euros, lo que representó un incremento del 13,1 por ciento respecto a estas mismas fechas de 2006.

De esta cifra 22.518,4 millones de euros correspondieron al Sector de Consumo (+14,7%) y 14.239,8 millones de euros al Sector de Automoción (+ 10,69%).

Tras el análisis de estos resultados, ASNEF ha puesto de manifiesto que este año el Crédito al Consumo -como en ejercicios anteriores- ha crecido con tasas superiores a los dos dígitos, siendo los resultados de 2007 no solo mejores de lo esperado sino superiores a los de 2006. Se calcula, además, que el 37% de las ventas de bienes y servicios de consumo son objeto de financiación, bien directamente al cliente bien al proveedor, incluso en el sector de Automoción este porcentaje puede llegar a alcanzar el 80 por ciento.

Efectuado el desglose por sectores, ASNEF ha informado -con respecto al Sector de Consumo- que el crecimiento de estas operaciones ha sido motivado por el fuerte incremento de los Préstamos Personales, el uso de los sistemas de Crédito Revolving asociados a las Tarjetas de Crédito y a la financiación de Bienes de Consumo, como se observa en el siguiente desglose:

• Total Consumo 22.518,4 millones de euros (+14,77%)

• Tarjetas Revolving – 13.968,0 millones € (+ 14,18%) 
• Bienes de Consumo – 5.270,6 millones € (+ 13,74%)
• Préstamos Personales – 3.279,8 millones € (+ 19,12%)

Por lo que se refiere al Sector de Automoción las cifras, a pesar de todos los pronósticos efectuados por otros indicadores, superaron las registradas en 2006 (+5,66) y el detalle es el que sigue

• Total Automoción 14.239,8 millones de euros: (+ 10,69%)
- Turismos Nuevos: 12.113,8 millones € (+ 10%)
   A particulares: 10.583,9 millones € (+ 8,24%)
   De negocio: 1.529,9 millones € (+23,97%) 
- Turismos Usados: 1.599 millones € (+ 13,68%)
   A particulares: 1.493,9 millones € (+13,21%)
   De negocio: 105,1 millones € (+20,78%)
- Vehículos Comerciales: 361,8 millones € (+7,1%)
- Otros Vehículos: 165,2 millones € (+ 54,3%)

En cuanto al número total de Contratos realizados durante 2007 fue de 8.795.178
• 7.797.452 correspondieron a Consumo con un importe medio de 2.890 €
• 997.726 correspondieron a Automoción con un importe medio de 14.270 €

Por Comunidades Autónomas Andalucía con 7.674,2 millones de euros ocupa el primer lugar en Inversión Nueva en financiación, seguida de Madrid (6.061,4 millones de euros), Cataluña (6.006 millones de euros) y Valencia (4.399,7 millones de euros).

En cuanto a la Inversión Viva del Crédito al Consumo -operaciones en curso a 31 de diciembre de 2007, independientemente de la fecha de su inicio- y según los datos facilitados por ASNEF la cifra alcanzada en este periodo fue de 39.419,9 millones de euros: 13.714 millones de euros correspondieron a la Financiación de Consumo y 25.705,9 millones de euros a la Financiación de Automoción.

A pesar de estos resultados, desde la Asociación se indica que la Inversión se ha ido moderando y habrá que esperar a los primeros resultados de 2008 para ver si se registra el cambio de tendencia que ya otros sectores están empezando a percibir.

2ª.- ASNEF RECURRE EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Por otra parte, y en el marco de este III Congreso ASNEF ha hecho pública la Interposición formal de un Recurso de Impugnación contra el nuevo Reglamento de Protección de Datos de Carácter Personal ya que de aplicarse, tendría consecuencias negativas para los Ficheros de Solvencia Patrimonial y Crédito (los incorrectamente llamados “registros de morosos”), en lo referente a la información en ellos contenida.

Tal como está en la actualidad este Reglamento posibilitaría el aumento de la picaresca y la exclusión en los ficheros de los morosos “profesionales”.

Desde este Foro ASNEF ha recordado que los Ficheros de Solvencia Patrimonial -de uno de los cuales es titular- son herramientas muy útiles para que las Entidades de Crédito puedan medir adecuadamente el riesgo que asumen en las operaciones de crédito que realizan. Por tanto, si la información que contienen está debilitada por desaparición de datos, el riesgo de dichas entidades se incrementa poniéndose en peligro la estabilidad del Sistema Financiero, máxime en épocas de crisis como la actual.

Asimismo ASNEF ha hecho llegar al BANCO DE ESPAÑA su preocupación al respecto.

3º.- DATOS DE FRAUDE de 2007

Según los datos facilitados por ASNEF el fraude en la Financiación del Consumo para el conjunto del Sector Financiero en 2007 fue:

1. Fraude Soportado : 232,3 millones de euros

2. Fraude Evitado*: 827,2 millones de euros

(* Operaciones fraudulentas que por haberse detectado antes de formalizarse no han supuesto pérdida económica para las entidades).

Crédito Vivo de los hogares en 2007: 103.375 millones de euros.

1. El Fraude Soportado sobre el total del Crédito Vivo de los hogares supuso el 0’22% (86% de este porcentaje correspondió al fraude en Automoción y el 14% restante al resto del Consumo).

2. El Fraude Evitado sobre el total del Crédito Vivo de los hogares supuso el 0’80 % (72 % de este porcentaje correspondió al fraude en Automoción y el 28 % al resto del Consumo).

Todo ello supone que el fraude en la Financiación del Consumo en su conjunto (Soportado y Evitado), representa ya un 1’02% sobre el Riesgo Vivo de los hogares españoles en el año 2007. En el año 2006 representó el 0’51%, lo que indica su progresivo aumento. Pero como los resultados estadísticos se han extrapolado al conjunto del Sector Financiero -a partir de una muestra de entidades comprometidas en su prevención y que por lo tanto están poniendo los medios para su control desde hace años-, resulta verosímil que el porcentaje del fraude para todo el Sector haya superado realmente ese 1’02% en decremento equivalente del porcentaje en morosidad.

Durante los últimos años -así lo indicó ASNEF en 2006-, el fraude en la Financiación al Consumo muestra una tendencia alcista y comparado con la morosidad cada año los porcentajes respectivos tienden a acercarse.

Una de las causas de este acercamiento es la ya denunciada en años anteriores: el progresivo incremento de la criminalidad organizada para la que el fraude financiero es rentable e implica poco riesgo en relación con los resultados que se obtienen.

El “modus operandi” que más se utiliza para defraudar en la Financiación al Consumo, sigue siendo el de la falsedad en la identidad, (identidades falsas, identidades usurpadas y acceso a contraseñas personales).

Este problema ha producido una concienciación creciente en las entidades financieras y un deseo de atajar este tipo de situaciones que terminan sirviendo para que los defraudadores realicen todo tipo de actos delictivos tales como: solicitudes fraudulentas de financiaciones al consumo, aperturas de cuentas bancarias falsas, obtención de tarjetas de crédito con datos de identidad suplantados, acceso a servicios prefinanciados como la telefonía, gas, electricidad y agua, el acceso fraudulento a la banca “on line” mediante contraseñas personales conseguidas de forma fraudulenta, fraudes en el comercio electrónico, etc.

Por ello, las Entidades Financieras siguen haciendo un gran esfuerzo por segregar el fraude de la morosidad, potenciando no solo instrumentos de análisis de riesgos sino también otros especializados específicamente en la prevención del fraude, lo que les está permitiendo reaccionar operativamente mucho antes. Además este trabajo de discriminación selectiva de riesgos resulta muy importante para el cumplimiento de las recomendaciones de Basilea II sobre riesgos.

4ª.- SERVICIO DE PREVENCIÓN DEL FRAUDE DE ASNEF

• Servicios en funcionamiento
• Proyectos iniciados en 2007

Durante el pasado ejercicio ASNEF ha potenciado su Servicio de Prevención del Fraude que presidido por D. Miguel Ángel Fernández Rancaño, Jefe de Seguridad del Grupo La Caixa- integra a todas las entidades pertenecientes a la Asociación que están involucradas directamente en la modernización del sector financiero en esta materia.

Ya en 2006 ASNEF informó del esfuerzo realizado junto a EQUIFAX para poner en funcionamiento dos ficheros, que en 2007 ya son una realidad operativa utilizada cada vez por más entidades:

• Fichero VERAZ-PERSUS , en el que de manera gratuita los Ciudadanos que lo deseen pueden autoincluirse con el fin de preservar su identidad en las operaciones financieras y comerciales. Esta medida de prevención resulta especialmente aconsejable en los casos de pérdidas o sustracciones de los documentos de identidad.
Es un Fichero de utilidad pública, y así lo ha reconocido la propia Administración al firmarse -29 de octubre de 2007- un Protocolo de Colaboración para el ofrecimiento conjunto a los ciudadanos de este Fichero entre la Secretaría de Estado de Seguridad y ASNEF.

• Fichero VERAZ-FODI , basado en la reciprocidad, al que las entidades ceden los datos procedentes de aquellas operaciones o solicitudes de las mismas, en las que se detectan datos que resultan inciertos (incongruentes) tras las correspondientes verificaciones.

Estos dos Ficheros están basados en el Consentimiento Previo de los usuarios y son la mejor manera de contribuir a la prevención del fraude ya que la mayoría de las personas que acceden a la financiación de bienes y servicios lo hacen con datos verdaderos y sin intención de defraudar.

1.- Servicios en funcionamiento

Entre los proyectos puestos en funcionamiento destacan:

• SERVICIO PARA LA RECOGIDA Y GESTIÓN DEL CONSENTIMIENTO: ASNEF en colaboración con su Socio Tecnológico EQUIFAX ha creado este Servicio que facilitará a las entidades la obtención del Consentimiento en los Puntos de Venta y permitirá a éstas comprobar la existencia de este Consentimiento antes de acceder a la información existente en los Ficheros de Prevención del Fraude.
• OBSERVATORIO DE LA FALSIFICACIÓN DOCUMENTAL que posibilitará una formación permanente del personal de las entidades financieras en la falsificación de documentos públicos y privados y las dotará de un Servicio de Consultoría en documentación.

  Con este objetivo, ASNEF ha firmado -26 de febrero de 2008- un Protocolo de Colaboración con la empresa SIGNE, S.A., Impresores de Seguridad, para el ofrecimiento conjunto del Observatorio a todo el Sector, lo que permitirá a la Asociación estar en primera línea de la innovación tecnológica en documentación de seguridad.

• CONVENIO DE COLABORACIÓN CON LA TESORERIA GENERAL DE LA SEGURIDAD SOCIAL – 6 de marzo de 2008- que posibilitará verificar los datos de solvencia que presentan los Ciudadanos contra las bases de datos de la Seguridad Social, siempre que se tenga su Consentimiento, a efectos de la prevención del blanqueo de capitales.

2.- Proyectos iniciados en 2007

• Se está ultimando la firma de un Convenio de Colaboración con el Consejo General del Poder Judicial que permitirá a los Jueces acceder al Fichero VERAZ-PERSUS y VERAZ-SOCIEDADES a través del Punto Neutro Judicial, así como tener un buzón de correo para la cumplimentación rápida de los oficios judiciales relacionados con la información existente en los restantes ficheros de prevención del fraude y morosidad.

• ASNEF está desarrollando junto al Instituto Nacional de Tecnologías de la Comunicación un Proyecto de Prevención del Fraude a través de Internet, denominado Servicio para las Evidencias Electrónicas Financieras (SEVEF), que será un Fichero -con todas las garantías de seguridad y confidencialidad- en INTECO (Instituto Nacional de Tecnologías de la Comunicación), con los rastros informáticos que dejan los ataques de la delincuencia informática contra el sector financiero que opera a través de Internet y contra los usuarios de nuestros servicios “on line”.

Este Fichero, además de ayudar a la Administración en el conocimiento de la criminalidad informática que ataca al Sector Financiero, será un nuevo instrumento que incremente la seguridad de empresas y clientes y facilitará el trabajo de investigación policial y judicial contra la criminalidad organizada en Internet.

Todo lo expuesto evidencia el liderazgo de ASNEF en la lucha contra el fraude en el sector financiero, que se ha convertido en el punto de referencia a imitar en otro ámbito de la economía española.

La prevención del fraude es sin duda un objetivo primordial que beneficia tanto a las entidades de crédito, como al consumidor que ve como el acceso al crédito al consumo es cada vez más seguro, eficiente y competitivo.

Creada en 1957 La Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF), es la organización que representa a las entidades de dedicadas a la financiación en España.
ASNEF sirve de enlace entre las entidades de crédito especializadas, las Administraciones Públicas, otras asociaciones profesionales españolas y europeas y los usuarios de los productos financieros, facilitando a los consumidores, profesionales y empresarios el acceso a los bienes de consumo y de producción.

ASNEF agrupa en su seno a 74 entidades asociadas y 228 adheridas. Las entidades asociadas, tanto establecimientos financieros de crédito como bancos especializados, suponen los principales especialistas del mercado español de la financiación del automóvil y del consumo.

Visto en informativos.net

Introducción a la LOPD en Video

De entre los temas tratados en este blog, el de la LOPD (Ley Orgánica de Protección de Datos) es uno de los que más afectan al conjunto de empresas y ciudadanos.

Aquí tenéis un sencillo video que explica los aspectos más relevantes de la LOPD

 

Publicado el Reglamento de la LOPD: Real Decreto 1720/2007, de 21 de diciembre

Por fin, el pasado sábado 19 de enero de 2008, ha publicado en el BOE el Real Decreto 1720/2007, de 21 de diciembre,  por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Inundación en el Metro de Marqués de Vadillo

Ha saltado la noticia del video de la inundación del metro Marqués de Vadillo.

Ha aparecido en Youtube un vídeo interno de “Metro de Madrid” que muestra la inundación que afectó a la estación de Marqués de Vadillo a finales de mayo de 2007 y obligó a cerrar al público las instalaciones durante dos meses.

“Metro de Madrid” ha abierto una investigación para identificar al autor de la filtración. Un portavoz de la empresa explicó que se tuvo conocimiento el 1 de octubre de 2007 de que las imágenes, pertenecientes al circuito de vigilancia del metro, habían sido ‘colgadas’ en Internet.

El vídeo permite seguir toda la secuencia de los hechos, desde que el agua empieza a entrar, formando un charco de grandes dimensiones y obligando a los pasajeros ha realizar acrobacias para evitar mojarse, hasta que cobra fuerza e inunda con violencia un pasillo de la estación, tirando los soportes publicitarios.

La noticia se produce cuando hace menos de un año desde que la Agencia Estatal de Protección de Datos publicó la Instrucción 1/2006, de 8 de noviembre de 2006, por la que se regula el tratamiento de imágenes de personas físicas identificativas o identificables con fines de vigilancia, a través de sistemas de cámaras y videocámaras.

Con la entrada en vigor de la Instrucción el pasado 13 de diciembre de 2.006, las zonas cubiertas por las miles de cámaras de video vigilancia instaladas en zonas de uso público deberán contar con avisos informativos de su existencia que sean visibles a las personas que transitan por ellas y sólo se considerará admisible la instalación de estos sistemas cuando la vigilancia no pueda realizarse con eficacia por otros medios.

El objeto de la Instrucción comprende la grabación, captación, transmisión, conservación y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con ellas. Entre las principales exigencias establecidas en la Instrucción, destaca que los responsables que cuenten con sistemas de video vigilancia deberán cumplir con el deber de información previsto den la LOPD, a tal efecto, deberán colocar, en las zonas de video vigilancia, un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados.

Este signo distintivo deberá contener una mención a la finalidad para la que se traten los datos, y una mención expresa a la identificación del responsable ante quien puedan ejercitarse los derechos de las personas en materia de Protección de Datos.

Asimismo, sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que resulten menos intrusivos para la intimidad de las personas.

Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.

Además, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

Finalmente, la creación de un fichero de imágenes de video vigilancia exige su previa notificación a la Agencia Española de Protección de Datos, para la inscripción del Fichero en su Registro General.

La Instrucción no será aplicable a los datos personales grabados para uso doméstico y el tratamiento de datos por parte de las Fuerzas y Cuerpos de Seguridad, que está regulado por la Ley Orgánica 4/97, de 4 de agosto.

Está claro que con noticias como esta se cuestionan las medidas de seguridad que persiguen proteger los datos personales en los entornos en los que se usan cámaras de vigilancia. Seguramente las personas identificadas o identificables que transitan ante las cámaras no se sentirán molestas por esta filtración, pero está claro que es preciso reforzar las medidas de seguridad.

(artículo basado en los titulados La AEPD regula la video vigilancia de Cristina Grau Estradé. Abogada Derecho.com y El Metro investiga otra filtración de sus cámaras de seguridad de Europa Press/Madrid)

La Audiencia Nacional corrige a la Agencia de Protección de Datos en un supuesto spam

A través de Delitosinformaticos veo una interesante noticia.

La Agencia de Protección de Datos deberá devolver al primer ciudadano multado por spam, la multa de 30.001 euros, mas los intereses, por la que fue sancionado.

La sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha sancionado con una multa de 30.001 euros a la Agencia Española de Protección de Datos (APD) y le ordena que devuelva esa misma cantidad, mas los intereses, a Alejandro E. A. G., primer sancionado en España por envío de correo masivo, al entender que no hubo envío masivo de mensajes de correo electrónico y que hubo consentimiento de los destinatarios de los correos que este envió.

Todo comenzó cuando Alejandro. E. A. G. recibió, en el año 2004, un escrito de inicio de procedimiento sancionador por parte de la APD por la infracción del artículo 21 de la Ley 34/2002, de 11 de Julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

La Agencia calificó los hechos como una infracción grave, en virtud del artículo 38.3 b) de la LSSI, al considerar que se había realizado un “envío masivo de comunicaciones comerciales” sin el consentimiento de los destinatarios de los mismos y le sancionó con una multa de 30.001 euros.

Alejandro. E. A. G. asistió, en representación de la empresa para la cual trabajaba, a la feria del SIMO en la cual recibió multitud de peticiones de información de los servicios que promocionaba, de manera que las personas interesadas le pedían sus datos de contacto o bien le ofrecían sus tarjetas de visita para que el los contactara.

Y fruto de estos contactos y de los datos obrantes en las tarjetas de visita, envió 13 emails con la información solicitada. Uno de los destinatarios afirmó no haber solicitado la información recibida por lo que procedió a formular la denuncia ante la APD.

Ahora la Sentencia de la Audiencia Nacional ha establecido que “la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico en un contexto como es la feria del SIMO, a la que para promocionar un producto acudió el denunciado con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta de consentimiento“.

En su virtud, la  Audiencia Nacional condena a la APD a devolver la multa impuesta a Alejandro. E. A. G., mas los intereses, así como a pagar una multa de 30.001 euros.

Digitalización de firma manuscrita

La digitalización de firma que se lleva a cabo en algunos comercios podría ser considerada firma electrónica simple y con medidas técnicas especiales de custodia, podría defenderse su valor probatorio.

Sin embargo, tras una reciente resolución (la R/00098/2006) del Director de la Agencia de Protección de Datos (en el Procedimiento Nº PS/00241/2005), habrá que tener mucho cuidado en los detalles de la implementación de estos sistemas, y, en general, de los que utilizan datos biométricos en la identificación.

Transcribo el documento que tiene un gran interés:

En el procedimiento sancionador PS/00241/2005, instruido por la Agencia Española de Protección de Datos a las entidades SFERA JOVEN, S.A. y EL CORTE INGLÉS, S.A., vista la denuncia presentada por DÑA. E.B.P., y en base a los siguientes,

ANTECEDENTES

PRIMERO: En fecha 20/12/04, tuvo entrada en esta Agencia un escrito de Dña. E.B.P. (en lo sucesivo la denunciante), en el que manifiesta que, en fecha 14/10/04, al realizar una compra con tarjeta de crédito en la tienda “SFERA” del Centro Comercial ……., recibe el original del tique de compra y advierte a la dependienta de ello. La dependienta le contesta que en el momento de estampar su firma la misma ha quedado digitalizada y guardada con el resto de la operación, por lo que el original en papel del tique de compra le puede ser entregado.

Manifiesta no haber sido informada en su momento del tratamiento y que, en el comprobante de la operación, no figura ningún tipo de cláusula informativa de que los datos personales quedarían recogidos, ni del uso o fin de la recogida y tratamiento de esos datos.

Con posterioridad, en fecha 10/11/04, ejerce ante Sfera Joven, S.A. el derecho de acceso a sus datos personales, indicándole en la contestación que sus datos no figuran en fichero alguno de la entidad y que los datos de la operación de compra quedan en poder de los emisores de las tarjetas.

SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda “SFERA” del Centro Comercial ……., siendo la entidad responsable de la mencionada marca Sfera Joven, S.A. (en lo sucesivo Sfera). En dicha visita se constató que el comercio dispone de diversos puntos de venta dotados de terminales de marca IBM, a los cuales se encuentran conectadas pequeñas tabletas digitalizadoras. Las tabletas digitalizadoras incluyen el logotipo “Sfera” y constan de una tapa de metacrilato que restringe la posibilidad de escribir sobre la tableta, salvo en una pequeña zona del tamaño adecuado para una firma manuscrita.

Realizada una compra con tarjeta de crédito por los Inspectores de Datos, comprueban que, una vez aceptada la operación e impreso el resguardo de la compra correspondiente, la empleada de la tienda ofrece a la firma el mismo, situándolo entre la tableta digitalizadora y la tapa de metacrilato descritas. Una vez firmado, el resguardo es entregado al comprador, constando de un sólo ejemplar y verificándose que la empleada no procede a emitir o imprimir ningún otro tique.

En ningún momento se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio.

TERCERO: Aunque los representantes de Sfera manifestaron que existen carteles informativos al respecto, los Inspectores de Datos que se personaron en la tienda “SFERA” del Centro Comercial ……., constataron que no se encontraba expuesta ninguna información sobre el sistema de recogida electrónica de firma.

Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado “Clientes Otras Tarjetas Externas” inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A.

Todo el tratamiento de los tiques de compra se realiza por El Corte Inglés, S.A., siendo esta entidad la responsable del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.

En la referida Inspección, se comprobó la existencia de los siguientes datos correspondientes a la operación realizada por la denunciante: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra.

También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de la Agencia en fecha 24/08/05.

Sfera y El Corte Inglés, S.A. (en lo sucesivo El Corte Inglés) tienen suscrito un contrato de prestación de servicios informáticos, de fecha 01/11/01, en el cual se estipula como objeto del mismo que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento.

A pesar de que en el referido contrato El Corte Inglés se identifique como encargado del tratamiento, es responsable del fichero denominado “Clientes Otras Tarjetas Externas”, así como del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.

CUARTO: A la vista del resultado de estas actuaciones previas de investigación, el Director de la Agencia Española de Protección de Datos acordó, en fecha 26/09/05, iniciar procedimiento sancionador a Sfera por la presunta infracción del artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el artículo 44.2.d) de dicha norma, pudiendo ser sancionada con multa de 601,01 € a 60.101,21 € , de acuerdo con el artículo 45.1 de la citada Ley Orgánica.

Igualmente, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a El Corte Inglés por la presunta infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.

QUINTO: Notificado el acuerdo de inicio de procedimiento sancionador, ambas entidades presentaron alegaciones al respecto.

Sfera manifiesta que no realiza ningún tratamiento de datos personales, simplemente acepta, como medio de pago, las tarjetas previamente convenidas con su gestor de pasarela de pago que, en este caso, es El Corte Inglés. Los sistemas de cobro de Sfera no son de su propiedad y no guarda ningún tipo de datos, dado que Sfera no tiene ningún fichero de clientes. Por tanto, si no hay tratamiento, no hay obligación de informar. Además, los datos que se obtienen del cliente son el número de tarjeta y la firma digitalizada, y este tipo de datos no puede considerarse como datos de carácter personal.

El Corte Inglés alega que, respecto a los clientes que pagan con tarjeta de crédito, no guardan ninguna información identificativa del mismo. No es necesario el consentimiento para tratar esos datos, dado que son necesarios para la relación negocial que el propio cliente ha aceptado al realizar el pago con tarjeta de crédito, cuyo emisor ya le ha informado de la necesaria captura de datos por parte del responsable del comercio donde sea utilizada.

SÉXTO: En la fase de pruebas se practicaron, entre otras, la prueba propuesta por El Corte Inglés consistente en que la denunciante aportase copia del contrato suscrito con su emisor de tarjeta de crédito.

SÉPTIMO: Terminada la fase de práctica de pruebas, el expediente se puso de manifiesto a los interesados, otorgándoles un plazo de quince días para presentar alegaciones. Solicitada ampliación de dicho plazo, el Instructor del procedimiento acordó ampliar el plazo en siete días más. Transcurrido la totalidad del plazo otorgado, no se han recibido alegaciones de ambas entidades interesadas en el presente procedimiento.

OCTAVO: En fecha 23/01/06 se emitió Propuesta de Resolución en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Sfera con multa de 601,01€ por la infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, y a El Corte Inglés con multa de 60.101,21 € por la infracción del los artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma.

NOVENO: En fecha 24/01/06 se recibieron las alegaciones de Sfera y El Corte Inglés a la fase de audiencia en las que se ratifican en sus manifestaciones anteriores.

DÉCIMO: En fecha 28/02/06 se han recibido las alegaciones de Sfera y El Corte Inglés a la Propuesta de Resolución, indicando que la Propuesta emitida es nula dado que no se han tenido en cuenta las alegaciones realizadas en la fase de audiencia. No obstante, reconocen la posibilidad de que las mismas se hubiesen recibido en esta Agencia con posterioridad a la emisión de la Propuesta. Añaden que es importante que se sumen dos hechos de interés: de una parte, que en el contrato de tarjeta aportado por la denunciante, ésta se compromete a identificarse ante el comerciante y firmar los comprobantes de compra que le sean presentados, y por otra, que El Corte Inglés es gestor de la pasarela de pagos de Sfera. Esta última aclaración es importante porque demuestra que El Corte Inglés tiene una doble cualidad respecto a su filial Sfera. Por un lado, le presta servicios informáticos (confección de nómina, contabilidad, etc.) conforme al contrato de prestación de servicios firmado el 01/11/01. Pero, por otro lado, El Corte Inglés es gestor de la pasarela de pagos y respecto a los datos referidos a pagos con tarjeta es el único titular. Reinciden en que no conocen ningún procedimiento para identificar al titular de la tarjeta con los datos que se conservan. El Corte Inglés manifiesta que no es necesario solicitar el consentimiento de los interesados dado que existe una relación negocial. Sfera afirma que es innecesaria la información por su parte, dado que quien debe informar, en tal caso, es el emisor de la tarjeta, y concluye que, en contra de lo manifestado en la Propuesta de Resolución, existen folletos explicativos para los clientes.

HECHOS PROBADOS

PRIMERO: Dña. E.B.P., en fecha 14/10/04, realizó una compra con tarjeta de crédito en la tienda “SFERA” del Centro Comercial …….. No fue informada de que su firma había sido digitalizada y guardada con el resto de los datos de la operación de compra (folio 5).

SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda “SFERA” del Centro Comercial ……., y realizaron una compra con tarjeta de crédito, comprobado que, en ningún momento, se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio (folios 13-15).

TERCERO: En fecha 01/09/05, a consecuencia de la visita de Inspección a Sfera, se constató que tienen implantado un sistema de recogida electrónica de la firma de aquellos clientes que abonan la compra mediante tarjeta de crédito o débito (ya fuera la emitida por el Grupo Corte Inglés o una tarjeta externa), utilizando para su captura una tableta digitalizadora. En el proceso de compra se imprime un sólo tique que el cliente firma sobre una tableta digitalizadora. Este tique es entregado al cliente, no realizándose ninguna otra impresión para su conservación por la entidad (folios 24-26, 34-39).

CUARTO: Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por ninguna empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado “Clientes Otras Tarjetas Externas” inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. (folio 25).

QUINTO: En la visita de Inspección realizada en Sfera, se comprobó la existencia de los siguientes datos correspondientes a Dña. E.B.P.: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra. También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de Datos en fecha 24/08/05 (folios 36-39).

SEXTO: “Clientes Otras Tarjetas Externas”, inscrito en el Registro General de Protección de Datos, cuyo responsble es El Corte Inglés, S.A.. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A. (folios 25, 104-108).

SÉPTIMO: , de fecha 01/11/01, en el cual se estipula, como objeto del mismo, que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento (folios 29-31). A pesar de ello, es responsable del fichero citado en el Hecho Probado anterior, así como del cobro de los importes de las transacciones, gestión de posibles reclamaciones y conservación de la información durante el plazo establecido (folios 104-108).

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD.

II

Como cuestión previa, procede responder a la petición de nulidad de la Propuesta de Resolución emitida por no haberse tenido en cuenta las alegaciones efectuadas por El Corte Inglés y Sfera en la fase de audiencia.

Terminado el período de práctica de pruebas, el expediente se puso de manifiesto a ambas entidades, mediante la notificación de la relación de documentos obrantes en el expediente y la posibilidad de presentar alegaciones en el plazo de quince días hábiles a contar desde la recepción de dicho escrito. Sfera y el Corte Inglés recibieron dicha comunicación el 19/12/05, según aviso de recibo del Servicio de Correos. Por consiguiente, el plazo para presentar alegaciones terminaba el 05/01/06. No obstante, en fecha 03/01/06 se recibió solicitud de ampliación del plazo para presentar alegaciones, y el Instructor del procedimiento, de conformidad con lo dispuesto en el artículo 49.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), admitió la ampliación en un plazo de siete días a contar desde el día siguiente a aquél en que finalice el primer plazo. Por tanto, teniendo en cuenta la ampliación, el plazo de alegaciones finalizaba el 14/01/06.

En fecha 23/01/06 se emitió la Propuesta de Resolución. Las alegaciones de Sfera y El Corte Inglés se recibieron en esta Agencia el 24/01/06, aunque consta en las mismas su presentación en el Servicio de Correos en fechas 19/01/06 y 20/01/06, respectivamente. Esto demuestra que dichas alegaciones, con independencia de que se recepcionasen en esta Agencia con posterioridad a la emisión de la Propuesta de Resolución, se habían presentado transcurrido el plazo otorgado para formular dichas alegaciones.

No obstante, dado que la Propuesta de Resolución no pone fin al procedimiento sancionador, no se produce ninguna indefensión a las entidades interesadas, dado que tras la Propuesta, existe un nuevo plazo de presentación de alegaciones.

Y, respecto a este último plazo, procede concretar que la Propuesta de Resolución fue notificada a El Corte Inglés y a Sfera el 27/01/06, otorgándoles un plazo de quince días hábiles para presentar alegaciones. Dicho plazo vencía el 14/02/06. Sin embargo, ambas entidades han presentado sus alegaciones en el Servicio de Correos en fecha 16/02/06, es decir, transcurrido el plazo otorgado para presentar alegaciones, siendo recibidas en esta Agencia el 28/02/06.

No obstante, aunque las alegaciones de Sfera y El Corte Inglés realizadas tras la fase de audiencia y después de la Propuesta de Resolución, han sido presentadas vencidos los plazos otorgados para tal fin, se ha procedido a tener en cuenta las mismas para elaborar la presente Resolución.

III

Respecto al fondo del asunto, procede analizar si los datos obtenidos por Sfera de los clientes que pagan con tarjetas de crédito o débito externas, y que se recogen y conservan en el fichero denominado “Clientes Otras Tarjetas Externas”de El Corte Inglés, deben considerarse datos de carácter personal. Sfera y El Corte Inglés manifiestan que los datos que se conservan no permiten identificar a la persona física que realizó la operación, sin embargo ha quedado acreditado en el procedimiento que en el fichero informático denominado “Clientes Otras Tarjetas Externas” se almacenan los talones de compras abonadas con tarjetas externas al grupo Corte Inglés y estos talones contienen datos sobre la identificación de los productos adquiridos, importe de la compra, fecha, número de tarjeta, nombre, apellidos del titular de la misma y firma digitalizada de éste, según consta en los folios 36 a 39.

El artículo 3.a) de la LOPD define datos de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables,” añadiendo el apartado 4 del artículo 1, del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de acuerdo con lo establecido en la disposición transitoria tercera de la LOPD, que dato de carácter personal es “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.”

En línea con lo anterior el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/95, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considera identificable “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.”

Este concepto de dato personal es sumamente amplio. La Audiencia Nacional en su Sentencia de 08/03/02, ha señalado que “no hay datos de carácter personal, y por tanto no es posible aplicar la Ley de Protección de Datos a los llamados “datos disociados” y así el mismo artículo 3 de la Ley, pero en su apartado f), define como “Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtengas no pueda asociarse a persona determinada o determinable” <

Y añade la citada sentencia “Procedimiento de disociación que consiste en eliminar la conexión entre el dato y la persona, en “despersonalizar” el dato, actuando como barrera que impide la identificación y entrañando en definitiva un elemento protector de la intimidad o privacidad del afectado.

Sin embargo, para que exista dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la invocada Directiva 95/46/CE que expresamente señala que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al art. 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado” (El subrayado es de la Agencia Española de Protección de Datos).

Aplicando la anterior doctrina al presente caso, en el que se registran en el fichero, entre otros datos, la identificación de la tarjeta de crédito o débito, el nombre y apellidos y la firma de los afectados, ha de concluirse que tales datos son datos de carácter personal, pues contienen información concerniente a una persona física identificable o determinable, ya que con tales datos es posible identificar, sin utilizar esfuerzos desproporcionados, a la persona titular de los mismos.

IV

El artículo 5 de la LOPD regula el derecho de información al interesado en la recogida de sus datos. Los apartados 1, 2 y 3 del citado artículo disponen:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.”

Y el artículo 6 de la LOPD regula el principio del consentimiento, disponiendo en sus apartados 1 y 2:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”

La obligación que impone el artículo 5 es la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no, en función de aquélla, el tratamiento. Por tanto, es necesaria una información previa para que el consentimiento que se presta sea válido.

La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos, al declarar que: “el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele” (El resaltado es de la Agencia Española de Protección de Datos).

En este caso, el cliente desconoce que, cuando firma el justificante de compra, se captura y conserva su firma digitalizada en un fichero. Tampoco conoce si firmar en la tableta digitalizadora es obligatorio o facultativo, ni cuáles son las consecuencias de la obtención de los datos o de la negativa a suministrarlos. Sfera, como entidad que recaba los datos que van a ser incluidos en un fichero cuyo responsable es El Corte Inglés, tampoco informa a los clientes que pagan con tarjeta de crédito, de que sus datos van a ser conservados, de la finalidad de ese almacenamiento, de quién es el responsable del fichero, ni de la posibilidad de poder ejercer sus derechos de acceso, rectificación, cancelación y oposición. Es cierto que ella no es responsable del fichero ni del tratamiento de los mismos, tal y como expondremos más adelante, pero la LOPD no exige que esa información haya de ser facilitada en todos los casos por el responsable del fichero, sino que establece la obligación de una información previa que incluya, en su caso, la identificación del responsable por parte de aquellos que soliciten de los interesados la recogida de datos personales.

Sfera y El Corte Inglés alegan que los usuarios que abonan sus compras con tarjeta están informados por los emisores de dichas tarjetas de los datos que necesariamente deben facilitar a los comerciantes en el momento de realizar las operaciones de compra, por lo que no es exigible a Sfera el deber de información impuesto por la LOPD. Sin embargo Sfera es la que recaba los datos de los afectados para someterlos a un tratamiento automatizado, por lo que es a ella a quien incumbe la obligación de informar. Y, aunque sean los propios afectados quienes facilitan sus datos, y el artículo 5 de la LOPD se refiere a que deberán ser informados “los interesados a los que se soliciten datos personales”, hay que tener en cuenta que la obligación que impone el citado artículo 5 es informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho de éste a tener una apropiada información en base a la cual pueda prestar válidamente su consentimiento. El derecho a ser informado quedaría sin duda frustrado, con la extensión e importancia que lo consagra la LOPD, si se excluyeran los supuestos en los que los afectados voluntariamente facilitan sus datos.

Aunque Sfera ha manifestado que tiene a disposición de los clientes folletos informativos del sistema y fórmulas alternativas para aquellos clientes que no deseen firmar en las tablillas, en este procedimiento sancionador no se ha constatado la existencia de dichos folletos ni, en su caso, que los mismos cumplan la misión de informar conforme exige el artículo 5 de la LOPD.

V

Además, en este caso, los datos personales recabados de los clientes que han abonado con tarjetas de crédito o débito en las compras realizadas en la entidad Sfera, son incluidos en un fichero en el que la citada entidad no es responsable. Esto supone que el cliente de Sfera desconoce quién es el titular del fichero que gestiona sus datos y dónde poder ejercer sus derechos.

Así ocurrió con la denunciante que tras ejercer el derecho de acceso ante Sfera, dado que era la entidad a la que ella había facilitado sus datos materialmente, le contesta que no existen datos relativos a su persona en sus ficheros. Y dicha afirmación es completamente cierta dado que, como se ha venido argumentado, los datos se incluyen en un fichero cuyo responsable es El Corte Inglés, por lo que es esta entidad la responsable de atender los derechos de los titulares de los datos que ella trata.

Pero la denunciante, cliente de Sfera, no es informada al respecto, por lo que el tratamiento de los datos personales ejercido por El Corte Inglés como titular del fichero “Clientes Otras Tarjetas Externas” es un tratamiento viciado. Aunque existe una relación negocial entre el cliente y el establecimiento que, en principio, permitiría el tratamiento de datos en virtud de la excepción del consentimiento prevista en el artículo 6.2 de la LOPD, no obstante, conforme a la obligación de la información previa que ha sido argumentada en el Fundamento de Derecho anterior, no puede ser aplicada dicha excepción porque para que exista la misma, la relación negocial debe ser admitida entre ambas partes y, en este caso, el cliente considera que la relación la mantiene con Sfera, desconociendo que es otra entidad la responsable del tratamiento de sus datos.

VI

Respecto al contrato suscrito entre El Corte Inglés y Sfera cuyo objeto es el compromiso de El Corte Inglés para gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento, lo cierto es que, respecto a los datos de clientes que pagan con tarjeta externas, sus datos son incluidos en el fichero “Clientes Otras Tarjetas Externas” cuyo responsable es El Corte Inglés. Por lo tanto, respecto a la gestión de este tipo de datos, el contrato suscrito por ambas entidades, de fecha 01/11/01, no es aplicable, estando constatado que el responsable del fichero y del tratamiento es El Corte Inglés.

Esta cuestión ha sido aclarada por ambas entidades en sus últimas alegaciones al reconocer que el referido contrato de prestación de servicios se refiere a servicios informático tales como confección de nóminas, contabilidad, etc., reconociendo El Corte Inglés ser el único responsable de la titular del fichero “Clientes Otras Tarjetas Externas.”

VII

El artículo 44.2.d) de la LOPD considera infracción leve: “Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.”

En este caso, Sfera ha recabado datos personales sin facilitar a la denunciante la información que señala el artículo 5 de la LOPD, por lo que debe considerarse que ha incurrido en la infracción leve descrita.

VIII

El artículo 44.3.d) de la LOPD considera infracción grave:

“Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.”

La Audiencia Nacional ha manifestado, en su Sentencia de 22/10/03, que “la descripción de conductas que establece el artículo 44.3d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave “tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley”, por tanto, se está describiendo una conducta –el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos, realizando envíos publicitarios.”

Conforme se ha expuesto en los Fundamentos de Derecho anteriores, se considera que El Corte Inglés ha infringido el artículo 6 de la LOPD. Este artículo regula uno de los principios básicos del derecho fundamental a la protección de datos de carácter personal, el del consentimiento inequívoco de los interesados para el tratamiento de sus datos. Por tanto, El Corte Inglés ha infringido uno de los principios de la LOPD, y, en consecuencia, ha incurrido en la infracción grave descrita.

IX

A tenor de lo establecido en el artículo 45.1 y 2 de la LOPD, las infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros , y las graves serán sancionadas con multa de 60.101,21 euros a 300.506,05 euros.

El mismo artículo, en sus apartados 4 y 5, establece criterios de graduación de la sanción:

“4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.”

5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.”

La Audiencia Nacional, en sus Sentencias de 24/05/02 y 16/02/05, ha señalado en cuanto a la aplicación del apartado 5 del citado precepto que “… la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión “especialmente cualificada”) y concretos”.

En este caso, no se aprecia una disminución cualificada de la culpabilidad de Sfera y de El Corte Inglés, o de la antijuridicidad de los hechos, que permita la aplicación de la graduación de las sanciones prevista en el artículo 45.5 de la LOPD.

No obstante, teniendo en cuenta los criterios recogidos en el artículo 45.4 de la LOPD y, en especial, el volumen de tratamientos efectuados por ambas entidades y a la ausencia de beneficios obtenidos acreditados en el presente procedimiento, procede imponer las sanciones correspondientes en su cuantía mínima.

Vistos los preceptos citados y demás de general aplicación,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad SFERA JOVEN, S.A., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01€ (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad EL CORTE INGLÉS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

TERCERO: NOTIFICAR la presente resolución a SFERA JOVEN, S.A., (C/………………….), a EL CORTE INGLÉS, S.A., (C/………………..), y a DÑA. E.B.P., (C/………………..).

CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 21 de marzo de 2006

EL DIRECTOR DE LA AGENCIA ESPAÑOLA

DE PROTECCIÓN DE DATOS

Fdo.: José Luis Piñar Mañas