Todo es electrónico

Cada vez más, en la vida conviven el átomo y el bit.

Archivos para 'LOPD' Categoría


Introducción a la LOPD en Video

Publicado por inza on 2008 . Abril . 16

De entre los temas tratados en este blog, el de la LOPD (Ley Orgánica de Protección de Datos) es uno de los que más afectan al conjunto de empresas y ciudadanos.

Aquí tenéis un sencillo video que explica los aspectos más relevantes de la LOPD

 

Publicado en LOPD, con Video | 1 Comentario »

Publicado el Reglamento de la LOPD: Real Decreto 1720/2007, de 21 de diciembre

Publicado por inza on 2008 . Enero . 21

Por fin, el pasado sábado 19 de enero de 2008, ha publicado en el BOE el Real Decreto 1720/2007, de 21 de diciembre,  por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Publicado en Conformidad normativa, Datos personales, LOPD, Seguridad | 1 Comentario »

Inundación en el Metro de Marqués de Vadillo

Publicado por inza on 2007 . Octubre . 03

Ha saltado la noticia del video de la inundación del metro Marqués de Vadillo.

Ha aparecido en Youtube un vídeo interno de “Metro de Madrid” que muestra la inundación que afectó a la estación de Marqués de Vadillo a finales de mayo de 2007 y obligó a cerrar al público las instalaciones durante dos meses.

“Metro de Madrid” ha abierto una investigación para identificar al autor de la filtración. Un portavoz de la empresa explicó que se tuvo conocimiento el 1 de octubre de 2007 de que las imágenes, pertenecientes al circuito de vigilancia del metro, habían sido ‘colgadas’ en Internet.

El vídeo permite seguir toda la secuencia de los hechos, desde que el agua empieza a entrar, formando un charco de grandes dimensiones y obligando a los pasajeros ha realizar acrobacias para evitar mojarse, hasta que cobra fuerza e inunda con violencia un pasillo de la estación, tirando los soportes publicitarios.

La noticia se produce cuando hace menos de un año desde que la Agencia Estatal de Protección de Datos publicó la Instrucción 1/2006, de 8 de noviembre de 2006, por la que se regula el tratamiento de imágenes de personas físicas identificativas o identificables con fines de vigilancia, a través de sistemas de cámaras y videocámaras.

Con la entrada en vigor de la Instrucción el pasado 13 de diciembre de 2.006, las zonas cubiertas por las miles de cámaras de video vigilancia instaladas en zonas de uso público deberán contar con avisos informativos de su existencia que sean visibles a las personas que transitan por ellas y sólo se considerará admisible la instalación de estos sistemas cuando la vigilancia no pueda realizarse con eficacia por otros medios.

El objeto de la Instrucción comprende la grabación, captación, transmisión, conservación y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con ellas. Entre las principales exigencias establecidas en la Instrucción, destaca que los responsables que cuenten con sistemas de video vigilancia deberán cumplir con el deber de información previsto den la LOPD, a tal efecto, deberán colocar, en las zonas de video vigilancia, un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados.

Este signo distintivo deberá contener una mención a la finalidad para la que se traten los datos, y una mención expresa a la identificación del responsable ante quien puedan ejercitarse los derechos de las personas en materia de Protección de Datos.

Asimismo, sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que resulten menos intrusivos para la intimidad de las personas.

Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.

Además, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

Finalmente, la creación de un fichero de imágenes de video vigilancia exige su previa notificación a la Agencia Española de Protección de Datos, para la inscripción del Fichero en su Registro General.

La Instrucción no será aplicable a los datos personales grabados para uso doméstico y el tratamiento de datos por parte de las Fuerzas y Cuerpos de Seguridad, que está regulado por la Ley Orgánica 4/97, de 4 de agosto.

Está claro que con noticias como esta se cuestionan las medidas de seguridad que persiguen proteger los datos personales en los entornos en los que se usan cámaras de vigilancia. Seguramente las personas identificadas o identificables que transitan ante las cámaras no se sentirán molestas por esta filtración, pero está claro que es preciso reforzar las medidas de seguridad.

(artículo basado en los titulados La AEPD regula la video vigilancia de Cristina Grau Estradé. Abogada Derecho.com y El Metro investiga otra filtración de sus cámaras de seguridad de Europa Press/Madrid)

LOPD - AEPD - Videovigilancia

Publicado en LOPD | 1 Comentario »

La Audiencia Nacional corrige a la Agencia de Protección de Datos en un supuesto spam

Publicado por inza on 2007 . Agosto . 08

A través de Delitosinformaticos veo una interesante noticia.

La Agencia de Protección de Datos deberá devolver al primer ciudadano multado por spam, la multa de 30.001 euros, mas los intereses, por la que fue sancionado.

La sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha sancionado con una multa de 30.001 euros a la Agencia Española de Protección de Datos (APD) y le ordena que devuelva esa misma cantidad, mas los intereses, a Alejandro E. A. G., primer sancionado en España por envío de correo masivo, al entender que no hubo envío masivo de mensajes de correo electrónico y que hubo consentimiento de los destinatarios de los correos que este envió.

Todo comenzó cuando Alejandro. E. A. G. recibió, en el año 2004, un escrito de inicio de procedimiento sancionador por parte de la APD por la infracción del artículo 21 de la Ley 34/2002, de 11 de Julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

La Agencia calificó los hechos como una infracción grave, en virtud del artículo 38.3 b) de la LSSI, al considerar que se había realizado un “envío masivo de comunicaciones comerciales” sin el consentimiento de los destinatarios de los mismos y le sancionó con una multa de 30.001 euros.

Alejandro. E. A. G. asistió, en representación de la empresa para la cual trabajaba, a la feria del SIMO en la cual recibió multitud de peticiones de información de los servicios que promocionaba, de manera que las personas interesadas le pedían sus datos de contacto o bien le ofrecían sus tarjetas de visita para que el los contactara.

Y fruto de estos contactos y de los datos obrantes en las tarjetas de visita, envió 13 emails con la información solicitada. Uno de los destinatarios afirmó no haber solicitado la información recibida por lo que procedió a formular la denuncia ante la APD.

Ahora la Sentencia de la Audiencia Nacional ha establecido que “la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico en un contexto como es la feria del SIMO, a la que para promocionar un producto acudió el denunciado con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta de consentimiento“.

En su virtud, la  Audiencia Nacional condena a la APD a devolver la multa impuesta a Alejandro. E. A. G., mas los intereses, así como a pagar una multa de 30.001 euros.

Publicado en LOPD | 1 Comentario »

Digitalización de firma manuscrita

Publicado por inza on 2007 . Marzo . 24

La digitalización de firma que se lleva a cabo en algunos comercios podría ser considerada firma electrónica simple y con medidas técnicas especiales de custodia, podría defenderse su valor probatorio.

Sin embargo, tras una reciente resolución (la R/00098/2006) del Director de la Agencia de Protección de Datos (en el Procedimiento Nº PS/00241/2005), habrá que tener mucho cuidado en los detalles de la implementación de estos sistemas, y, en general, de los que utilizan datos biométricos en la identificación.

Transcribo el documento que tiene un gran interés:

En el procedimiento sancionador PS/00241/2005, instruido por la Agencia Española de Protección de Datos a las entidades SFERA JOVEN, S.A. y EL CORTE INGLÉS, S.A., vista la denuncia presentada por DÑA. E.B.P., y en base a los siguientes,

ANTECEDENTES

PRIMERO: En fecha 20/12/04, tuvo entrada en esta Agencia un escrito de Dña. E.B.P. (en lo sucesivo la denunciante), en el que manifiesta que, en fecha 14/10/04, al realizar una compra con tarjeta de crédito en la tienda “SFERA” del Centro Comercial ……., recibe el original del tique de compra y advierte a la dependienta de ello. La dependienta le contesta que en el momento de estampar su firma la misma ha quedado digitalizada y guardada con el resto de la operación, por lo que el original en papel del tique de compra le puede ser entregado.

Manifiesta no haber sido informada en su momento del tratamiento y que, en el comprobante de la operación, no figura ningún tipo de cláusula informativa de que los datos personales quedarían recogidos, ni del uso o fin de la recogida y tratamiento de esos datos.

Con posterioridad, en fecha 10/11/04, ejerce ante Sfera Joven, S.A. el derecho de acceso a sus datos personales, indicándole en la contestación que sus datos no figuran en fichero alguno de la entidad y que los datos de la operación de compra quedan en poder de los emisores de las tarjetas.

SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda “SFERA” del Centro Comercial ……., siendo la entidad responsable de la mencionada marca Sfera Joven, S.A. (en lo sucesivo Sfera). En dicha visita se constató que el comercio dispone de diversos puntos de venta dotados de terminales de marca IBM, a los cuales se encuentran conectadas pequeñas tabletas digitalizadoras. Las tabletas digitalizadoras incluyen el logotipo “Sfera” y constan de una tapa de metacrilato que restringe la posibilidad de escribir sobre la tableta, salvo en una pequeña zona del tamaño adecuado para una firma manuscrita.

Realizada una compra con tarjeta de crédito por los Inspectores de Datos, comprueban que, una vez aceptada la operación e impreso el resguardo de la compra correspondiente, la empleada de la tienda ofrece a la firma el mismo, situándolo entre la tableta digitalizadora y la tapa de metacrilato descritas. Una vez firmado, el resguardo es entregado al comprador, constando de un sólo ejemplar y verificándose que la empleada no procede a emitir o imprimir ningún otro tique.

En ningún momento se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio.

TERCERO: Aunque los representantes de Sfera manifestaron que existen carteles informativos al respecto, los Inspectores de Datos que se personaron en la tienda “SFERA” del Centro Comercial ……., constataron que no se encontraba expuesta ninguna información sobre el sistema de recogida electrónica de firma.

Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado “Clientes Otras Tarjetas Externas” inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A.

Todo el tratamiento de los tiques de compra se realiza por El Corte Inglés, S.A., siendo esta entidad la responsable del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.

En la referida Inspección, se comprobó la existencia de los siguientes datos correspondientes a la operación realizada por la denunciante: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra.

También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de la Agencia en fecha 24/08/05.

Sfera y El Corte Inglés, S.A. (en lo sucesivo El Corte Inglés) tienen suscrito un contrato de prestación de servicios informáticos, de fecha 01/11/01, en el cual se estipula como objeto del mismo que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento.

A pesar de que en el referido contrato El Corte Inglés se identifique como encargado del tratamiento, es responsable del fichero denominado “Clientes Otras Tarjetas Externas”, así como del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.

CUARTO: A la vista del resultado de estas actuaciones previas de investigación, el Director de la Agencia Española de Protección de Datos acordó, en fecha 26/09/05, iniciar procedimiento sancionador a Sfera por la presunta infracción del artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el artículo 44.2.d) de dicha norma, pudiendo ser sancionada con multa de 601,01 € a 60.101,21 € , de acuerdo con el artículo 45.1 de la citada Ley Orgánica.

Igualmente, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a El Corte Inglés por la presunta infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.

QUINTO: Notificado el acuerdo de inicio de procedimiento sancionador, ambas entidades presentaron alegaciones al respecto.

Sfera manifiesta que no realiza ningún tratamiento de datos personales, simplemente acepta, como medio de pago, las tarjetas previamente convenidas con su gestor de pasarela de pago que, en este caso, es El Corte Inglés. Los sistemas de cobro de Sfera no son de su propiedad y no guarda ningún tipo de datos, dado que Sfera no tiene ningún fichero de clientes. Por tanto, si no hay tratamiento, no hay obligación de informar. Además, los datos que se obtienen del cliente son el número de tarjeta y la firma digitalizada, y este tipo de datos no puede considerarse como datos de carácter personal.

El Corte Inglés alega que, respecto a los clientes que pagan con tarjeta de crédito, no guardan ninguna información identificativa del mismo. No es necesario el consentimiento para tratar esos datos, dado que son necesarios para la relación negocial que el propio cliente ha aceptado al realizar el pago con tarjeta de crédito, cuyo emisor ya le ha informado de la necesaria captura de datos por parte del responsable del comercio donde sea utilizada.

SÉXTO: En la fase de pruebas se practicaron, entre otras, la prueba propuesta por El Corte Inglés consistente en que la denunciante aportase copia del contrato suscrito con su emisor de tarjeta de crédito.

SÉPTIMO: Terminada la fase de práctica de pruebas, el expediente se puso de manifiesto a los interesados, otorgándoles un plazo de quince días para presentar alegaciones. Solicitada ampliación de dicho plazo, el Instructor del procedimiento acordó ampliar el plazo en siete días más. Transcurrido la totalidad del plazo otorgado, no se han recibido alegaciones de ambas entidades interesadas en el presente procedimiento.

OCTAVO: En fecha 23/01/06 se emitió Propuesta de Resolución en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Sfera con multa de 601,01€ por la infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, y a El Corte Inglés con multa de 60.101,21 € por la infracción del los artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma.

NOVENO: En fecha 24/01/06 se recibieron las alegaciones de Sfera y El Corte Inglés a la fase de audiencia en las que se ratifican en sus manifestaciones anteriores.

DÉCIMO: En fecha 28/02/06 se han recibido las alegaciones de Sfera y El Corte Inglés a la Propuesta de Resolución, indicando que la Propuesta emitida es nula dado que no se han tenido en cuenta las alegaciones realizadas en la fase de audiencia. No obstante, reconocen la posibilidad de que las mismas se hubiesen recibido en esta Agencia con posterioridad a la emisión de la Propuesta. Añaden que es importante que se sumen dos hechos de interés: de una parte, que en el contrato de tarjeta aportado por la denunciante, ésta se compromete a identificarse ante el comerciante y firmar los comprobantes de compra que le sean presentados, y por otra, que El Corte Inglés es gestor de la pasarela de pagos de Sfera. Esta última aclaración es importante porque demuestra que El Corte Inglés tiene una doble cualidad respecto a su filial Sfera. Por un lado, le presta servicios informáticos (confección de nómina, contabilidad, etc.) conforme al contrato de prestación de servicios firmado el 01/11/01. Pero, por otro lado, El Corte Inglés es gestor de la pasarela de pagos y respecto a los datos referidos a pagos con tarjeta es el único titular. Reinciden en que no conocen ningún procedimiento para identificar al titular de la tarjeta con los datos que se conservan. El Corte Inglés manifiesta que no es necesario solicitar el consentimiento de los interesados dado que existe una relación negocial. Sfera afirma que es innecesaria la información por su parte, dado que quien debe informar, en tal caso, es el emisor de la tarjeta, y concluye que, en contra de lo manifestado en la Propuesta de Resolución, existen folletos explicativos para los clientes.

HECHOS PROBADOS

PRIMERO: Dña. E.B.P., en fecha 14/10/04, realizó una compra con tarjeta de crédito en la tienda “SFERA” del Centro Comercial …….. No fue informada de que su firma había sido digitalizada y guardada con el resto de los datos de la operación de compra (folio 5).

SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda “SFERA” del Centro Comercial ……., y realizaron una compra con tarjeta de crédito, comprobado que, en ningún momento, se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio (folios 13-15).

TERCERO: En fecha 01/09/05, a consecuencia de la visita de Inspección a Sfera, se constató que tienen implantado un sistema de recogida electrónica de la firma de aquellos clientes que abonan la compra mediante tarjeta de crédito o débito (ya fuera la emitida por el Grupo Corte Inglés o una tarjeta externa), utilizando para su captura una tableta digitalizadora. En el proceso de compra se imprime un sólo tique que el cliente firma sobre una tableta digitalizadora. Este tique es entregado al cliente, no realizándose ninguna otra impresión para su conservación por la entidad (folios 24-26, 34-39).

CUARTO: Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por ninguna empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado “Clientes Otras Tarjetas Externas” inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. (folio 25).

QUINTO: En la visita de Inspección realizada en Sfera, se comprobó la existencia de los siguientes datos correspondientes a Dña. E.B.P.: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra. También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de Datos en fecha 24/08/05 (folios 36-39).

SEXTO: “Clientes Otras Tarjetas Externas”, inscrito en el Registro General de Protección de Datos, cuyo responsble es El Corte Inglés, S.A.. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A. (folios 25, 104-108).

SÉPTIMO: , de fecha 01/11/01, en el cual se estipula, como objeto del mismo, que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento (folios 29-31). A pesar de ello, es responsable del fichero citado en el Hecho Probado anterior, así como del cobro de los importes de las transacciones, gestión de posibles reclamaciones y conservación de la información durante el plazo establecido (folios 104-108).

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD.

II

Como cuestión previa, procede responder a la petición de nulidad de la Propuesta de Resolución emitida por no haberse tenido en cuenta las alegaciones efectuadas por El Corte Inglés y Sfera en la fase de audiencia.

Terminado el período de práctica de pruebas, el expediente se puso de manifiesto a ambas entidades, mediante la notificación de la relación de documentos obrantes en el expediente y la posibilidad de presentar alegaciones en el plazo de quince días hábiles a contar desde la recepción de dicho escrito. Sfera y el Corte Inglés recibieron dicha comunicación el 19/12/05, según aviso de recibo del Servicio de Correos. Por consiguiente, el plazo para presentar alegaciones terminaba el 05/01/06. No obstante, en fecha 03/01/06 se recibió solicitud de ampliación del plazo para presentar alegaciones, y el Instructor del procedimiento, de conformidad con lo dispuesto en el artículo 49.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), admitió la ampliación en un plazo de siete días a contar desde el día siguiente a aquél en que finalice el primer plazo. Por tanto, teniendo en cuenta la ampliación, el plazo de alegaciones finalizaba el 14/01/06.

En fecha 23/01/06 se emitió la Propuesta de Resolución. Las alegaciones de Sfera y El Corte Inglés se recibieron en esta Agencia el 24/01/06, aunque consta en las mismas su presentación en el Servicio de Correos en fechas 19/01/06 y 20/01/06, respectivamente. Esto demuestra que dichas alegaciones, con independencia de que se recepcionasen en esta Agencia con posterioridad a la emisión de la Propuesta de Resolución, se habían presentado transcurrido el plazo otorgado para formular dichas alegaciones.

No obstante, dado que la Propuesta de Resolución no pone fin al procedimiento sancionador, no se produce ninguna indefensión a las entidades interesadas, dado que tras la Propuesta, existe un nuevo plazo de presentación de alegaciones.

Y, respecto a este último plazo, procede concretar que la Propuesta de Resolución fue notificada a El Corte Inglés y a Sfera el 27/01/06, otorgándoles un plazo de quince días hábiles para presentar alegaciones. Dicho plazo vencía el 14/02/06. Sin embargo, ambas entidades han presentado sus alegaciones en el Servicio de Correos en fecha 16/02/06, es decir, transcurrido el plazo otorgado para presentar alegaciones, siendo recibidas en esta Agencia el 28/02/06.

No obstante, aunque las alegaciones de Sfera y El Corte Inglés realizadas tras la fase de audiencia y después de la Propuesta de Resolución, han sido presentadas vencidos los plazos otorgados para tal fin, se ha procedido a tener en cuenta las mismas para elaborar la presente Resolución.

III

Respecto al fondo del asunto, procede analizar si los datos obtenidos por Sfera de los clientes que pagan con tarjetas de crédito o débito externas, y que se recogen y conservan en el fichero denominado “Clientes Otras Tarjetas Externas”de El Corte Inglés, deben considerarse datos de carácter personal. Sfera y El Corte Inglés manifiestan que los datos que se conservan no permiten identificar a la persona física que realizó la operación, sin embargo ha quedado acreditado en el procedimiento que en el fichero informático denominado “Clientes Otras Tarjetas Externas” se almacenan los talones de compras abonadas con tarjetas externas al grupo Corte Inglés y estos talones contienen datos sobre la identificación de los productos adquiridos, importe de la compra, fecha, número de tarjeta, nombre, apellidos del titular de la misma y firma digitalizada de éste, según consta en los folios 36 a 39.

El artículo 3.a) de la LOPD define datos de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables,” añadiendo el apartado 4 del artículo 1, del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de acuerdo con lo establecido en la disposición transitoria tercera de la LOPD, que dato de carácter personal es “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.”

En línea con lo anterior el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/95, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considera identificable “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.”

Este concepto de dato personal es sumamente amplio. La Audiencia Nacional en su Sentencia de 08/03/02, ha señalado que “no hay datos de carácter personal, y por tanto no es posible aplicar la Ley de Protección de Datos a los llamados “datos disociados” y así el mismo artículo 3 de la Ley, pero en su apartado f), define como “Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtengas no pueda asociarse a persona determinada o determinable” <

Y añade la citada sentencia “Procedimiento de disociación que consiste en eliminar la conexión entre el dato y la persona, en “despersonalizar” el dato, actuando como barrera que impide la identificación y entrañando en definitiva un elemento protector de la intimidad o privacidad del afectado.

Sin embargo, para que exista dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la invocada Directiva 95/46/CE que expresamente señala que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al art. 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado” (El subrayado es de la Agencia Española de Protección de Datos).

Aplicando la anterior doctrina al presente caso, en el que se registran en el fichero, entre otros datos, la identificación de la tarjeta de crédito o débito, el nombre y apellidos y la firma de los afectados, ha de concluirse que tales datos son datos de carácter personal, pues contienen información concerniente a una persona física identificable o determinable, ya que con tales datos es posible identificar, sin utilizar esfuerzos desproporcionados, a la persona titular de los mismos.

IV

El artículo 5 de la LOPD regula el derecho de información al interesado en la recogida de sus datos. Los apartados 1, 2 y 3 del citado artículo disponen:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.”

Y el artículo 6 de la LOPD regula el principio del consentimiento, disponiendo en sus apartados 1 y 2:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”

La obligación que impone el artículo 5 es la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no, en función de aquélla, el tratamiento. Por tanto, es necesaria una información previa para que el consentimiento que se presta sea válido.

La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos, al declarar que: “el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele” (El resaltado es de la Agencia Española de Protección de Datos).

En este caso, el cliente desconoce que, cuando firma el justificante de compra, se captura y conserva su firma digitalizada en un fichero. Tampoco conoce si firmar en la tableta digitalizadora es obligatorio o facultativo, ni cuáles son las consecuencias de la obtención de los datos o de la negativa a suministrarlos. Sfera, como entidad que recaba los datos que van a ser incluidos en un fichero cuyo responsable es El Corte Inglés, tampoco informa a los clientes que pagan con tarjeta de crédito, de que sus datos van a ser conservados, de la finalidad de ese almacenamiento, de quién es el responsable del fichero, ni de la posibilidad de poder ejercer sus derechos de acceso, rectificación, cancelación y oposición. Es cierto que ella no es responsable del fichero ni del tratamiento de los mismos, tal y como expondremos más adelante, pero la LOPD no exige que esa información haya de ser facilitada en todos los casos por el responsable del fichero, sino que establece la obligación de una información previa que incluya, en su caso, la identificación del responsable por parte de aquellos que soliciten de los interesados la recogida de datos personales.

Sfera y El Corte Inglés alegan que los usuarios que abonan sus compras con tarjeta están informados por los emisores de dichas tarjetas de los datos que necesariamente deben facilitar a los comerciantes en el momento de realizar las operaciones de compra, por lo que no es exigible a Sfera el deber de información impuesto por la LOPD. Sin embargo Sfera es la que recaba los datos de los afectados para someterlos a un tratamiento automatizado, por lo que es a ella a quien incumbe la obligación de informar. Y, aunque sean los propios afectados quienes facilitan sus datos, y el artículo 5 de la LOPD se refiere a que deberán ser informados “los interesados a los que se soliciten datos personales”, hay que tener en cuenta que la obli