22 de abril de 2010

// // Dejar un Comentario

Protección de datos personales: Iberia sancionada por mostrar los datos que se referían a pasajeros que habían perdido su equipaje





Se ha publicado la reciente sentencia del Tribunal Supremo de fecha 23 de marzo de 2010 (Id Cendoj: 28079130062010100133) dictada por la Sala Tercera de lo Contencioso-Administrativo, mediante la cual se condena a la entidad Iberia, Líneas Aéreas de España, S.A. (en adelante entidad Iberia) al pago de determinadas multas económicas por contravenir la legislación sobre protección de datos personales.

Esta sentencia trae su causa de la impugnación de la resolución de la Agencia Española de Protección de Datos de fecha 8 de julio de 2004, en la cual se interponía determinadas sanciones a la entidad Iberia. En su virtud, se dictó por la Audiencia Nacional sentencia desestimatoria de fecha 16 de marzo de 2006 contra la citada resolución.

La meritada resolución de la AEPD condenó a la entidad Iberia, por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha Ley, una multa de 601,01 €. 2. Por una infracción del artículo 9 de la LOPD en relación con el artículo 8 del RD 994/1999, de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, tipificada como grave en el artículo 44.3.h) una multa de 60.101,21 €. Y, por una infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de la citada Ley, una multa de 300.506,05 €.

Los hechos denunciados se remontan al mes de agosto de 2002, fecha en que aparecieron en las inmediaciones del aeropuerto de El Prat de Llobregat en Barcelona diversos documentos pertenecientes a la compañía Iberia en cuyo encabezamiento consta como texto "Orden de Entrega de Equipaje”. En dichos documentos figuraban datos personales de pasajeros de líneas aéreas como: nombre, apellidos, domicilio, teléfono, número de vuelo y fecha, anotados de forma manuscrita y procedían de un tratamiento automatizado previo realizado por los empleados de Iberia y que procedían de la entidad contratada por Iberia para el reparto a domicilio de los equipajes extraviados

Obviamente, estos datos personales fueron facilitados a Iberia por los pasajeros en el momento de la contratación del pasaje, los cuales son registrados en el sistema de información de Iberia y el tratamiento de estos datos para la gestión de equipajes extraviados no se encontraba declarado en el Registro General de Protección de Datos (RGPD). Por otra parte, la entidad Iberia tenía suscrito un contrato de prestación de servicios con otra entidad, en virtud del cual la primera -como responsable del tratamiento- encarga a la segunda el reparto de los equipajes extraviados a domicilio y facilitar a ésta los datos personales de los pasajeros, junto con el equipaje, si que dicho contrato tuviera las cláusulas reguladoras de las medidas de seguridad a tener en cuenta en el tratamiento de los datos personales facilitados.

En cuanto a la comisión de la primera infracción: esto es, el artículo 26 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (ausencia del fichero en el RGPD) el Tribunal Supremo razona lo siguiente:

Si Iberia es la responsable del tratamiento de los datos personales de sus viajeros asociados a las incidencias que se produzcan en relación con la pérdida de sus equipajes, es ella la obligada a declarar el fichero o tratamiento de los datos ante el RGPD, según lo dispuesto en el artículo 26 LOPD que regula la notificación e inscripción registral de los ficheros de titularidad privada, omisión que está sancionada como infracción leve, cuando no sea constitutiva de infracción grave, en el artículo 44.2.c) de la LOPD apreciado por la resolución recurrida

En lo referente a la segunda infracción: esto es, artículo 9 de la LOPD (seguridad de los datos personales) señala acertadamente el Tribunal que:

“La entidad iberia, como responsable del fichero “debe adoptar las medidas de seguridad a que se refiere el citado RD, entre las que destaca el documento de seguridad a que alude el artículo 8 del mentado Reglamento, del que en la demanda -hecho séptimo- se reconoce que se carece. Omisión que, como se razona en la resolución recurrida, resulta trascendente por cuanto dicho documento es de obligado cumplimiento para el personal con acceso a los datos y en él deben recogerse, entre otros aspectos, según el artículo 8.2.b. las "medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido por este Reglamento", que tienen por objeto garantizar la seguridad de los datos, que es el bien jurídico protegido por la infracción apreciada”. Omisión, que a su vez, es suficiente para colmar la conducta típica apreciada, descrita y sancionada en el artículo 44.3.h) de la LOPD: mantener los ficheros "... que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen".

Finalmente, en cuanto a la comisión de la tercera infracción: esto es, el artículo 11 de la LOPD (cesión inconsentida de datos personales), el alto Tribunal razona lo siguiente:

Que “concurre la excepción del art. 11.2.c) de la LOPD a la regla general de exigencia del consentimiento del interesado para la cesión de datos a un tercero, señalando que: "En el caso de autos, como acertadamente señala la resolución recurrida, el tratamiento de los datos personales de los pasajeros de Iberia corresponde únicamente a Iberia, sin que la devolución del equipaje perdido Implique necesariamente el tratamiento de datos por terceros”