22 de abril de 2010

// // Dejar un Comentario

Protección de datos personales: Iberia sancionada por mostrar los datos que se referían a pasajeros que habían perdido su equipaje





Se ha publicado la reciente sentencia del Tribunal Supremo de fecha 23 de marzo de 2010 (Id Cendoj: 28079130062010100133) dictada por la Sala Tercera de lo Contencioso-Administrativo, mediante la cual se condena a la entidad Iberia, Líneas Aéreas de España, S.A. (en adelante entidad Iberia) al pago de determinadas multas económicas por contravenir la legislación sobre protección de datos personales.

Esta sentencia trae su causa de la impugnación de la resolución de la Agencia Española de Protección de Datos de fecha 8 de julio de 2004, en la cual se interponía determinadas sanciones a la entidad Iberia. En su virtud, se dictó por la Audiencia Nacional sentencia desestimatoria de fecha 16 de marzo de 2006 contra la citada resolución.

La meritada resolución de la AEPD condenó a la entidad Iberia, por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha Ley, una multa de 601,01 €. 2. Por una infracción del artículo 9 de la LOPD en relación con el artículo 8 del RD 994/1999, de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, tipificada como grave en el artículo 44.3.h) una multa de 60.101,21 €. Y, por una infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de la citada Ley, una multa de 300.506,05 €.

Los hechos denunciados se remontan al mes de agosto de 2002, fecha en que aparecieron en las inmediaciones del aeropuerto de El Prat de Llobregat en Barcelona diversos documentos pertenecientes a la compañía Iberia en cuyo encabezamiento consta como texto "Orden de Entrega de Equipaje”. En dichos documentos figuraban datos personales de pasajeros de líneas aéreas como: nombre, apellidos, domicilio, teléfono, número de vuelo y fecha, anotados de forma manuscrita y procedían de un tratamiento automatizado previo realizado por los empleados de Iberia y que procedían de la entidad contratada por Iberia para el reparto a domicilio de los equipajes extraviados

Obviamente, estos datos personales fueron facilitados a Iberia por los pasajeros en el momento de la contratación del pasaje, los cuales son registrados en el sistema de información de Iberia y el tratamiento de estos datos para la gestión de equipajes extraviados no se encontraba declarado en el Registro General de Protección de Datos (RGPD). Por otra parte, la entidad Iberia tenía suscrito un contrato de prestación de servicios con otra entidad, en virtud del cual la primera -como responsable del tratamiento- encarga a la segunda el reparto de los equipajes extraviados a domicilio y facilitar a ésta los datos personales de los pasajeros, junto con el equipaje, si que dicho contrato tuviera las cláusulas reguladoras de las medidas de seguridad a tener en cuenta en el tratamiento de los datos personales facilitados.

En cuanto a la comisión de la primera infracción: esto es, el artículo 26 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (ausencia del fichero en el RGPD) el Tribunal Supremo razona lo siguiente:

Si Iberia es la responsable del tratamiento de los datos personales de sus viajeros asociados a las incidencias que se produzcan en relación con la pérdida de sus equipajes, es ella la obligada a declarar el fichero o tratamiento de los datos ante el RGPD, según lo dispuesto en el artículo 26 LOPD que regula la notificación e inscripción registral de los ficheros de titularidad privada, omisión que está sancionada como infracción leve, cuando no sea constitutiva de infracción grave, en el artículo 44.2.c) de la LOPD apreciado por la resolución recurrida

En lo referente a la segunda infracción: esto es, artículo 9 de la LOPD (seguridad de los datos personales) señala acertadamente el Tribunal que:

“La entidad iberia, como responsable del fichero “debe adoptar las medidas de seguridad a que se refiere el citado RD, entre las que destaca el documento de seguridad a que alude el artículo 8 del mentado Reglamento, del que en la demanda -hecho séptimo- se reconoce que se carece. Omisión que, como se razona en la resolución recurrida, resulta trascendente por cuanto dicho documento es de obligado cumplimiento para el personal con acceso a los datos y en él deben recogerse, entre otros aspectos, según el artículo 8.2.b. las "medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido por este Reglamento", que tienen por objeto garantizar la seguridad de los datos, que es el bien jurídico protegido por la infracción apreciada”. Omisión, que a su vez, es suficiente para colmar la conducta típica apreciada, descrita y sancionada en el artículo 44.3.h) de la LOPD: mantener los ficheros "... que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen".

Finalmente, en cuanto a la comisión de la tercera infracción: esto es, el artículo 11 de la LOPD (cesión inconsentida de datos personales), el alto Tribunal razona lo siguiente:

Que “concurre la excepción del art. 11.2.c) de la LOPD a la regla general de exigencia del consentimiento del interesado para la cesión de datos a un tercero, señalando que: "En el caso de autos, como acertadamente señala la resolución recurrida, el tratamiento de los datos personales de los pasajeros de Iberia corresponde únicamente a Iberia, sin que la devolución del equipaje perdido Implique necesariamente el tratamiento de datos por terceros”

0 comentarios:

Publicar un comentario en la entrada


Normas Para Comentar

1.-Utiliza el buscador para encontrar cualquier contenido alojado en el blog. 2.-Todos los comentarios son supervisados por el administrador del blog. 3.-Si quieres preguntar o realizar cualquier consulta en los comentarios, asegúrate que la misma guarda relación con la entrada publicada. 4.-Intentar exponer brevemente la consulta de forma clara y ordenada. 5.-Si prefieres mandar un email, situado en la pestaña contacto, intenta exponer la consulta de forma clara y ordenada y aportando los hechos necesarios para su comprensión. 6.-Queda terminantemente prohibido el uso incorrecto del lenguaje ni el empleo de lenguaje SMS. No escribas con mayúsculas. 7.-Queda terminantemente prohibido el SPAM. Este sitio usa la etiqueta “rel=”nofollow” a todos los enlaces externos. 8.-Si no se cumplen estrictamente estas normas el comentario será ignorado y/o borrado. Respetando estas normas ganamos todos, conseguimos un mayor orden y ayuda para los nuevos visitantes. Gracias por tu comprensión.