60.000 Euros de multa por no aportar el Documento de Seguridad a la Agencia Española de Protección de Datos
Categorías: Agencia Proteccion Datos / Jurisprudencia / Protección de Datos
En la web de la Agencia Española de Protección de Datos se ponen a disposición de todos los ciudadanos las resoluciones dictadas por dicha Agencia. No viene mal, de vez en cuando, revisar alguna de esas resoluciones para encontrarnos con hechos que ya sea por falta de interés, desconocimiento o por dejadez misma del propio denunciado, producen unas consecuencias mucho más graves para el denunciado que la propia denuncia presentada. A modo de ejemplo, sirvase la siguiente resolución:
Un particular presentó denuncia ante la Agencia porque en la web de una empresa se recaban datos de carácter personal sin incluir ninguna cláusula legal que informase sobre la existencia de un fichero, su finalidad, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Ante esta denuncia la Agencia comprueba la veracidad de la denuncia y requiere al denunciado para que justifique el procedimiento seguido para el cumplimiento del «Derecho de Información en la recogida de datos» (art. 5 LOPD) y para que aportase copia de Documento de Seguridad.
La empresa denunciada no realiza ninguna alegación, ni aporta copia del «Documento de seguridad» aunque la Agencia se lo requiriese expresamente 2 veces durante el año 2005.
Finalmente la Agencia impone a la empresa 2 sanciones, la primera de 601,01 € por incumplimiento del artículo 5.1 (por no incluir ninguna advertencia legal en la web sobre la finalidad de los datos recabados) y la segunda y más grave de 60.101, 21 € por no aportar el Documento de Seguridad lo que supone según la Agencia una vulneración del principio de seguridad de los datos.
Seguramente el ánimo de la Agencia no hubiese sido el mismo si los responsables de la empresa no hubiesen dado «la callada» por respuesta y hubiesen aportado un Documento de Seguridad en alguna de las ocasiones requeridas. Aunque la empresa no contase con esa documentación durante el periodo de 3 meses existentes entre ambos requerimientos podría haberse informado y cumplir con la normativa de protección de datos de carácter personal.