1,08 millones de euros de multa a la productora de Gran Hermano (I Parte)
El Tribunal Supremo confirma la multa de 1,08 millones de euros a Zeppelin Televisión, la productora del conocido reality «Gran Hermano«.
Numerosos medios de comunicación, como Noticias-Tic, El País, El Economista, etc, se han hecho eco de esta noticia. No obstante, en todos estos casos, se ha obviado información interesante y que ayudaría a comprender realmente el alcance tanto de la multa como del propio derecho fundamental a la protección de datos; por ejemplo ¿sabíais que todo comenzó por culpa de unos piratas informáticos?.
En cualquier caso para comprender bien el final de una historia es necesario conocer sus inicios; por eso he optado por dividir este tema en dos artículos. El primero, este, se centrará en los hechos que motivaron la intervención de la Agencia Española de Protección de Datos, las infracciones que se cometieron y la correspondiente multa que la AEPD estimó oportuno imponer; veremos también ciertos comentarios despectivos que los psicólogos de Gran Hermano ponían en las solicitudes de aspirantes. En el siguiente artículo examinaremos que opina el Tribunal Supremo.
En resumen, vamos a ver ahora qué hizo mal Zeppelin y por qué.
Aunque parezca algo actual, debemos remontarnos al año 2000 para ver el origen de la millonaria sanción. En el verano de ese año, unos piratas informáticos que se autodenominaron «The Evil hackers from the Hell» colgaron en Internet una base de datos con información de cientos de aspirantes al programa, con una serie de datos personales que analizaremos más adelante; en concreto, la base de datos que colgaron la podeis descargar DESDE AQUI.
El hecho pasó casi desapercibido, pero algunos medios de comunicación especializados, como Hispasec, dedicaron un artículo entero al tema.
Al parecer, los hackers entraron al servidor de Zeppelin Televisión y sustrajeron un fichero con la base de datos que posteriormente colgarían en servidores de Alemania y Portugal para que cualquiera pudiera descargársela.
La propia AEPD constató desde sus ordenadores que era posible descargarse esta base de datos.
Vamos a ver ahora que datos tenía ese fichero: Nombre, Sexo, Edad, Número de Teléfono, Localidad, Provincia, etc, y Grado de Interés (Escala 0-7) mostrado respecto de cada uno de los siguientes 12 Factores Distintos de Motivación (F1-F12): por su carácter competitivo; porque me gustan las experiencias nuevas y diferentes; en lo que concierne a mi futura proyección social -quiero ser famoso-; exclusivamente por el premio en metálico; porque sé que puedo controlar perfectamente estas situaciones; por mi prestigio personal; porque me pagarán durante este tiempo -me parece interesante y no tengo otra cosa que hacer-; porque me gustan las experiencias y relaciones con la gente; porque me parece una experiencia que socialmente puede ser positiva; porque creo que puedo ayudar y conocer mejor a los demás y a mí mismo; porque voy a demostrar públicamente que soy el mejor,. porque quiero saber dónde está mi límite.
Unos meses antes de que esto ocurriera, Zeppelin TV procedió a inscribir en el Registro General de Protección de Datos un fichero donde se preveía la inclusión de estos datos para el casting correspondiente, declarando, que Zeppelin TV era la responsable de ese fichero.
Los inspectores de la AEPD investigaron directamente a la propia Zeppelin, llegando a concluir que (y aquí viene el meollo principal de la cuestión e información curiosa de como funcionan estos programas):
Respecto al proceso de selección de los concursantes en el programa Gran Hermano, se siguieron las siguientes fases:
FASE 1: Se promocionó el programa-concurso por televisión, haciendo referencia a un número de teléfono a través del que podían inscribirse los interesados. Este número de teléfono era gestionado por otra entidad, quien se encargaba de grabar los datos personales aportados por los aspirantes, utilizando para ello un cuestionario. En total se recibieron unas 7.000 llamadas, obteniéndose datos relativos a: nombre y apellidos, edad, teléfono, dirección, localidad, provincia, nacionalidad, nivel de estudios, profesión o trabajo, estado civil, número de hijos, carácter según el propio aspirante, hobbies, motivación, así como la respuesta a las preguntas: ¿le apoyaría su familia? ¿ha estado antes en un programa de televisión? ¿cuáles? Esta compañía también obtuvo las respuestas a un test de motivación, que indicaban el grado de acuerdo o desacuerdo de los participantes con cada una de doce frases que se les formulaban. Como resultado de esta fase se obtuvo un fichero conteniendo los datos citados, en número de registros inferior a 7.000, el cual fue remitido a la coordinadora del proyecto en Zeppelin, a través del correo electrónico sin encriptar, en distintos trozos a medida que se iban grabando los datos.
FASE 2: Haciendo uso del fichero elaborado a partir de la información grabada, un gabinete de psicólogos se encargó de seleccionar unas 2.681 personas, que fueron tipificadas por un sociologo, a partir de los datos proporcionados por Zeppelin, de acuerdo a su profesión declarada y nivel de estudios, siéndoles asignado un código denominado Clase Social Subjetiva (CSS). A continuación, el sociologo remitió a Zeppelin el fichero conteniendo la información obtenida y complementada con el citado código. Este envío se realizó en dos tandas: una primera incompleta con unos 1.800 registros y otra posterior completa conteniendo los 2.681 registros. En ningún caso se envió ni recibió la información encriptada. Teniendo como base este nuevo fichero, Zeppelin llamó telefónicamente a los participantes para convocarles a un casting, que se realizó en diversas poblaciones del territorio español en función de la localización geográfica del participante. En este casting se les sometió a una prueba de cámara/imagen y a los siguientes tests: Cuestionario Biográfico, Cuestionario de Hábitos y Preferencias, Cuestionario de Personalidad Propia y de la Personalidad de la Pareja Ideal, incluyendo éstos dos últimos una hoja de respuestas para su lectura mecánica. Estos tests fueron entregados por Zeppelin al sociologo el cual se encargó de mecanizarlos para su lectura óptica.
FASE 3: A partir de los resultados obtenidos en la fase anterior, Zeppelin y el gabinete de psicólogos convocaron nuevamente a unos 200 seleccionados con objeto de someterles a una nueva prueba de cámara/imagen y a un nuevo test de inteligencia y psicopatías, que contenía también dos hojas de respuestas para lectura mecánica. La lectura de estos tests fue mecanizada por otra entidad diferente a las aparecidas hasta ahora.
FASE 4: Con los resultados de la fase anterior, se seleccionó un grupo de 57 aspirantes, a los que se sometió a una entrevista personal en la que participó Zeppelin y el gabinete psicológico, resultando como seleccionadas finalmente 25 personas.
FASE 5: De estas 25 personas, el sociologo convocó nuevamente a 17, que cumplimentaron un test de inteligencia emocional. A su vez, Zeppelin sometió a esas 17 personas a un test de 100 preguntas diversas.
Bien, ya adelanto que en todas estas Fases se han infringido varios artículos de la normativa de protección de datos (falta de información, falta de consentimiento, cesiones de datos, etc), pero vayamos por partes.
En una segunda Inspección, se encontraron en poder de Zeppelin, además de los cuestionarios precitados, otros relativos a cuestionarios de hábitos y preferencias, cuestionario de personalidad propia, cuestionario de personalidad de la pareja ideal y cuestionario para foto y vídeo, todos ellos cumplimentados con datos de carácter personal y con un apartado para observaciones del redactor, rellenado a mano, conteniendo comentarios subjetivos, en su mayoría indecorosos, sobre la apariencia física, psíquica o de comportamiento de quien rellenaba los cuestionarios.
Era necesario precisar todo lo anterior para comprender las infracciones en las que se incurrió y que paso a detallar:
Los 1,08 millones de euros (180.000.000 de pesetas entonces) era la suma de un total de 4 infracciones:
1ª: 5.000.000 de pesetas por infracción del artículo 5 LOPD. Esto es, este artículo obliga a informar previo a la recogida de datos, de una serie de aspectos, como por ejemplo, la finalidad de la recogida de los datos, los destinatarios de los mismos, el responsable de ese fichero, su dirección, etc. Esto es, cuando una empresa nos solicita nuestros datos personales, nos tiene que informar de todo ANTES de que los recabe; de no hacerlo, infringe este artículo 5. Como Zeppelin no informó en ningún caso, ni cuando se empezaron a recabar los datos, ni cuando se fue acotando los interesados mediante nuevas entrevistas y demás, la Agencia termina en imponerle la multa de 5.000.000 de pesetas (30.000 euros). Esto supone una infracción leve, que lleva aparejada una multa de entre 600 euros y 60.000 euros.
2ª: 75.000.000 de pesetas por infracción del artículo 7.3. Esto es, por faltar el consentimiento para el tratamiento de ciertos datos. Quedó perfectamente acreditado, un denominado «Cuestionario de Hábitos», donde se pregunta si la izquierda es la única opción válida para la igualdad de las personas, si vota a partido de izquierdas, si puede vivir perfectamente sin Dios y sin religión, si es religioso practicante, si los homosexuales le ponen nervioso, si le gusta el sexo con personas del mismo sexo etc. y en el aparatado de «Preferencias», si se considera una persona religiosa, si es de derechas, etc. En el Biográfico se le pregunta por el tamaño de su trasero, y si es mujer, por el de su pecho. Todos estos datos fueron tratados informáticamente, y aunque es cierto que fueron dados de forma voluntaria por aquellas personas que deseaban participar en el concurso de Gran Hermano, se precisa, de acuerdo el con el art. 7.2 de la LOPD , el consentimiento «expreso y por escrito» del afectado para el tratamiento de los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. En ellos existe un apartado, con las observaciones del redactor escritas a mano que contienen comentarios subjetivos, poco respetuosos con las personas. Como muestra, basta el siguiente ejemplo: «No me gusta, tiene pinta de yonki».
También ha quedado acreditado el tratamiento relativo a la salud mental de los participantes en el proceso de selección por el gabinete de psicólogos, a quienes les sometió a pruebas de evaluación de la fuerza emocional, vulnerabilidad ante el estrés, informes psicológicos semanales, informe sociológicos quincenales, KBP.También ha quedado acreditado el tratamiento relativo a la salud mental de los participantes en el proceso de selección por el gabinete de psicólogos, a quienes les sometió a pruebas de evaluación de la fuerza emocional, vulnerabilidad ante el estrés, informes psicológicos semanales, informe sociológicos quincenales, KBP.
En definitiva, no bastaba con el consentimiento tácito de los afectados, sino que estos datos a los que la Ley otorga una protección especial, precisan para su tratamiento el consentimiento expreso de la persona.
Además, cuando en relación con estos datos, conforme al apartado 1 del art. 7, se proceda a recabar el consentimiento, se advertirá al interesado de su derecho a no prestarlo. Advertencia que en ningún momento se ha efectuado.
Total, que caso omiso al consentimiento por expreso que requiere facilitar ese tipo de datos (salvo excepciones que aquí no vienen al caso). Por tanto, multa de 75.000.000 de pesetas por una infracción muy grave. Las infracciones muy graves llevan aparejada una multa de entre 300.000 euros y 600.000 euros.
3ª: 75.000.000 de pesetas por infracción del artículo 11. Esto es, por ceder datos personales sin consentimiento. Si acudimos al art. 11 de dicha Ley, se dispone que «Los datos de carácter personal objeto del tratamiento automatizado solo podrán ser cedidos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario con el previo consentimiento del interesado».
A continuación dicho precepto enumera una serie de supuestos en los que no es preciso el consentimiento: cuando esté autorizado en una Ley; cuando se trate de datos accesibles al público; cuando el establecimiento del fichero automatizado responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con fichero de tercero. En este caso la cesión solo será legítima cuando se limite a la finalidad que lo justifique; cuando la cesión se haga al defensor del Pueblo, Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de sus funciones; y cuando se trata de datos de carácter personal relativos a la salud, en los caso que se citan.
De acuerdo con el art. 12 de la Ley Orgánica de 15/99, que contempla la prestación de servicios de tratamiento automatizado de datos por cuenta de tercero, estaría amparada la relación entre Zeppelin y el gabinete, en virtud del contrato suscrito entre ellos, en fecha 11 de febrero, de 2000 para la selección de concursantes. Y ello es completamente natural, porque si esta entidad ha de realizar los trabajos de selección estipulados en el contrato, es preciso que Zeppelin previamente le ceda aquellos datos de concursantes obtenidos de las primeras selecciones.
Así pues, la cesión de datos al gabinete era totalmente legítima, pero no lo era la realizada a los sociologos correspondientes con los que Zeppelin no tenía relación jurídica alguna porque con ellos no había firmado contrato alguno, y en ese caso se precisaba el pertinente consentimiento de los afectados, que por supuesto no existía. Por tanto, multa de 75.000.000 de pesetas por una infracción muy grave. Las infracciones muy graves llevan aparejada una multa de entre 300.000 euros y 600.000 euros.
4ª: 25.000.000 de pesetas por infracción del artícuo 9. Esto es, por no disponer de las medidas de seguridad adecuadas para evitar la fuga de datos. No entraremos ahora en catalogar todas las infracciones que se pueden derivar indirectamente de este artículo, sólo decir que como quedó más que probado, fue posible descargarse la base de datos de la que hablamos al principio y que además no tenía contraseña alguna. Las infracciones del artículo 9 se tipifican como graves, con multa de entre 60.000 euros y 300.000 euros.
En resumen, Zeppelin no informó del artículo 5 LOPD en la recogida de datos, no solicitó el consentimiento para el tratamiento de datos especialmente protegidos, no solicitó consentimiento para la cesión de los datos de los aspirantes a sociologos y demás, y por último no adoptó las medidas de seguridad necesarias para evitar el acceso no autorizado a los ficheros.
Aunque finalmente se sancionó con 1.08 millones de euros, la multa final, de aplicarse en su escala más alta, podría haber ascendido a algo más de 1,5 millones de euros.
Comments
Andy Ramos
Excelente post Samuel, ciertamente fue así lo que ocurrió y me alegra ver tanta precisión después de las noticias vagas y escuetas que han salido estos días en los medios digitales.
Aunque ha quedado demostrada la culpabilidad de Zeppelin, también se tiene la sensación de que ha servido como chivo espiatorio para la aplicación de una ley a los que pocos hacían caso (incluso hoy es bastante ignorada en el entorno televisivo).
Espero con inquietud la segunda parte 🙂
Un saludo
Antonio
Magnífico post; riguroso y documentado. Enhorabuena Samuel.
Samuel
Saludos Andy y Antonio.
Gracias por vuestros simpáticos comentarios!; Andy, yo opino como tú, esta sentencia está siendo «ejemplar» (o al menos creo que lo intenta ser) por dos motivos: la cuantía total de la multa y el contexto en que se produce (aspirantes a Gran Hermano).
Lamentablemente todavía se hace poco caso, como bien comentas, a esta normativa, a pesar de las elevadas multas que se pueden llegar a imponer 🙁 y de lo beneficioso para la sociedad en general que sería un cumplimiento y conocimiento generalizado.
Un saludo compañeros.
Manuel Salanova
Hola!
Esto en teoria tendría que ser por cada edicion de Gran Hermano ¿No?.
Es que me jugaría la mano derecha a que en las sucesivas ediciones tampoco lo tendrían corregido.
Saludos,
Samuel
Hola Manuel!. Efectivamente, de producirse los mismos hechos se repetiría la historia, aunque yo me imagino (y quizá sea mucho imaginar) que 1,08 millones de euros deben suponer ser lo suficientemente formativos como para no caer dos veces en la misma piedra, pero repito, que quizá sea imaginar demasiado.
Andy Ramos
Ahora en Zeppelín tienen muchísimo cuidado con el tratamiento de todos los datos personales de los concursantes de todos los reality shows. Se hacen auditorías regularmente y todo el personal sabe que al ser una productora de televisión y con repercusión pública, están en el ojo del huracán en todo momento.
Eso no quiere decir que los abogados no tengamos que recordar en todo momento lo delicado del tema, sobretodo después de esta sentencia del Supremo.
Lo que sí está claro es que en sucesivas ediciones, el tema de la protección de datos ha sido respetado (y vigilado) escrupulosamente.
Un saludo.
Blogmaster
Magnifico post, directo a Fresqui
Enhorabuena
bydiox
Excelente artículo, simplemente genial.
Ahora me explico muchas cosas… muchas.
Esperando la segunda parte ^^
Pablo
Comentas que se puede descargar la base de datos para comprobar que es cierto, pero…yo sólo veo que te puedes descargar la Ley Orgánica. ¿Confusión?
Saludos,
Marta
Pablo creo que el autor del artÃculo ha querido deliberadamente âengañarnosâ? para que nos bajásemos la ley orgánica, esto es, no se ha confundido y seguramente ahora hay cientos de usuarios que tienen una ley orgánica que directamente les afecta en su propio ordenador, que de otra forma seguramente ni se habrÃan molestado en descargársela; seamos sinceros, si el autor hubiera puesto âdescargar de aquà la Ley Orgánicaâ? ¿cuántos lo habrÃamos hecho? . Una interesante estrategia por su parte, si es que realmente no es un error claro. Además, serÃa muy extraño que el propio autor que nos habla de protección de datos infrinja él la normativa colgando y permitiendo la descarga de la base de datos.
De todas formas, como ya han comentado antes, es un excelente artÃculo bien documentado y que a mà por lo menos me ha enseñado varias cosas.
Samuel: creo que ya hay más de uno que esperamos la segunda parte del âculebrónâ? con impaciencia. Un saludo y felicidades.
Samuel
Hola. Efectivamente, Marta ha dado en el clavo. La base de datos no la puedo colgar porque estaría infringiendo varios artículos de la Ley Orgánica de Protección de Datos; pero bueno, ya que os habeis descargado la ley no la borreis, quizá algún día tengais que utilizarla.
Gracias a todos por vuestros agradables comentarios.
Eva
Gracias por el artículo, soy profesora de Bases de datos y cuando expliqué este tema mis alumnos me miraron como si estuviera hablando de los extraterrestres… así que se lo voy a leer en clase para que vean que no es broma…
Felicidades por lo bien especificado que está todo.
Pedro
Gracias por el post Samuel. Estamos creando una empresa y tus comentarios nos están ayudando mucho.
Un saludo.
espinete
Mola mazo…Buen truco…
Alberto
Te felicito Samuel por el articulo, muy bien detallado, pero te recomendaria que te regularizaras con la L.O.P.D. ya que desde aquí ofreces bajar una base de datos de caracter personal, yo ni he intentado bajarla, no me la juego, me dedico a la consultoria en protección de datos, ya me entiendes…
Un saludo
Samuel Parra
Hola Alberto. Échale un vistazo al comentario de Pablo y Marta de 14 de mayo 🙂 y luego bájate la base de datos si quieres.
Cuando me he «molestado» en inscribir el correspondiente fichero en la AEPD y de cumplir con precisión con el art. 5 LOPD ¿de verdad pensabas que iba a vulnerar de esta forma la LOPD? jejeje.