Nadie puede alegar en su favor su propia torpeza
Cuatro resoluciones de la AEPD muy similares nos permiten entender, en materia de protección de datos y con un ejemplo real, la diferencia entre responsable del fichero y responsable del tratamiento. Además, en ellas se invoca un principio del derecho curioso, conocido como nemo auditur propriam turpitudinem allegans, o lo que es lo mismo, nadie puede alegar en su favor su propia torpeza.
Durante este año 2016, la Agencia Española de Protección de Datos (AEPD) ha dictado, entre otras, 4 resoluciones muy parecidas todas ellas contra las mismas empresas y motivadas por la recepción de publicidad postal en el buzón de los afectados denunciantes. Ojo, no estoy hablando de comunicaciones comerciales por vía electrónica (spam al email), sino publicidad en el buzón de casa, pero dirigida a una persona concreta con nombre y apellidos.
Los hechos que motivan los procedimientos sancionadores, como digo, son muy simples y en todos los casos hacen referencia a las mismas 2 empresas: el afectado denuncia la recepción, en el buzón de su vivienda, de una carta de contenido comercial o publicitario, dirigida a su nombre y en el que además figura su domicilio. Por tanto no estamos en el caso del clásico buzoneo indiscriminado. En la carta personalizada se convoca al destinatario a un acto comercial a celebrar en un hotel de su localidad.
El destinatario de la carta, ignorando de dónde ha obtenido el remitente sus datos personales, presenta denuncia a la AEPD, comenzando así una interesante investigación.
Pero antes de entrar en el caso concreto, es necesario tener algunos conceptos claros.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) define en el artículo 3 el responsable del fichero o tratamiento como la persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Además, se define dato personal como cualquier información concerniente a personas físicas identificadas o identificables.
Por su parte, el artículo 6.1 de la LOPD contiene una cláusula genérica por la que se establece necesario el consentimiento del titular de los datos personales para su tratamiento. Así lo expresa el precepto legal: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. A continuación, el artículo 6.2 enumera algunas excepciones a este régimen general que no son aplicables a este caso.
Por supuesto, el nombre y apellidos así como el domicilio completo de una persona se consideran «datos de carácter personal», por lo que, salvo que alguna ley disponga otra cosa (que no es el caso), para tratar estos datos personales será necesario el consentimiento de su titular.
Los denunciantes (los destinatarios de las cartas) manifestaron que no han otorgado su consentimiento para el tratamiento de sus datos personales para la remisión de comunicaciones promocionales por vía postal, recayendo por tanto en el responsable de los envíos probar o bien que se dispone del consentimiento o que es posible aplicar alguna excepción a ese consentimiento.
Para no extenderme demasiado -menos mal ¿eh?-, indicar simplemente que por un lado las empresas sancionadas afirman que los datos los habían obtenido de las páginas blancas, los listines telefónicos. En efecto, el artículo 6.2 establece que no será preciso el consentimiento de los titulares de los datos personales cuando éstos se encuentren en «fuentes accesibles al público». Las fuentes accesibles al público están concretadas en la LOPD y una de ellas es precisamente los listines telefónicos confeccionados según la normativa específica correspondiente. Si los datos de los denunciantes estuvieran en las páginas blancas no sería necesario obtener su consentimiento, pero no era el caso. Los denunciantes no figuraban en los listines telefónicos.
No existiendo consentimiento ni excepción aplicable, nos encontramos ante la infracción del artículo 6.1 (tratar datos sin consentimiento) pero si aquí acabara la historia sería una más de tantas en la AEPD.
Pero estas resoluciones tienen algo especial, y antes de explicarlo quiero poner un ejemplo. Imagina que tienes una empresa que quiere realizar una campaña de envío de publicidad al buzón, por ejemplo, de las personas que vivan en una localidad concreta de Madrid. Tu empresa contrata a otra empresa para que haga el filtro, porque tu empresa no tiene ni idea de cómo hacer esos envíos ni tiene los datos de los destinatarios; a esta empresa le pedirías algo así: – Oiga, quiero enviar unas cartas publicitarias a la gente que viva en una localidad concreta de Madrid, yo te mando el contenido de la carta y ya tu seleccionas los destinatarios según tus bases de datos.
La empresa que va a realizar el envío aplica el filtro (la localidad deseada por su cliente) a su base de datos y le salen 400 destinatarios, destinatarios que tú desconoces por completo, porque tú simplemente le vas a dar el contenido de la publicidad para hacer los sobres y no sabes a qué personas concretas se enviarán, no tienes acceso a la base de datos ni al resultado del filtro posterior aplicado según tu criterio.
En este escenario entra en juego el artículo 46 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), que bajo el título Tratamiento de datos en campañas publicitarias, dice así el apartado 2.a:
2. En caso de que una entidad contrate o encomiende a terceros la realización de una determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de determinados datos, se aplicarán las siguientes normas:
a) Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.
Los parámetros identificativos son las variables utilizadas para identificar el público objetivo o destinatario de una campaña comercial que permitan acotar los destinatarios individuales de la misma (artículo 46.4 RDLOPD).
En este ejemplo, la empresa que tiene la base de datos con miles de registros es la figura conocida como «responsable del fichero», porque es quién tiene la base de datos.
Esa otra empresa que le ha especificado qué concretos filtros aplicar (la gente de la localidad concreta de Madrid) se convierte en «responsable del tratamiento», porque determina unos parámetros concretos del tratamiento de los datos sobre la base de datos del «responsable del fichero», y esto, ojo, sin que el «responsable del tratamiento» llegue a tener conocimiento de los concretos destinatarios que recibirán la publicidad.
Pues esto es justo lo que ha sucedido en estos 4 procedimientos sancionadores que afectan a 2 concretas empresas: una empresa que tiene una base de datos con datos personales para realizar envíos publicitarios y otra empresa que le facilita unos parámetros concretos para acotar los destinatarios (la localidad en este caso).
Dado que ninguna de las dos empresas probaron que disponían del consentimiento de los destinatarios para remitirles publicidad, se le aplica el régimen sancionador correspondiente a ambos, imponiendo a cada una de estas dos empresas 3 multas por un valor de 60 000 euros cada una y otra por cuantía de 40001 euros; en total, 440 000 euros en multas por enviar cartas personalizadas sin consentimiento de los destinatarios.
Vayamos ahora al nemo auditur propriam turpitudinem allegans, que jugó su papel en estas resoluciones sancionadoras.
Este principio, que como digo viene a significar que la torpeza de uno mismo no puede ser alegada en su propia defensa, tiene varias vertientes. No me voy a detener mucho en explicar la teoría de este principio, pero a título ilustrativo y como ejemplo en el ámbito del derecho civil, merece la pena ver el artículo 1305 y 1306 del Código Civil que, dentro de la nulidad de los contratos, el 1306 nos dice que si el hecho en que consiste la causa torpe no constituyere delito ni falta, cuando la culpa esté de parte de ambos contratantes, ninguno de ellos podrá repetir lo que hubiera dado a virtud del contrato, ni reclamar el cumplimiento de lo que el otro hubiese ofrecido.
Es por tanto, una exclusión de la acción de repetición por causa torpe, que cuando está en ambos lados, tiene el efecto descrito: ninguno de ellos puede invocar su torpeza para repetir contra el otro.
En el ámbito administrativo y en el caso concreto de estas resoluciones sancionadoras, nos encontramos con que una de las empresas sancionadas pretendía invocar la nulidad del procedimiento por indefensión, motivada por el hecho de que no ha podido acceder a tiempo al expediente administrativo en fase de alegaciones, por lo que, sin poder conocer de qué se le acusaba, tuvo que hacer su escrito de alegaciones a ciegas, lo cual, afirma, le ha colocado en una situación de indefensión. Según la empresa sancionada, solicitó copia del expediente pero la AEPD tardó mucho en responderle y se le pasaba el plazo para alegar.
La primera torpeza que comete la empresa es entender que, cuando se envía un escrito a la Administración, el día a tener en cuenta es el de la fecha en la que se presenta el escrito en la oficina de correos; esto es un error, ya que la fecha relevante no es cuando se presenta el escrito en correos sino cuando la carta tiene entrada en la Administración actuante de destino, en este caso la AEPD. Así, se quejaba la empresa que el día 8 presentó en correos la solicitud de copia del expediente y la AEPD no se lo envió hasta más de una semana después, el día 16, cuando en realidad la empresa presentó el escrito el día 8, salió de la oficina de correos de origen el día 9 y no llegó a la AEPD hasta el día 14, enviando la copia del expediente el día 16 (por lo que solo transcurrieron 2 días desde que llegó la petición del expediente hasta que se la envió al solicitante).
La segunda torpeza de la empresa es que, en el mismo escrito de solicitud de copia del expediente, podría haber solicitado la ampliación del plazo para alegaciones, en virtud de lo dispuesto en el artículo 49 de la todavía vigente Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, evitando así el vencimiento del plazo sin haber recibido la copia. Pero la empresa sancionada no lo hizo.
La tercera torpeza es que, en la siguiente fase de alegaciones tras la notificación de la propuesta de resolución sancionadora, solicitó la ampliación del plazo el mismo día que vencía ese plazo (y eso a pesar de que hubo varios días festivos inhábiles entre medias) siendo materialmente imposible que se resuelva sobre su concesión dentro de ese plazo, tal como exige el art. 49.3; y como dice la propia AEPD:
A mayor abundamiento, (la empresa) es plenamente conocedora de esta determinación legal, tanto es así que lo alega en el escrito de alegaciones (…)la normativa del procedimiento administrativo sólo permite solicitar y conceder dicha ampliación cuando ambos tengan lugar dentro del plazo inicial concedido.
A pesar de todo ello, la empresa sancionada alegaba la indefensión descrita por no tener copia del expediente a tiempo, pero la AEPD invoca, por primera vez que me conste, el principio antes señalado de nemo auditur propriam turpitudinem allegans, para rechazar la alegación de nulidad por indefensión: nadie puede alegar en su favor su propia torpeza o culpa.
De todo lo anterior podemos extraer dos conclusiones: cuidado al contratar los servicios de empresas para realizar campañas de publicidad que impliquen el tratamiento de datos personales y ojo a los plazos.
Los procedimientos sancionadores comentados son: PS/00435/2015, PS/00436/2015, PS/00536/2015 y PS/00568/2015
En el próximo post de este blog… ¿Cuánto ha costado la construcción del tranvía de Murcia? ¿Es rentable el tranvía en Murcia? ¿Cuánto tiene previsto subir el precio del tranvía en los próximos años? Aplico la ley de transparencia murciana para acceder a datos económicos, contables y de utilización del tranvía de Murcia.
Comments
Leopoldo Capella
Realmente me ha sorprendido la sanción a la empresa promotora del buzoneo.
¿Responsable del tratamiento sin ni tan siquiera tener un solo dato de carácter personal?, el art 46 del RDLOPD al que haces referencia es claro.
Solo comento tu post porque me ha llamado la atención y nunca se me había planteado.
Gracias.
Ramon R
hola leopoldo,
si te lees el comentario que puse mas abajo lo comprenderas.
la empresa responsable del buzoneo es la que determina los destinatarios y por eso le convierte en responsable del tratamiento. otra cosa es que por contrato diga que es la empresa pantalla -MSP- pero como se dice en mi tierra ·el papel lo aguanta todo»
intentaron que pareciera que los parametros los hacia el resposable de la base de datos y si hubiera sido asi, dice la AEPD que hbuieran podido justificarlo de algun modo y por lo visto nada tenian.
un saludo.
Pepe
El abogado de la Empresa se ha cubierto de gloria…
Creo que ya tiene suficientes méritos para pasarse a la política.
Consejero de las alcaldías de Madrid, Barcelona y Cádiz, para hacer juego.
(Animus iocandi, of course).
maikel
Si un desconocido te manda una carta a tu nombre y domicilio……¿seria aplicable esto? ¿hay que dar permiso expreso para recivir correspondencia de desconocidos no habiendo una finalidad publicitaria?
.maikel
@SrImportante
Si no tiene finalidad publicitaria encubriendo carácter comercial, pues no, porque la LOPD lo ampara en su Artículo 2.2:
«El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica NO será de aplicación:
a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.»
Aunque habría que analizar el caso concreto si también podría entrar en juego el art. 4 de la LOPD sobre el principio de calidad de datos.
Ángel
Muy interesante como de costumbre, Samuel.
En realidad estas 4 sanciones e investigaciones son “una misma historia”. De hecho, en algún caso la empresa respondió a la AEPD con el mismo escrito a varios procedimientos.
Otros hechos curiosos de estos casos son que la ambas empresas mienten a la Agencia a la hora de indicar los procesos que siguen, que PLENISÁN pidió datos a posteriori para justificar, la presencia de MEYDIS y sus empleados, como si MSP fuera una empresa fantasma, o que PLENISÁN llevaba meses recibiendo correos electrónicos quejándose del uso de los datos, informando de personas fallecidas y oponiéndose al tratamiento (que no remitieron al responsable del fichero), pese a todo lo cual indice que contrataron a MSP «porque ofrece garantías de legalidad de los datos del fichero.» y «que no podía deducirse la ilegalidad del fichero.»
Aclarar no obstante que no son 4 multas (dobles) de 60.000 €, sino que en la primera (PS/00435/2015) la cuantía de las multas que les impusieron fue de 40.001 € (el mínimo para sanciones graves).
Saludos
Samuel Parra
Gracias Ángel. Sí, en esta historia había un montón de elementos dignos de comentar, pero ya se me hacía muy largo el post (de hecho a medias estuve pensando en hacer un doble, porque quería profundizar un poco más en el principio torpezedil).
Voy a corregir lo de los importes, que en efecto me he equivocado, gracias por darte cuenta y avisarme 🙂
Ramon R
ver las Resoluciones 121, 127 y 128 de 2016, donde por fin se aclara todo lo que ocurre con este sector. siempre hay una empresa pantalla, en ese caso MSP que sirve a un supuesto encargado de tratamiento- MEYS- y que sirve a un beneficiario de la publicidad- PLENISAN.-
MEYS es una entidad que tiene muchas bases de datos por su actividad publicitaria, hace campañas electorales, etc.,. decide crear una empresa pantalla MSP para sacar mayor rentabilidad a los datos que tiene y que si es sancionada no pase nada. a su vez MSP segun contrato, fija los parametros para PLENISAN, de modo que ni MEYS ni PLENISAN puedan ser sancionados.
sin embargo parece que les han descubierto. y que venian haciendolo hace mas de diez años con empresas pantalla como MEGA DATA o TODO DATA, ver todas las resoluciones que hay de estas en la pag de la AEPD.
todo parece que era obra del despacho de abogados en teoria -experto en proteccion de daos- pero finalmente ha caido su entramado- no contaba con el testimonio de una empleada de un cliente ni con la inspeccion en la que se coge un correo electronico que hace saltar la liebre.
creo que estan todas recurridas en la AN, puesto que no se van a comer 8 sanciones de 60.000 euros los de MEYS, PLENISAN ya esta en concurso de acreedores y MSP como es la pantalla no pasa nada.
PLENISAN seguira funcionando con otro nombre, y MSP y su administrador tendran que estar atentos al aviso a navegantes que dieron el otro dia en al AEPD, ya que van a ir a por las personas fisicas que consten como adminitradores -testaferros- de estas empresas para que no les salga nada barato este negocio.
MEYS supongo que intentara con lo suyo y que afinara mas los contratos y las comunicaciones para la proxima, en cuanto a que volvera a ganarles la espalda a AEPD hasta qye éstos descubran de nuevo sus tacticas.
por cierto felicidades por el blog, somos un despacho nuevo y nos sirves muchas veces de guia.
saludos.
Ramon R
http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2016/common/pdfs/PS-00127-2016_Resolucion-de-fecha-29-08-2016_Art-ii-culo-6-LOPD_Recurrida.pdf
creo que todas son del mismo instructor, una maquina.
Ramon R
http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2016/common/pdfs/PS-00128-2016_Resolucion-de-fecha-06-09-2016_Art-ii-culo-6-LOPD_Recurrida.pdf
@SrImportante
Mira que leyendo el artículo, me vino a la mente esas timoempresas al leer lo de «acto comercial a celebrar en un hotel…», hasta ver aquí en los comentarios veo que son los mismos pesados que a mi padre no le paran de enviar cartas frecuentemente regalando primero quesos, luego aceita de oliva y ¡ahora juegos de sartenes! ( http://i.imgur.com/EuZa6wvl.jpg ) con la presunta apariencia de «hacerte la cama» para que asistas a un hotel, y si eres un poco desconfiado partiendo de que nadie regala nada a cambio de nada, parece que es el señuelo ideal para meterte en una secta o timo piramidal Made in Spain.
Veo que por falta de tiempo y tantos frentes abiertos que tengo se me han adelantado y no he podido ser yo el primero en ajusticiarlos LOPDativamente, pero al menos sé que cuando tenga un rato contribuiré con la AEPD y serán agraciados en llevarse otro «premio en metálico» y no precisamente serán sartenes ;).
Eso sí… espero que hayan aprendido la lección en no hacerse los torpes o los nomino de cabeza a los «Merma Awards».
Samuel Parra
Vaya, parece que ese tipo de comunicaciones comerciales son más frecuentes de lo que imaginaba.
Feinmann
Lo que me parece extraño es que no se vean mas denuncias como estas. Eso es que se denuncia poco.
Raquel Diez
Siempre aprendo algo nuevo contigo. Gracias. ?
Samuel Parra
Gracias a ti por leerme Raquel 🙂
Feinmann
En cristiano, que hacerse el tonto no cuela.
Pedro
Saludos mi nombre es Pedro.
Hay dos nuevas resoluciones de fecha ambas 28/07/16 en las que la Agpd desarrolla ,para mi punto de vista un buen trabajo de investigación y destapa lo que conocemos como empresas pantalla.
El principio del nemo auditur propriam turpitudinem allegans es un intento más para confundir,retrasar,o invalidar la resolución , que como vemos tiene poca eficacia para sus propósitos.( No me consta como recurridas )
Todo esto viene de lejos ,me refiero a la utilización de los datos de nuestros mayores, para timarlos.
Edad de 60 a 76 años ,nivel medio o medio/bajo viudos/as etc…
De la lectura de estas dos resoluciones ( las dos son igualmente desarrolladas y con los mismos actores ) se entiende como trafican con los datos,implican y sancionan a una empresa importante en el sector como es Meydis S.L . y como no podía ser menos se nombra de vez en cuando a la agencia de recobros Multigestión Iberia , ya sancionada o implicada en varios procedimientos sancionadores alguno de ellos el de la famosa empresa Saberlotodo Internet.
No tiene que ver mucho con el hilo de este post pero me ha parecido bien comentarlo y agradezco la oportunidad de poderlo hacer.
http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2016/common/pdfs/PS-00053-2016_Resolucion-de-fecha-28-07-2016_Art-ii-culo-6-LOPD.pdf
http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2016/common/pdfs/PS-00047-2016_Resolucion-de-fecha-28-07-2016_Art-ii-culo-6-LOPD.pdf
Feinmann
¡Vaya tela! 98 páginas de resolución, nunca había visto una resolución de la Agencia tan extensa. Tambien se echa uno unas risas leyéndola
<>
Haciendo pasar a los inspectores al recibidor de la entidad, la empleada pasa tras una puerta. Momentos posteriores aparece nuevamente e informa:
<>
Los inspectores reflejan como les están mintiendo de forma descarada.
Ramon R
otra de los «sucesores» de SABERLOTODO.
http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2016/common/pdfs/PS-00156-2016_Resolucion-de-fecha-28-09-2016_Art-ii-culo-37.1.f–6-LOPD.pdf
Jon
¿La persona denunciante recibe indemnización o simplemente le impone multa a la entidad que denuncia?