El expresidente del Real Madrid C.F. sancionado con 360.000 euros por vulnerar la Ley de Protección de Datos
El ex presidente del Real Madrid Club de Fútbol fue sancionado con una multa de 360.000 euros al infringir dos artículos de la Ley Orgánica de Protección de Datos.
Este es un ejemplo claro de como la normativa en materia de protección de datos así como su régimen sancionador puede ser aplicado no sólo a personas jurídicas (empresas por ejemplo) sino también a personas físicas en lo relativo al tratamiento de datos personales.
En el presente caso, se trataron y cedieron a terceros sin consentimiento datos relativos a socios del Real Madrid C.F. por parte de su expresidente.
Vaya por delante comentar que no me considero fan de ningún equipo de fútbol, en todo caso, y por afinidad vecinal, lo sería del Real Murcia. Digo esto para que no se entienda esta entrada del blog como un ataque personal al Real Madrid o a sus directivos.
Entrando en materia, la denuncia tiene lugar el 18/06/2004 presentada y firmada por dos afectados distintos. En la denuncia se pone de manifiesto que se han tratados sus datos personales sin el debido consentimiento al recibir una carta en el domicilio de ambos, firmada por el expresidente del Real Madrid (en adelante lo vamos a llamar X.X.X.), donde manifiesta hallarse meditando “…la decisión de volver a presentar mi candidatura a la presidencia de nuestro querido Club y solicita de los dos socios “conocer tu opinión y si así fuera saber si volvería a contar con tu apoyo. Junto a la citada carta, se acompaña un escrito con el título “Balance de tres años de gestión al frente del Real Madrid.
Llegados este punto es necesario ver primero de dónde obtuvo X.X.X. los datos necesarios para el envío de las cartas y si había recabado el necesario consentimiento para ello.
Afirma el propio X.X.X. que el fichero con los datos no los obtuvo del propio club, sino de un fichero que según él, se ha ido consolidando, desde hace más de diez años, a partir de los datos incluidos en Censos Electorales recibidos por X.X.X del citado Club de Fútbol en anteriores candidaturas así como a partir de las muestras de adhesión directamente recibidas de los socios por el candidato en anteriores comicios. Es decir, que los datos de los denunciantes no los obtuvo del censo oficial que la propia Junta del Club pone a disposición de los candidatos correspondientes.
Curiosamente, se cuestiona al Real Madrid si le ha dado o facilitado esta información durante todos esos años a X.X.X., y la respuesta es negativa, aunque no obstante, al ostentar el cargo de presidente durante un periodo de tiempo pudo tener acceso a los datos de los socios.
Por otra parte, según hacen constar los inspectores, los documentos mostrados por X.X.X. para acreditar las muestras de adhesión de los socios se reducían a fotocopias de documentos nacionales de identidad y de los carnés de socio, que según declaró el denunciado, habían sido facilitados en anteriores comicios por los socios para la declaración del voto por correo.
En resumen, que se han obtenido y tratado los datos de los socios y afectados en el caso de forma irregular y por supuesto sin contar con el consentimiento de los mismos.
Esto sería suficiente para sancionar a X.X.X. por un tratamiento de datos sin consentimiento, es decir, para elaborar las cartas se han tenido que utilizar datos personales (nombre, apellidos, dirección, etc) de los cuales no se tenía el necesario consentimiento.
Pero el tema no termina aquí, porque de la propia investigación de los inspectores se comprueba que para la elaboración de las cartas y su posterior envío a los destinatarios, el denunciado contrató, a través de la compañía INVERSIONES RENFISA, S.L., los servicios de B.D. MAIL, S.L. es decir, los servicios de una empresa que se encarga de hacer un envío masivo de cartas a los destinatarios facilitados por el cliente, en este caso X.X.X.
En concreto, X.X.X. facilitó la base de datos con los datos de los socios (unos 50.000) a esta empresa para que se encargase de confeccionar las cartas y enviarlas. Otro error más, pues este hecho, como se verá más adelante, supone una cesión de datos de carácter personal, cesión, que en este caso no disponía del consentimiento necesario otorgado por los socios.
Ya tenemos la imputación de las dos infracciones que se comentaban al principio:
- Tratamiento de los datos de los socios para enviar las cartas.
- Cesión de los datos de los socios a una empresa para que se encargue efectivamente de realizar el envío de las cartas.
Veamos ahora que alegó X.X.X. en su defensa (dejaremos de lado lo relativo a las empresas de mailing).
Las alegaciones de X.X.X. se centraron en que según la Ley Orgánica de Régimen Electoral General (LOREG), estaba legitimado para remitir las cartas objeto del caso a los socios, ya que (deduzco yo por el contexto, pues en la resolución parece que se han “comido algún párrafo al pasarlo a formato electrónico) el censo electoral es una fuente accesible al público y como no es necesario el consentimiento de los interesados cuando sus datos están en una fuente accesible al público, procede entender que no era necesario el consentimiento.
Por supuesto, tal y como está actualmente la definición de “fuente accesible al público en la LOPD, el censo NO es una fuente accesible al público:
De acuerdo a lo establecido en el artículo 3 j) de la LOPD, que considera fuentes accesibles al público las siguientes:
“j. Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.
Por su parte, el artículo 41 2. de la citada LOREG establece que:
«2. Queda prohibida cualquier información particularizada sobre los datos personales contenidos en el censo electoral, a excepción de los que se soliciten por conducto judicial«.
En este sentido, el Tribunal Superior de Justicia de Madrid, en Sentencias 30 de septiembre de 1998 y 19 de mayo de 1999, ha determinado que el censo electoral no es una fuente de acceso público, declarando que: “ Por último, la recurrente entiende que el censo electoral es una fuente accesible al público y, en consecuencia, no existe acción típica. Tal afirmación la fundamenta en el artículo 39.3 de la Ley de Ordenación del Comercio Minorista, con arreglo al cual el nombre, apellidos y domicilio de las personas que figuran en el censo electoral tiene siempre y en todo caso el carácter de datos accesibles al público – siempre que se de la oportunidad a los interesados de oponerse a los mensajes comerciales – y, por tanto, quedan fuera de la exigencia del consentimiento del afectado (art. 6 de la LORTAD).
Si juntamos esto a las propias declaraciones de X.X.X. que he comentado al principio, respecto que los datos no los obtuvo del censo sino de un fichero propio, termina de echarse tierra encima.
En definitiva, los datos personales de los denunciantes no fueron obtenidos de fuentes de acceso público, ni con el consentimiento de los denunciantes, por lo que existe prueba suficiente de que el denunciado trató dichos datos sin el consentimiento de los denunciantes.
En consecuencia, en el presente caso no existe habilitación legal que permita tratar los datos de los denunciantes sin su consentimiento, ni tampoco existe una relación contractual o negocial entre los titulares de los datos y los responsables del tratamiento que sea necesaria para el mantenimiento del contrato. Además, tampoco existe un interés vital del afectado digno de protección, lo que también legitimaría el tratamiento de datos sin consentimiento. En definitiva, no se da ninguna de las condiciones que conforme al artículo 6.2 de la LOPD permitirían a X.X.X. tratar los datos de los denunciantes sin su consentimiento.
Se alega a continuación que existe un consentimiento tácito de los denunciantes para recibir este tipo de cartas con información electoral, sin embargo, debemos observar la definición de “consentimiento que estipula “Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen en relación con las excepciones al consentimiento que se establecen en el artículo 6.2 LOPD:
“No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Ante esto el órgano resolutorio es tajante y especialmente contundente al entender que:
“[…], este consentimiento tácito solamente puede deducirse a partir de un entorno de condiciones sobre las que de la inactividad del afectado quepa deducir una voluntad favorable al tratamiento de sus datos. Nada de esto, sin embargo, concurre en las circunstancias valoradas en la conducta del imputado, que pretende que se tenga por consentimiento tácito de los denunciados el deducido de unos hechos como son que el denunciado utilizó un fichero […], elaborado a partir de las muestras de adhesión que había recibido directamente de los denunciantes en anteriores comicios y de procesos electorales anteriores.
Queda más que claro que no existía consentimiento para que X.X.X. enviara estas cartas.
Por último resta observar la infracción imputada respecto a la cesión de datos a la empresa para que enviara las cartas.
Aquí el tema se resuelve mucho más rápido, pues al no concurrir ninguna circunstancia contemplada en el artículo 11.2 LOPD como excepción al consentimiento para la cesión de los datos personales, esto es:
a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Y está más que probada la cesión de los datos, se concluye en declarar también infringido este artículo 11 que regula la cesión de los datos personales.
Conclusión final, X.X.X. no tenía el consentimiento para enviarles cartas a los socios en relación con su candidatura electoral y ni mucho menos para ceder los datos de los socios a una tercera empresa (en este caso se cedieron algo más de 50.000 registros !!).
Así que, una primera infracción, la de tratar los datos sin consentimiento para hacer las cartas, tipificada como grave, que terminar en multa de 60.000 euros (la mínima para las infracciones graves).
Y una segunda infracción, la de ceder los datos personales sin consentimiento a la empresa que se encargó de hacer efectivo los envíos de las cartas, tipificada como muy grave y que termina en multa de 300.000 euros (la mínima para las infracciones muy graves).
Por supuesto, también hubo sanción económica para la empresa que gestionó el envío de las cartas (INVERSIONES RENFISA, S.L., ): 60.000 euros por tratar los datos de los socios sin consentimiento: y es que claro, si el cedente, en este caso X.X.X. no ha obtenido el consentimiento necesario para el envío de las cartas, la empresa que se encarga de enviar las cartas tampoco tiene el consentimiento para tratarlos, por lo que cuando incurrimos en una infracción por temas de cesión sin consentimiento, generalmente el cesionario es sancionado también por no tener el consentimiento… consentimiento que en teoría debería haber recabado el cedente.
Y ojo que el propio club se libró de una multa por tener inscritos sus ficheros en el Registro General de Protección de Datos…
Como opinión personal creo que el caso no se llevó bien por parte de la defensa ni por parte del propio X.X.X. al hablar de su “propio fichero de datos de los socios. Quizá, si se hubiera enfocado desde otra perspectiva o incluso utilizando algunas excepciones legales que no se invocaron se podría haber evitado la multa de 60.000 euros por el tratamiento sin consentimiento.
La Resolución completa se puede descargar desde aquí
Comments
David
Hola:
Creo que no queda clara una cosa. Estoy de acuerdo en las sanciones al Presidente, pero leyendo la resolución es Renfinsa quien es sancionada, no la empresa que efectúa el envío (BD Mail), en mi opinión de la lectura de esta entrada parece que son las tres sancionadas.
Eso no queda claro si no lees la resolución integra.
De todas formas sería interesante valorar la sitación de las empresas de correos respecto a los errores que cometen en el reparto y los datos que reciben y su ajuste a la LOPD.
Un saludo.
Samuel
Hola David !
Gracias por la advertencia, voy a modificar algunas frases que en efecto inducían a error para intentar esclarecer los sancionados, que como bien indicas, no fueron los tres implicados, sino sólo Renfisa y X.X.X.
Por otra parte, sobre valorar la situación de las empresas de este tipo, conozco algún caso donde la empresa ha cerrado en España y se ha ido a otro país porque era insostenible cumplir con la legislación de protección de datos en España. De hecho tengo en mi lista plantear la cuestión pues en realidad estas empresas se encuentran en una desprotección tremenda al entrar en juego el concepto de «responsable del tratamiento» diferente del «responsable del fichero».
Nazgulillo
Eeeeh… ¿qué ex-presidente?
Samuel
Hola. Precisamente no puedo publicar el nombre del «condenado» porque incurriría en responsabilidad. En cualquier caso, viendo las fechas que aparecen en la resolución, así como otros datos (empresas subcontratadas y demás) se puede deducir quien es.
David
Hola:
Jeje, entonces los nombres de estas empresas también pueden considerarse un dato de caracter personal, así como el del club de futbol, y las fechas, pues permiten hacer identificable a una persona física.
(Por si mismos esos datos no son objeto de la norma, pero si pueden serlo en relación con una persona)
Esto de las interpretaciones de la Agpd es que es un cachondeo… Pero claro, no se van a denunciar ellos mismos.
😉
Un saludo.
fotografos
En principio la creación de listas de exclusión que establece en nuevo reglamento de la lopd deberia ayudar… al menos en las denuncias.
http://www.auditoriasistemas.com/2008/01/22/listas-de-exclusion-y-otras-novedades-en-el-desarrollo-del-reglamento-de-la-lopd-de-2007/
Antonio
Hola , me surgen varias dudas sobre el artículo
¿
Cuando se considera que el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. ( es un copy/paste) ? Es decir segun la sentencia no es posible contratar a una empresa para que nos haga publicidad de nuestros productos a nuestros clientes ( quitando el tema de informale previamente sobre que se le va a enviar publicidad ), ¿ Sería necesario especificar con que empresa se va a realizar esa campaña ? , ¿ La cesión de los datos a una asesoria ,laboral por ejemplo, se encuentra enmarcada en este supuesto ?
carne en venta
¿No será Lorenzo Sanz el multado?
Fotografo Bodas Alicante
¿Cual de todos?