Urbilex S.L. (Hostal Puerta Bisagra) ha sido sancionado a una multa de 1000 euro por vulnerar el deber de secreto estipulado en la normativa sobre protección de datos.
Aquí vienen los hechos probados y los fundamentos de derecho:
HECHOS PROBADOS
PRIMERO: Con fecha de 25 de agosto de 2011 tiene entrada en esta Agencia un escrito del denunciante, en el que manifiesta que el mes de mayo de 2009 contrató un servicio de hospedaje en el Hostal Puerta de Bisagra de Toledo. Se le solicitó un correo electrónico y facilitó la cuenta A.A.A.. Ni en el momento de hacer la reserva ni en el de completar el formulario a su l egada recuerda haber sido informado de que estaba autorizando el envío de comunicaciones a dicha cuenta de correo electrónico. Posteriormente recibió el día 4 de julio de 2011, en la dirección de correo
mencionada, un correo comercial no solicitado del Hostal Puerta de Bisagra de Toledo. En dicho correo tanto su dirección de correo electrónico como la del resto de los destinatarios figuraban en el campo de destinatarios de forma que se podían observar un conjunto de nombres y apel idos de los destinatarios (folios 1 a 10).
SEGUNDO: El 4 de julio de 2011 el reclamante recibió un correo electrónico comercial cuya dirección de origen era elhostal@puertabisagra.com. En el campo de destinatarios del mismo se observan las direcciones de correo electrónico y los nombres y apel idos de unas 250 personas (folios 3 a 5).
TERCERO: El denunciado comunica que es la sociedad responsable de la explotación del Hostal Puerta de Bisagra de Toledo. El dominio puertabisagra.com está registrado a nombre del denunciado.
Así mismo comunica que los datos de que disponen del denunciante tiene como origen el propio denunciante ya que se hospedo en el citado hostal.
El mismo día 3 de octubre en que se tuvo conocimiento de la denuncia se procedió a cancelar los datos del denunciante obrantes en ficheros informatizados y sólo se conserva la documentación en formato papel pertinente para el cumplimiento de sus obligaciones legales.
No disponen de autorización para la comunicación de la cuenta de correo electrónico del denunciante a otros destinatarios y no fue su intención realizar dicha comunicación. La intención era enviar la comunicación a una selección de los contactos de la libreta de direcciones, no a todos, e incluir dicha selección en el campo de copia oculta (CCO). El envío fue debido a un error humano e involuntario y se han adoptado las medias de índole técnica y organizativa para que este hecho no se vuelva a repetir (folios 24, 25 y 29)
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.
II
El artículo 8.1 del Real Decreto 1398/93, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora, dispone:
«Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda.»
En aplicación del anterior precepto y teniendo en cuenta que el denunciado ha reconocido los hechos imputados, procede resolver el procedimiento iniciado.
III
En relación con los hechos que se imputan en el presente procedimiento, se hace necesario en primer lugar transcribir diversos conceptos que se acuñan en el artículo 3 de la LOPD.
«a) Datos de carácter personal: Cualquier información pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
f) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
h) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
j) Fuentes accesibles al público: Aquel os ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.»
IV
La LOPD en sus art. 1 y 2.1) establece:
«La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que oncierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.»
«1. La presente Ley Orgánica será de aplicación a los datos de carácter personal
registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.»
V
La LOPD delimita su ámbito de aplicación en el párrafo primero de su artículo 2.1, definiendo el concepto de dato de carácter personal en su artículo 3.a) como «cualquier información concerniente a personas físicas identificadas o identificables». El tratamiento de datos se define en la letra c) del mismo precepto como las «Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias».
A la vista de lo anterior, se deduce que la dirección de correo electrónico, considerando que contiene información acerca de su titular, o en la medida en que permita proceder a la identificación del mismo, ha de ser considerada como dato de carácter personal y su tratamiento sometido a la citada Ley Orgánica, por lo que, con carácter general, no será posible su utilización o cesión si el interesado no ha dado su consentimiento para el o. Por todo el o, el denunciado deberá revisar las direcciones de correo electrónico que obren en su poder y no remitir correo alguno que no haya sido comunicado directamente por su titular para recibir publicidad.
La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos, generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, atendiendo al grado de identificación del titular de la cuenta de correo que proporcione la dirección de que se trate. Así, existirán supuestos en los que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular que lo identifique, en los cuales no existe duda de que dicha dirección ha de ser considerada como dato de carácter personal, o supuestos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta, de modo que no nos encontramos ante un dato de carácter personal, a no ser que otros datos (dominio, domicilio, etc.), conjunta o separadamente, permitan, como en el presente supuesto, la identificación del sujeto sin un esfuerzo desproporcionado por parte de quien procede a la identificación, en cuyo caso, la dirección de correo electrónico quedará amparada por el régimen establecido en la LOPD.
VI
El artículo 10 de la LOPD dispone que: «El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.»
El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así, el Tribunal Superior de Justicia de Madrid declaró en su sentencia de 19 de julio de 2001: «El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por el o es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)».
En este sentido, la Audiencia Nacional también ha señalado, entre otras, en sentencias de fechas 14 de septiembre de 2001 y 29 de septiembre de 2004 lo siguiente: «Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE.
En efecto, este precepto contiene un <<instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos>> (STC 292/2000). Derecho fundamental a la protección de los datos que <<persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino>> (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, <<es decir, el poder de resguardar su vida privada de una publicidad no querida>>.
En el presente caso, ha quedado acreditado en el expediente que el denunciante recibió un correo electrónico remitido por el denunciado, donde se visualizaban datos personales de múltiples personas, (nombres, apel idos y direcciones de correo electrónico) (incluido los suyos propios) por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.
El denunciado ha de tener en consideración en lo sucesivo que, al margen de los requisitos previstos en el artículo 21 de la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), al respecto del envío de comunicaciones comerciales no solicitadas, el envío de mensajes electrónicos debe atender también las obligaciones recogidas en la normativa vigente de protección de datos, en particular en lo relativo a preservar la confidencialidad de los destinatarios de los mensajes. A este respecto, cuando al remitente del mensaje le sea exigible este deber de secreto y siempre que no sean aplicables excepciones relacionadas con supuestos en los que los titulares estén ligados por relaciones de ámbito doméstico, laboral o profesional, se considera preciso el recurso a una modalidad de envío que ofrecen los programas de correo electrónico disponibles en el mercado, la cual permite detal ar las direcciones electrónicas de los destinatarios múltiples en un campo específico del encabezado del mensaje: el c ampo CCO ( c on copia oculta ) , en lugar del habitual CC.
VII
El artículo 44.3.d) de la LOPD en su vigente redacción aprobada por Ley 2/2011, de 4 de marzo, de Economía Sostenible, califica como infracción grave: «La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley».
Así el denunciado ha incurrido en la infracción grave descrita, pues incumplió el deber de secreto previsto en el artículo 10 de la LOPD revelando los datos personales del denunciante.
VIII
El artículo 45 de la LOPD, en sus aparatados 1 a 5, establece, según la nueva redacción dada por la Ley 2/2011, que:
«1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000
euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras
personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquel a en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»
Teniendo en cuenta los criterios de graduación de las sanciones recogidos en el citado artículo 45.4 y el contenido del art. 45.5.d) de la LOPD al haber reconocido el denunciado su culpabilidad y en especial, la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento. Tomando en consideración la categoría del centro (hostal) y el número de destinatarios (unos 250), por todo el o procede la imposición de la sanción en el importe de 1000 .
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad URBILEX S.L. (HOSTAL PUERTA DE BISAGRA), por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1000 (mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.