Protección de Datos perdona al INE una multa de hasta 340.000 euros
Estadística cometió dos infracciones: vulnerar el deber de secreto y no informar en la recogida de información personal en su web.
- La Agencia de Protección de Datos no ha podido sancionar económicamente los hechos al tratarse de una institución pública.
El Instituto Nacional de Estadística se ha librado de una buena multapor ser un organismo público. Y es que la Agencia de Protección de Datos solo ha podido alertar de la infracción que cometió la institución a finales del año pasado; un error que si hubiera sido cometido por un ente privado, hubiera sido sancionado con dinero. Mucho dinero.
La historia se remonta a finales del año pasado. Allá por diciembre de 2012, el INE recibió la denuncia de un particular, quejándose de que la oficina de estadísticas había cometido un grave error.
El denunciante explicó que quiso realizar una consulta al organismo y, para formalizar su petición, tuvo que cumplimentar los campos obligatorios del formulario de contacto que se encuentra disponible en la web www.ine.es, aportando un correo electrónico para recibir la respuesta a su pregunta.
Unos días después recibió un correo desde infoine@ine.es dando respuesta a su consulta, pero el particular observó que junto a su dirección de correo como destinatario figuraba la de otras 80 personas. Además, mostró su descontento porque en el formulario de contacto de la web de Estadística no figuraba la cláusula informativa que exige la normativa sobre protección de datos, en la que deben aparecer los derechos que asisten al ciudadano respecto a esta ley.
Con todos estos hechos en la mano, acudió a la Agencia Española de Protección de Datos (AEPD) en busca de ayuda y ésta decidió abrir una investigación al respecto para aclarar qué había sucedido.
Estadística tomó una postura clara: la filtración de los correos de 80 usuarios se había producido "debido a un fallo en un procedimiento excepcional", motivada por el hecho de que la misma consulta del denunciante fue realizada por otras 5.000 personas más en apenas cinco días. Un escenario de caos que desembocó en la infracción.
"Al ser imposible individualizar las respuestas a un número tan elevado de consultas, al superar ampliamente la dimensión del equipo disponible para la atención de este procedimiento, y con el fin de no demorar innecesariamente la contestación, se optó por contestar de forma masiva generando sucesivas listas de entre 0 y 100 direcciones de correo que se incluían simultáneamente en cada envío, utilizando el sistema de copia oculta. No obstante, se produjo un fallo a la hora de adjuntar las direcciones y algunas de ellas se incluyeron en copia visible en vez de en copia oculta", aseguró el INE.
Pero, a pesar de estas explicaciones, Protección de Datos consideró que se había vulnerado el deber de secreto que impone la Ley Orgánica de Protección de Datos en su artículo 10, que tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones no consentidas por los titulares de los mismos. Y en este caso no se produjo una filtración concreta, sino la de 80 direcciones de correo..., los mismos que contactaron con el INE en busca de consultas.
Por tanto, y consciente de lo que había sucedido, la Agencia Española de Protección de Datos detectó dos infracciones: que Estadística no había utilizado la modalidad de envío que ofrecen los programas de correo electrónico (CCO, con copia oculta) y que en su web no aparecía la cláusula informativa que exige la ley de datos y en la que se resumen los derechos del ciudadano respecto a esta normativa.
Así, Protección de Datos declaró el pasado mes de julio que el Instituto Nacional de Estadística había vulnerado lo dipuesto en el artículo 10 de la LOPD, en relación al deber de secreto, y en el artículo 5.1, en relación al deber de información de la mencionada ley, lo que se traduce en una infracción grave y otra leve, respectivamente.
No obstante, y como recuerda Samuel Parra, socio de la firmawww.eprivacidad.es, "al tratarse la entidad infractora de una Administración Pública, Protección de Datos no puede imponer una sanción económica, sino que meramente declara la infracción cometida, y en su caso, si procede, la adopción de meididas para que no vuelva a producirse dicha situación. En el caso de que estas infracciones hubieran sido cometidas por una empresa privada, la sanción económica podría haber alcanzado los 340.000 euros".
El denunciante explicó que quiso realizar una consulta al organismo y, para formalizar su petición, tuvo que cumplimentar los campos obligatorios del formulario de contacto que se encuentra disponible en la web www.ine.es, aportando un correo electrónico para recibir la respuesta a su pregunta.
Unos días después recibió un correo desde infoine@ine.es dando respuesta a su consulta, pero el particular observó que junto a su dirección de correo como destinatario figuraba la de otras 80 personas. Además, mostró su descontento porque en el formulario de contacto de la web de Estadística no figuraba la cláusula informativa que exige la normativa sobre protección de datos, en la que deben aparecer los derechos que asisten al ciudadano respecto a esta ley.
Con todos estos hechos en la mano, acudió a la Agencia Española de Protección de Datos (AEPD) en busca de ayuda y ésta decidió abrir una investigación al respecto para aclarar qué había sucedido.
Estadística tomó una postura clara: la filtración de los correos de 80 usuarios se había producido "debido a un fallo en un procedimiento excepcional", motivada por el hecho de que la misma consulta del denunciante fue realizada por otras 5.000 personas más en apenas cinco días. Un escenario de caos que desembocó en la infracción.
"Al ser imposible individualizar las respuestas a un número tan elevado de consultas, al superar ampliamente la dimensión del equipo disponible para la atención de este procedimiento, y con el fin de no demorar innecesariamente la contestación, se optó por contestar de forma masiva generando sucesivas listas de entre 0 y 100 direcciones de correo que se incluían simultáneamente en cada envío, utilizando el sistema de copia oculta. No obstante, se produjo un fallo a la hora de adjuntar las direcciones y algunas de ellas se incluyeron en copia visible en vez de en copia oculta", aseguró el INE.
Pero, a pesar de estas explicaciones, Protección de Datos consideró que se había vulnerado el deber de secreto que impone la Ley Orgánica de Protección de Datos en su artículo 10, que tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones no consentidas por los titulares de los mismos. Y en este caso no se produjo una filtración concreta, sino la de 80 direcciones de correo..., los mismos que contactaron con el INE en busca de consultas.
Por tanto, y consciente de lo que había sucedido, la Agencia Española de Protección de Datos detectó dos infracciones: que Estadística no había utilizado la modalidad de envío que ofrecen los programas de correo electrónico (CCO, con copia oculta) y que en su web no aparecía la cláusula informativa que exige la ley de datos y en la que se resumen los derechos del ciudadano respecto a esta normativa.
Así, Protección de Datos declaró el pasado mes de julio que el Instituto Nacional de Estadística había vulnerado lo dipuesto en el artículo 10 de la LOPD, en relación al deber de secreto, y en el artículo 5.1, en relación al deber de información de la mencionada ley, lo que se traduce en una infracción grave y otra leve, respectivamente.
No obstante, y como recuerda Samuel Parra, socio de la firmawww.eprivacidad.es, "al tratarse la entidad infractora de una Administración Pública, Protección de Datos no puede imponer una sanción económica, sino que meramente declara la infracción cometida, y en su caso, si procede, la adopción de meididas para que no vuelva a producirse dicha situación. En el caso de que estas infracciones hubieran sido cometidas por una empresa privada, la sanción económica podría haber alcanzado los 340.000 euros".