El procedimiento sancionador PS/00039/2008 se inicia tras la denuncia que D. M.M.M. (en lo sucesivo el denunciante) presentó ante la AEPD declarando que el abogado D. S.S.S. le llevó diversos asuntos para lo cual le facilitó sus datos y papeles, sin que le informase sobre el tratamiento informatizado, ni de la posibilidad de ejercer los derechos de acceso, rectificación y cancelación. Esta es la práctica habitual con todos los clientes del despacho profesional. Manifiesta también que los datos personales de los clientes son incluidos en un fichero automatizado ubicado en un ordenador que carece de contraseña de entrada, y que dicho fichero no se encuentra inscrito en la Agencia.
La oportuna inspección constató entre otros los siguientes hechos:
Una ley de diciembre de 1999, un profesional del derecho y una consulta pendiente: podría parecer el reparto de una comedia, pero no creo que le haya hecho gracia recibir esta notificación:
La oportuna inspección constató entre otros los siguientes hechos:
- Los clientes no son informados conforme a las especificaciones del artículo 5 de la LOPD ya que se trata de asuntos de estricta confidencialidad de los clientes.
- En cuanto a la inscripción del fichero en el Registro General de Protección de Datos, se encuentra en trámites de consulta al respecto al Colegio de Abogados de Madrid.
- Aunque el despacho dispone de algunas medidas de seguridad tales como el acceso a los sistemas informáticos mediante contraseña o la instalación de cámaras de vídeo vigilancia, éstas no se encuentran recogidas en un documento específico.
- El acceso al ordenador que contiene el fichero denominado “CLIENTES“ ,se realiza sin necesidad de introducir ningún tipo de contraseña. En el escritorio (pantalla acceso) existe un acceso directo al fichero de clientes sin necesidad de introducir una contraseña.
Una ley de diciembre de 1999, un profesional del derecho y una consulta pendiente: podría parecer el reparto de una comedia, pero no creo que le haya hecho gracia recibir esta notificación:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. S.S.S., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a D. S.S.S., por una infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.La próxima vez que un cliente me diga eso de "lo tengo que consultar con mi asesor", le explicaré que sí, y que su asesor con su abogado, y el abogado con el colegio, pero que mientras todos estos se ponen de acuerdo, lo mismo aparece por la puerta un inspector de la Agencia y se carga el invento, así que vamos a repasar usted y yo el artículo 9:
Seguridad de los datos
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.Y el artículo 26:
Notificación e inscripción registral
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.La verdad es que no entiendo qué será lo que hay que consultar.