1/7

Procedimiento N PS/00588/2010

RESOLUCIN: R/00027/2011 En el procedimiento sancionador PS/00588/2010, instruido por la Agencia Espaola de Proteccin de Datos a la entidad INSTITUTO ACCESS MADRID DE FORMACION, S.L., vista la denuncia presentada por A.A.A. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 9 de septiembre de 2010 tiene entrada en esta Agencia un escrito de Da. A.A.A. (en lo sucesivo la denunciante) en el que comunica haber recibido un mensaje electrnico de la entidad INSTITUTO ACCESS MADRID DE FORMACION, S.L. (en lo sucesivo el denunciado), envidado el martes 20 de octubre de 2009 a las 15:24:23 desde la direccin formacin @institutoaccess.com, en cuyo campo de destinatarios figura su direccin electrnica junto a otras muchas direcciones electrnicas de otros alumnos, comunicndoles la anulacin de clases de Constitucin del sbado y lunes. SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por la Subdireccin General de Inspeccin de datos de esta Agencia se solicita a la denunciante el 13/09/2010 que remita: Copia impresa ntegra del contenido y del campo de destinatarios del mensaje electrnico recibido el 20 de octubre de 2009 desde la direccin formacion(a>institutoaccess.com en su buzn ................(a)hotmail.es. Copia impresa integra de los encabezados del citado mensaje, que puede obtener a travs de la opcin "Ver cdigo fuente del mensaje" de su programa de correo, seleccionando el mensaje y pulsando el botn derecho del ratn Con fecha 1/10/2010 la denunciante aporta la documentacin requerida. TERCERO: Con fecha 8/10/2010, el Director de la Agencia Espaola de Proteccin de Datos acord iniciar procedimiento sancionador al denunciado con arreglo a lo dispuesto en el artculo 127 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD, por presunta infraccin del artculo 10 de la LOPD, infraccin tipificada como leve en el artculo 44.2.e) de dicha norma, pudiendo ser sancionada, con multa de 601,01 a 60.101,21 , de acuerdo con el artculo 45.1 de la misma Ley. CUARTO: La notificacin del citado acuerdo de inicio se remiti a la denunciante.

c. Jorge Juan 6

28001 Madrid

www.agpd.es

Igualmente la notificacin de dicho acuerdo de inicio fue remitida a la entidad denunciada, en fecha 11 de octubre de 2010 a la c/ Lpez de Hoyos 66, local, 28002 Madrid, siendo devueltas por el Servicio de Correos, haciendo constar que se ausent. Consultado el 29/10/2010, el Registro Mercantil Central, la entidad Instituto Access Madrid de Formacin, S.L. figura en el mismo con domicilio en C/ Lpez de Hoyos 66, bajos de Madrid. Consultado el 29/10/2010, la web institutoaccess.com, en el aviso legal se hace constar que: Todos los contenidos que se muestran en este sitio Web () estn sujetos a los derechos de propiedad intelectual y industrial del INSTITUTO ACCESS, S.L. () En cumplimiento de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, informamos que los datos personales que se solicitan en esta Pgina Web se incluirn en una base de datos informatizada titularidad de INSTITUTO ACCES MADRID DE FORMACIN, S.L., con NIF:B-85408433 () o correo convencional al domicilio social en Calle Lpez de Hoyos, 66 de la ciudad de Madrid Por tal motivo, el acuerdo de inicio fue remitido nuevamente a la citada direccin, siendo devuelto por el servicio de Correos, haciendo constar desconocido. Por todo ello, el acuerdo de inicio fue remitido al Ayuntamiento de Madrid al objeto de que se procediera a su publicacin en el tabln de edictos de ese Ayuntamiento, de acuerdo con el artculo 59.2 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn. El Ayuntamiento de Madrid ha remitido a esta Agencia Espaola de Proteccin de Datos acreditacin de la publicacin en el tabln de edictos del mismo, del acuerdo de inicio del presente procedimiento sancionador. Igualmente se remiti para su publicacin en el Boletn Oficial del Estado, lo que se produjo el 19/11/2010. QUINTO: La entidad denunciada no ha remitido escrito de alegacin alguno frente al citado acuerdo de inicio que, en su punto 3, establece literalmente lo siguiente: ...De no efectuar alegaciones sobre el contenido de la iniciacin de este procedimiento, la iniciacin podr ser considerada propuesta de resolucin, de acuerdo con lo dispuesto en el artculo 13.2 del Real Decreto 1398/1993, de 4 de agosto. HECHOS PROBADOS PRIMERO: Con fecha de 9 de septiembre de 2010 tiene entrada en esta Agencia un escrito de la denunciante en el que comunica haber recibido un mensaje electrnico del denunciado, envidado el martes 20 de octubre de 2009 a las 15:24:23 desde la direccin formacin @institutoaccess.com, en cuyo campo de destinatarios figura su direccin electrnica junto a otras muchas direcciones electrnicas de otros alumnos, comunicndoles la anulacin de clases de Constitucin del sbado y lunes. SEGUNDO: En fase de actuaciones previas, por la Subdireccin General de Inspeccin de datos de esta Agencia se solicita a la denunciante el 13/09/2010 que remita:

3/7
Copia impresa ntegra del contenido y del campo de destinatarios del mensaje electrnico recibido el 20 de octubre de 2009 desde la direccin formacion(a>institutoaccess.com en su buzn ................(a)hotmail.es. Copia impresa integra de los encabezados del citado mensaje, que puede obtener a travs de la opcin "Ver cdigo fuente del mensaje" de su programa de correo, seleccionando el mensaje y pulsando el botn derecho del ratn Con fecha 1/10/2010 la denunciante aporta la documentacin requerida. TERCERO: Consultado el 29/10/2010, el Registro Mercantil Central, la entidad Instituto Access Madrid de Formacin, S.L. figura en el mismo con domicilio en C/ Lpez de Hoyos 66, bajos de Madrid (folios 82 y 83). CUARTO: Consultado el 29/10/2010, la web institutoaccess.com, en el aviso legal se hace constar que: Todos los contenidos que se muestran en este sitio Web () estn sujetos a los derechos de propiedad intelectual y industrial del INSTITUTO ACCESS, S.L. () En cumplimiento de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, informamos que los datos personales que se solicitan en esta Pgina Web se incluirn en una base de datos informatizada titularidad de INSTITUTO ACCES MADRID DE FORMACIN, S.L., con NIF:B-85408433 () o correo convencional al domicilio social en Calle Lpez de Hoyos, 66 de la ciudad de Madrid (folio 81). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Espaola de Proteccin de Datos, de conformidad con lo dispuesto en el artculo 37. g) en relacin con el artculo 36 de la LOPD. II La LOPD en sus art. 1 y 2.1) establece: La presente Ley Orgnica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar. 1. La presente Ley Orgnica ser de aplicacin a los datos de carcter personal registrados en soporte fsico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores pblico y privado.

c. Jorge Juan 6

28001 Madrid

www.agpd.es

III La LOPD delimita su mbito de aplicacin en el prrafo primero de su artculo 2.1, definiendo el concepto de dato de carcter personal en su artculo 3.a) como cualquier informacin concerniente a personas fsicas identificadas o identificables. El tratamiento de datos se define en la letra c) del mismo precepto como las Operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. A la vista de lo anterior, se deduce que la direccin de correo electrnico, considerando que contiene informacin acerca de su titular, o en la medida en que permita proceder a la identificacin del mismo, ha de ser considerada como dato de carcter personal y su tratamiento sometido a la citada Ley Orgnica, por lo que, con carcter general, no ser posible su utilizacin o cesin si el interesado no ha dado su consentimiento para ello. La direccin de correo electrnico se forma por un conjunto de signos o palabras libremente elegidos, generalmente por su titular, con la nica limitacin de que dicha direccin no coincida con la correspondiente a otra persona. Esta combinacin podr tener significado en s misma o carecer del mismo, atendiendo al grado de identificacin del titular de la cuenta de correo que proporcione la direccin de que se trate. As, existirn supuestos en los que voluntaria o involuntariamente la direccin de correo electrnico contenga informacin acerca de su titular que lo identifique, en los cuales no existe duda de que dicha direccin ha de ser considerada como dato de carcter personal, o supuestos en los que la direccin de correo electrnico no parece mostrar datos relacionados con la persona titular de la cuenta, de modo que no nos encontramos ante un dato de carcter personal, a no ser que otros datos (dominio, domicilio, etc.), conjunta o separadamente, permitan, como en el presente supuesto, la identificacin del sujeto sin un esfuerzo desproporcionado por parte de quien procede a la identificacin, en cuyo caso, la direccin de correo electrnico quedar amparada por el rgimen establecido en la LOPD. IV El artculo 10 de la LOPD dispone que: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirn aun despus de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El deber de secreto tiene como finalidad evitar que, por parte de quienes estn en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. As, el Tribunal Superior de Justicia de Madrid declar en su sentencia de 19 de julio de 2001: El deber de guardar secreto del artculo 10 queda definido por el carcter personal del dato integrado en el fichero, de cuyo secreto slo tiene facultad de disposicin el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilcita la comunicacin a cualquier tercero, con independencia de la relacin que mantenga con l la persona a que se refiera la informacin (...).

5/7
En este sentido, la Audiencia Nacional tambin ha sealado, entre otras, en sentencias de fechas 14 de septiembre de 2001 y 29 de septiembre de 2004 lo siguiente: Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la tcnica sitan a la persona en zonas de riesgo para la proteccin de derechos fundamentales, como la intimidad o el derecho a la proteccin de los datos que recoge el artculo 18.4 de la CE. En efecto, este precepto contiene un <<instituto de garanta de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, adems, es en s mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegtimo del tratamiento mecanizado de datos>> (STC 292/2000). Derecho fundamental a la proteccin de los datos que <<persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino>> (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, <<es decir, el poder de resguardar su vida privada de una publicidad no querida>>. En el presente caso ha quedado acreditado en el expediente que la denunciante recibi un correo electrnico remitido por el denunciado, donde se visualizaban mltiples direcciones de correo electrnico de terceras personas, entre las que estaban incluidas la propia direccin de correo electrnico de la denunciante, por lo que ha de entenderse vulnerado el deber de secreto que impone el artculo 10 de la LOPD. V El artculo 44.2.e) de la LOPD califica como infraccin leve: Incumplir el deber de secreto establecido en el artculo 10 de esta ley, salvo que constituya infraccin grave As el denunciado ha incurrido en la infraccin leve descrita, pues incumpli el deber de secreto previsto en el artculo 10 de la LOPD revelando los datos personales del denunciante. Los hechos que se imputan en el presente procedimiento constituyen la infraccin leve descrita en el artculo 44.2.e), dado que la informacin facilitada (direccin de correo electrnico) no puede servir para obtener una evaluacin de la personalidad del individuo, pues el incumplimiento del deber de secreto slo constituye el tipo agravado en los casos especficamente enunciados en el artculo 44.3.g) de la LOPD, es decir, cuando la vulneracin del secreto afecte a ... los datos de carcter personal incorporados a ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales, Hacienda Pblica, servicios financieros, prestacin de servicios de solvencia patrimonial y crdito, as como aquellos otros ficheros que contengan un conjunto de datos de carcter personal suficientes para obtener una evaluacin de la personalidad del individuo. En este sentido, la Audiencia Nacional ha sentado la doctrina contenida, entre otras, en su sentencia de 18 de enero de 2002, referente a que la diferencia entre los dos tipos sealados se encuentra, adems de la circunstancia de que el dato proceda de uno de los

c. Jorge Juan 6

28001 Madrid

www.agpd.es

ficheros que relaciona el artculo 44.4.g) que el contenido del dato tenga esa naturaleza a que alude el inciso final del expresado precepto legal. En este caso la informacin proporcionada del denunciante no permite hacer ninguna valoracin sobre el perfil o personalidad del mismo, por lo que la conducta es subsumible en la infraccin leve del artculo 44.2.e) de la LOPD. VI De acuerdo con lo establecido en el artculo 45.1 y 4 de la LOPD: 1. Las infracciones leves sern sancionadas con multa de 601,01 a 60.101,21 . 4. La cuanta de las sanciones se graduar atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daos y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuacin infractora. Teniendo en cuenta los criterios de graduacin de las sanciones recogidos en el citado artculo 45.4 de la LOPD y, en especial, la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento, procede la imposicin de la sancin al denunciado, en su cuanta mnima. Vistos los preceptos citados y dems de general aplicacin, El Director de la Agencia Espaola de Proteccin de Datos RESUELVE: PRIMERO: IMPONER a la entidad INSTITUTO ACCESS MADRID DE FORMACION, S.L., por una infraccin del artculo 10 de la LOPD, tipificada como leve en el artculo 44.2.e) de dicha norma, una multa de 601,01 (seiscientos un euros con un cntimo), de conformidad con lo establecido en el artculo 45.1 y 4 de la citada Ley Orgnica. SEGUNDO: NOTIFICAR la presente resolucin a INSTITUTO ACCESS MADRID DE FORMACION, S.L. y a Da. A.A.A.. TERCERO: Advertir al sancionado que la sancin impuesta deber hacerla efectiva en el plazo de pago voluntario que seala el artculo 68 del Reglamento General de Recaudacin, aprobado por Real Decreto 939/2005, de 29 de julio, en relacin con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida n 0182 2370 43 0200000785 abierta a nombre de la Agencia Espaola de Proteccin de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se proceder a su recaudacin en perodo ejecutivo. Si recibe la notificacin entre los das 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario ser hasta el da 20 del mes siguiente o inmediato hbil posterior, y si recibe la notificacin entre los das 16 y ltimo de cada mes, ambos inclusive, el plazo del pago ser hasta el 5 del segundo mes siguiente o inmediato hbil posterior.

7/7
De conformidad con lo establecido en el apartado 2 del artculo 37 de la LOPD, en la redaccin dada por el artculo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolucin se har pblica, una vez haya sido notificada a los interesados. La publicacin se realizar conforme a lo previsto en la Instruccin 1/2004, de 22 de diciembre, de la Agencia Espaola de Proteccin de Datos sobre publicacin de sus Resoluciones y con arreglo a lo dispuesto en el artculo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolucin, que pone fin a la va administrativa (artculo 48.2 de la LOPD), y de conformidad con lo establecido en el artculo 116 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, los interesados podrn interponer, potestativamente, recurso de reposicin ante el Director de la Agencia Espaola de Proteccin de Datos en el plazo de un mes a contar desde el da siguiente a la notificacin de esta resolucin, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artculo 25 y en el apartado 5 de la disposicin adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdiccin Contencioso-administrativa, en el plazo de dos meses a contar desde el da siguiente a la notificacin de este acto, segn lo previsto en el artculo 46.1 del referido texto legal. Madrid, 17 de enero de 2011 EL DIRECTOR DE LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS

Fdo.: Artemi Rallo Lombarte

c. Jorge Juan 6

28001 Madrid

www.agpd.es