Acabo de leer una interesante Sentencia (Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo, de 16 de marzo de 2006) donde se confirma una sanción de 300.000 euros a Iberia impuesta por la Agencia Española de Protección de Datos. Aparece extraviado en el aeropuerto de El Prat (Barcelona) un listado con nombres de pasajeros a los que había que entregar su equipaje, que previamente Iberia había perdido. La encargada de hacer esto es una empresa subcontratada, que es la que perdió este listado.
Al no incluirse en el contrato de prestación de servicios las previsiones del artículo 12 LOPD, la Agencia Española de Protección de Datos sancionó a Iberia: no se garantizaron las medidas de seguridad, y se consideró el tratamiento de la tercera empresa como una cesión no consentida por los titulares.
Esto me hace pensar en las empresas de mensajería que acceden a la identificación del destinatario del paquete/carta, y a su dirección postal, siendo esto es necesario para prestar su servicio.
La LOPD las considera encargadas del tratamiento (artículo 12, acceso a datos por cuenta de terceros). Se deben responsabilizarse de las medidas de seguridad que corresponden a los datos que reciben para el cumplimiento de su servicio. Datos a los que corresponde el nivel de seguridad básico.
Entre otras cosas se ha de evitar su pérdida, pero…¿no es este el riesgo más alto que corre una empresa de paquetería, los extravíos de paquetes o cartas? Tratando un grandísimo volumen de envíos, mayor es el porcentaje de riesgo que asumen.
¿Qué ocurre si no se incluyen las condiciones que marca el artículo 12 en el contrato de prestación de servicios? La consecuencia es que se les tratará igual que a Iberia, quien era responsable de la seguridad de los datos que cede para que le presten el servicio.
¿No debieran tener una especial diligencia estas empresas de paquetería en el tratamiento de datos? Debieran observar por sí mismas las medidas de seguridad. De lo contrario, con no firmar el contrato que impone el artículo 12 LOPD, o no marcar sus estipulaciones en el contrato de prestación de servicios, quedarán exentas de responsabilidad en caso de extravío de datos personales. Y esto no es lógico.
La expresión genérica “se cederán los datos a las empresas pertenecientes al grupo” es bastante utilizada en los clausulados de protección de datos que el titular no tiene más remedio que aceptar como una condición general.