El Tribunal Supremo confirma la multa de 1,08 millones de euros a Zeppelin Televisión, la productora del conocido reality “Gran Hermano“.
Numerosos medios de comunicación, como Noticias-Tic, El País, El Economista, etc, se han hecho eco de esta noticia. No obstante, en todos estos casos, se ha obviado información interesante y que ayudaría a comprender realmente el alcance tanto de la multa como del propio derecho fundamental a la protección de datos; por ejemplo ¿sabíais que todo comenzó por culpa de unos piratas informáticos?.
En cualquier caso para comprender bien el final de una historia es necesario conocer sus inicios; por eso he optado por dividir este tema en dos artículos. El primero, este, se centrará en los hechos que motivaron la intervención de la Agencia Española de Protección de Datos, las infracciones que se cometieron y la correspondiente multa que la AEPD estimó oportuno imponer; veremos también ciertos comentarios despectivos que los psicólogos de Gran Hermano ponían en las solicitudes de aspirantes. En el siguiente artículo examinaremos que opina el Tribunal Supremo.
En resumen, vamos a ver ahora qué hizo mal Zeppelin y por qué.
Aunque parezca algo actual, debemos remontarnos al año 2000 para ver el origen de la millonaria sanción. En el verano de ese año, unos piratas informáticos que se autodenominaron “The Evil hackers from the Hell” colgaron en Internet una base de datos con información de cientos de aspirantes al programa, con una serie de datos personales que analizaremos más adelante; en concreto, la base de datos que colgaron la podeis descargar DESDE AQUÍ/b.
El hecho pasó casi desapercibido, pero algunos medios de comunicación especializados, como Hispasec, dedicaron un artículo entero al tema (http://www.hispasec.com/unaaldia/624).
Al parecer, los hackers entraron al servidor de Zeppelin Televisión y sustrajeron un fichero con la base de datos que posteriormente colgarían en servidores de Alemania y Portugal para que cualquiera pudiera descargársela.
La propia AEPD constató desde sus ordenadores que era posible descargarse esta base de datos.
Vamos a ver ahora que datos tenía ese fichero: Nombre, Sexo, Edad, Número de Teléfono, Localidad, Provincia, etc, y Grado de Interés (Escala 0-7) mostrado respecto de cada uno de los siguientes 12 Factores Distintos de Motivación (F1-F12): por su carácter competitivo; porque me gustan las experiencias nuevas y diferentes; en lo que concierne a mi futura proyección social -quiero ser famoso-; exclusivamente por el premio en metálico; porque sé que puedo controlar perfectamente estas situaciones; por mi prestigio personal; porque me pagarán durante este tiempo -me parece interesante y no tengo otra cosa que hacer-; porque me gustan las experiencias y relaciones con la gente; porque me parece una experiencia que socialmente puede ser positiva; porque creo que puedo ayudar y conocer mejor a los demás y a mí mismo; porque voy a demostrar públicamente que soy el mejor, porque quiero saber dónde está mi límite.
Unos meses antes de que esto ocurriera, Zeppelin TV procedió a inscribir en el Registro General de Protección de Datos un fichero donde se preveía la inclusión de estos datos para el casting correspondiente, declarando, que Zeppelin TV era la responsable de ese fichero.
Los inspectores de la AEPD investigaron directamente a la propia Zeppelin, llegando a concluir que (y aquí viene el meollo principal de la cuestión e información curiosa de como funcionan estos programas):
Respecto al proceso de selección de los concursantes en el programa Gran Hermano, se siguieron las siguientes fases:
FASE 1: Se promocionó el programa-concurso por televisión, haciendo referencia a un número de teléfono a través del que podían inscribirse los interesados. Este número de teléfono era gestionado por otra entidad, quien se encargaba de grabar los datos personales aportados por los aspirantes, utilizando para ello un cuestionario. En total se recibieron unas 7.000 llamadas, obteniéndose datos relativos a: nombre y apellidos, edad, teléfono, dirección, localidad, provincia, nacionalidad, nivel de estudios, profesión o trabajo, estado civil, número de hijos, carácter según el propio aspirante, hobbies, motivación, así como la respuesta a las preguntas: ¿le apoyaría su familia? ¿ha estado antes en un programa de televisión? ¿cuáles? Esta compañía también obtuvo las respuestas a un test de motivación, que indicaban el grado de acuerdo o desacuerdo de los participantes con cada una de doce frases que se les formulaban. Como resultado de esta fase se obtuvo un fichero conteniendo los datos citados, en número de registros inferior a 7.000, el cual fue remitido a la coordinadora del proyecto en Zeppelin, a través del correo electrónico sin encriptar, en distintos trozos a medida que se iban grabando los datos.
FASE 2: Haciendo uso del fichero elaborado a partir de la información grabada, un gabinete de psicólogos se encargó de seleccionar unas 2.681 personas, que fueron tipificadas por un sociologo, a partir de los datos proporcionados por Zeppelin, de acuerdo a su profesión declarada y nivel de estudios, siéndoles asignado un código denominado Clase Social Subjetiva (CSS). A continuación, el sociologo remitió a Zeppelin el fichero conteniendo la información obtenida y complementada con el citado código. Este envío se realizó en dos tandas: una primera incompleta con unos 1.800 registros y otra posterior completa conteniendo los 2.681 registros. En ningún caso se envió ni recibió la información encriptada. Teniendo como base este nuevo fichero, Zeppelin llamó telefónicamente a los participantes para convocarles a un casting, que se realizó en diversas poblaciones del territorio español en función de la localización geográfica del participante. En este casting se les sometió a una prueba de cámara/imagen y a los siguientes tests: Cuestionario Biográfico, Cuestionario de Hábitos y Preferencias, Cuestionario de Personalidad Propia y de la Personalidad de la Pareja Ideal, incluyendo éstos dos últimos una hoja de respuestas para su lectura mecánica. Estos tests fueron entregados por Zeppelin al sociologo el cual se encargó de mecanizarlos para su lectura óptica.
FASE 3: A partir de los resultados obtenidos en la fase anterior, Zeppelin y el gabinete de psicólogos convocaron nuevamente a unos 200 seleccionados con objeto de someterles a una nueva prueba de cámara/imagen y a un nuevo test de inteligencia y psicopatías, que contenía también dos hojas de respuestas para lectura mecánica. La lectura de estos tests fue mecanizada por otra entidad diferente a las aparecidas hasta ahora.
FASE 4: Con los resultados de la fase anterior, se seleccionó un grupo de 57 aspirantes, a los que se sometió a una entrevista personal en la que participó Zeppelin y el gabinete psicológico, resultando como seleccionadas finalmente 25 personas.
FASE 5: De estas 25 personas, el sociologo convocó nuevamente a 17, que cumplimentaron un test de inteligencia emocional. A su vez, Zeppelin sometió a esas 17 personas a un test de 100 preguntas diversas.
Bien, ya adelanto que en todas estas Fases se han infringido varios artículos de la normativa de protección de datos (falta de información, falta de consentimiento, cesiones de datos, etc), pero vayamos por partes.
En una segunda Inspección, se encontraron en poder de Zeppelin, además de los cuestionarios precitados, otros relativos a cuestionarios de hábitos y preferencias, cuestionario de personalidad propia, cuestionario de personalidad de la pareja ideal y cuestionario para foto y vídeo, todos ellos cumplimentados con datos de carácter personal y con un apartado para observaciones del redactor, rellenado a mano, conteniendo comentarios subjetivos, en su mayoría indecorosos, sobre la apariencia física, psíquica o de comportamiento de quien rellenaba los cuestionarios.
Era necesario precisar todo lo anterior para comprender las infracciones en las que se incurrió y que paso a detallar:
Los 1,08 millones de euros (180.000.000 de pesetas entonces) era la suma de un total de 4 infracciones:
1ª: 5.000.000 de pesetas por infracción del artículo 5 LOPD. Esto es, este artículo obliga a informar previo a la recogida de datos, de una serie de aspectos, como por ejemplo, la finalidad de la recogida de los datos, los destinatarios de los mismos, el responsable de ese fichero, su dirección, etc. Esto es, cuando una empresa nos solicita nuestros datos personales, nos tiene que informar de todo ANTES de que los recabe; de no hacerlo, infringe este artículo 5. Como Zeppelin no informó en ningún caso, ni cuando se empezaron a recabar los datos, ni cuando se fue acotando los interesados mediante nuevas entrevistas y demás, la Agencia termina en imponerle la multa de 5.000.000 de pesetas (30.000 euros). Esto supone una infracción leve, que lleva aparejada una multa de entre 600 euros y 60.000 euros.
2ª: 75.000.000 de pesetas por infracción del artículo 7.3. Esto es, por faltar el consentimiento para el tratamiento de ciertos datos. Quedó perfectamente acreditado, un denominado «Cuestionario de Hábitos», donde se pregunta si la izquierda es la única opción válida para la igualdad de las personas, si vota a partido de izquierdas, si puede vivir perfectamente sin Dios y sin religión, si es religioso practicante, si los homosexuales le ponen nervioso, si le gusta el sexo con personas del mismo sexo etc. y en el aparatado de «Preferencias», si se considera una persona religiosa, si es de derechas, etc. En el Biográfico se le pregunta por el tamaño de su trasero, y si es mujer, por el de su pecho. Todos estos datos fueron tratados informáticamente, y aunque es cierto que fueron dados de forma voluntaria por aquellas personas que deseaban participar en el concurso de Gran Hermano, se precisa, de acuerdo el con el art. 7.2 de la LOPD , el consentimiento «expreso y por escrito» del afectado para el tratamiento de los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. En ellos existe un apartado, con las observaciones del redactor escritas a mano que contienen comentarios subjetivos, poco respetuosos con las personas. Como muestra, basta el siguiente ejemplo: «No me gusta, tiene pinta de yonki».
También ha quedado acreditado el tratamiento relativo a la salud mental de los participantes en el proceso de selección por el gabinete de psicólogos, a quienes les sometió a pruebas de evaluación de la fuerza emocional, vulnerabilidad ante el estrés, informes psicológicos semanales, informe sociológicos quincenales, KBP.
En definitiva, no bastaba con el consentimiento tácito de los afectados, sino que estos datos a los que la Ley otorga una protección especial, precisan para su tratamiento el consentimiento expreso de la persona.
Además, cuando en relación con estos datos, conforme al apartado 1 del art. 7, se proceda a recabar el consentimiento, se advertirá al interesado de su derecho a no prestarlo. Advertencia que en ningún momento se ha efectuado.
Total, que caso omiso al consentimiento por expreso que requiere facilitar ese tipo de datos (salvo excepciones que aquí no vienen al caso). Por tanto, multa de 75.000.000 de pesetas por una infracción muy grave. Las infracciones muy graves llevan aparejada una multa de entre 300.000 euros y 600.000 euros.
3ª: 75.000.000 de pesetas por infracción del artículo 11. Esto es, por ceder datos personales sin consentimiento. Si acudimos al art. 11 de dicha Ley, se dispone que «Los datos de carácter personal objeto del tratamiento automatizado solo podrán ser cedidos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario con el previo consentimiento del interesado».
A continuación dicho precepto enumera una serie de supuestos en los que no es preciso el consentimiento: cuando esté autorizado en una Ley; cuando se trate de datos accesibles al público; cuando el establecimiento del fichero automatizado responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con fichero de tercero. En este caso la cesión solo será legítima cuando se limite a la finalidad que lo justifique; cuando la cesión se haga al defensor del Pueblo, Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de sus funciones; y cuando se trata de datos de carácter personal relativos a la salud, en los caso que se citan.
De acuerdo con el art. 12 de la Ley Orgánica de 15/99, que contempla la prestación de servicios de tratamiento automatizado de datos por cuenta de tercero, estaría amparada la relación entre Zeppelin y el gabinete, en virtud del contrato suscrito entre ellos, en fecha 11 de febrero, de 2000 para la selección de concursantes. Y ello es completamente natural, porque si esta entidad ha de realizar los trabajos de selección estipulados en el contrato, es preciso que Zeppelin previamente le ceda aquellos datos de concursantes obtenidos de las primeras selecciones.
Así pues, la cesión de datos al gabinete era totalmente legítima, pero no lo era la realizada a los sociologos correspondientes con los que Zeppelin no tenía relación jurídica alguna porque con ellos no había firmado contrato alguno, y en ese caso se precisaba el pertinente consentimiento de los afectados, que por supuesto no existía. Por tanto, multa de 75.000.000 de pesetas por una infracción muy grave. Las infracciones muy graves llevan aparejada una multa de entre 300.000 euros y 600.000 euros.
4ª: 25.000.000 de pesetas por infracción del artícuo 9. Esto es, por no disponer de las medidas de seguridad adecuadas para evitar la fuga de datos. No entraremos ahora en catalogar todas las infracciones que se pueden derivar indirectamente de este artículo, sólo decir que como quedó más que probado, fue posible descargarse la base de datos de la que hablamos al principio y que además no tenía contraseña alguna. Las infracciones del artículo 9 se tipifican como graves, con multa de entre 60.000 euros y 300.000 euros.
En resumen, Zeppelin no informó del artículo 5 LOPD en la recogida de datos, no solicitó el consentimiento para el tratamiento de datos especialmente protegidos, no solicitó consentimiento para la cesión de los datos de los aspirantes a sociologos y demás, y por último no adoptó las medidas de seguridad necesarias para evitar el acceso no autorizado a los ficheros.
Aunque finalmente se sancionó con 1.08 millones de euros, la multa final, de aplicarse en su escala más alta, podría haber ascendido a algo más de 1,5 millones de euros.
(http://www.samuelparra.com/2007/05/11/108-millones-de-euros-de-multa-a-la-productora-de-gran-hermano/)
La negrita es original del autor, no mía
Segunda parte:
La defensa, en su recurso de casación, alegó hasta 10 motivos de casación de diversa índole, uno de ellos, como no podía ser de otra manera, intentaba echarle parte de la culpa a un tercero; todos ellos fueron desestimados por el Tribunal, pero sólo vamos a centrarnos en los que hacían referencia a la Ley Orgánica de Protección de Datos, dejando al margen los otros más propios de Derecho Procesal o Constitucional.
Por supuesto, es imprescindible conocer los hechos expuestos en la entrada anterior, por lo que si no la has leído, este es un buen momento.
Cuando uno lee la Sentencia puede percibir cierta desesperación en la parte recurrente (la defensa digamos) alegando todo lo que se les ocurrió y más.
En primer lugar intentaron hacer nulas todas las actuaciones de la AEPD interpretando incorrectamente la disposición adicional primera de la LOPD. Esta disposición indica que los ficheros de datos personales preexistentes a la entrada en vigor de la LOPD (enero de 2000) tendrán un plazo de 3 años (para los ficheros no automatizados) para inscribirlos y declararlos en la AEPD. La recurrente entendía sin embargo que esa disposición dejaba 3 años a las empresas con ficheros preexistentes para adecuarse a la normativa en protección de datos, y por tanto, Zeppelin no tendría obligación legal de cumplir con la LOPD hasta pasados esos tres años, pues el fichero con los datos de los participantes ya existía a la entrada en vigor de la Ley. Por supuesto, el Tribunal desestimó rápidamente este motivo de casación.
El segundo motivo la defensa intentó echarle parte de la culpa a Atento, entidad con la que celebró un contrato para la recogida de los datos de los participantes. En concreto, la defensa pretendía eludir la multa que venía por la infracción del artículo 5 LOPD (la de informar a los participantes de una serie de aspectos); entendía la recurrente, que como Atento era la que recababa los datos, ella era la que tendría que haber informado y por tanto es a ella a la que tendrían que sancionar. Sin embargo, el artículo 5 le es de aplicación a la figura del “Responsable del fichero”, es decir, de quien decide sobre la finalidad y usos de los datos. En este caso, era Zeppelin la que ostentaba esa figura pues era ella la que decidia sobre la finalidad del fichero y simplemente encargó a un tercero la recogida de los datos. Además, en una segunda fase Zeppelin convocó directamente a unos 200 seleccionados al objeto de someterlos a una prueba de cámara/imagen y un nuevo test de inteligencias y psicopatía, y tampoco informó a los interesados y lo mismo sucedió posteriormente respecto de 17 personas a las que sometió a un test de 100 preguntas, por lo que le es imputable tal incumplimiento.
A continuación alegan que la multa impuesta por la cesión de datos de los participantes a los sociologos y demás no procede, pues con el gabinete tenían firmados un contrato de tratamiento de datos (según artículo 12 LOPD). No obstante, aquí el Tribunal se limita a repetir lo mismo que expresó la Audiencia Nacional: los señores sociologos no eran miembros del gabinete, y por tanto, el contrato con este gabinete no les era vinculantes.
En cuarto lugar la recurrente acude a lo relativo a las medidas de seguridad señalando que la sentencia de instancia incurre en contradicción al argumentar que eran exigibles medidas de nivel medio y considerar que las medidas que incumplió la recurrente eran las de nivel básico. Alega que en todo caso se adoptaron las medidas de seguridad y aun de nivel superior al básico y concluye que no se produjo la infracción del art. 9 de la LOPD y alude al principio de proporcionalidad, señalando que no se ha acreditado que la no adopción de las medidas de seguridad supusiera un peligro real para el bien jurídico protegido.
El art. 9 de la Ley 15/99 establece que “1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
- No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
- Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el art. 7 de esta Ley.”[/i]
Por su parte el Real Decreto 994/99, de 11 de junio, que aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, distingue entre medidas de seguridad de nivel básico, medio y alto, señalando entre las primeras, reguladas en los arts. 8 a 14, la elaboración e implantación por el responsable del fichero de un documento de seguridad, de obligado cumplimiento para el personal con acceso a los datos informatizados y a los sistemas de información, que deberá contener como mínimo los siguientes aspectos: “a) Ambito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.”
Tal documento deberá mantenerse en todo momento y deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
El Tribunal entra a analizar el Documento de Seguridad y confirma que resulta acreditado que el Documento de Seguridad invocado correspondía a la empresa Media Bit y no a la recurrente, bastando la lectura de tal documento para observar que se refiere al personal y servidores de Media Bit, sin que en ningún momento se haga ninguna referencia al personal de Zeppelin. Como se recoge expresamente en el art. 8 y siguientes del Real Decreto 994/99, corresponde al responsable del fichero elaborar e implantar el referido documento de seguridad, así como adoptar las medidas necesarias para que el personal conozca las normas de seguridad, encargarse de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema, con el correspondiente procedimiento de asignación, distribución y almacenamiento de contraseñas, si este es el sistema, que garantice su confidencialidad e integridad, debiendo establecer procedimientos de identificación y autenticación y mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos a los autorizados. No podían prosperar, por lo tanto, las alegaciones que se formulan sobre la adopción de tales medidas, que aun siendo de carácter básico completan un cuadro de garantías de confidencialidad y ordenación del acceso a los datos objeto de tratamiento que no se ha cumplido en este caso, lo que justifica la sanción impuesta.
En último lugar la recurrente “se queja” de que las sanciones son demasiado elevadas en función del daño producido y demás. El Tribunal se ventila rápido este asunto afirmando que “Desde luego, no puede decirse que se ha vulnerado el principio de proporcionalidad, cuando la conducta observada por la entidad recurrente en la recogida de datos para la confección de un fichero sobre posibles concursantes del programa que conocemos, se ha basado en el más completo desprecio hacia la exigencia del consentimiento consciente e informado de los afectados. Exigencia de mayor intensidad cuando se refiere a los denominados “datos sensibles”, como pueden ser, de una parte, la ideología o creencias religiosas - cuya privacidad está expresamente garantizada en el art. 16.2 de la Constitución - y , por otra parte la raza, la salud y la vida sexual.”
Este es el final de la historia que ha tenido a Zeppelin con el caso Gran Hermano y a los diferentes órganos jurisdiccionales 7 años de litigios.
Como ya apuntó Andy Ramos en la entrada anterior, ahora Zeppelin lleva un cuidado exquisito a la hora de tratar los dato personales… sólo les ha costado algo más de un millón de euros aprender la lección.
Como comentario particular, si alguno de los lectores trata datos personales en su ámbito profesional, os recomiendo que no espereis a que os sancionen para cumplir con la legislación de protección de datos… puede ser demasiado tarde.
La negrita es original del autor, no mía
Sé que es un artículo largo y que quizás a muchos esto les eche para atrás, pero es realmente interesante... leyendo estas cosas uno comprende mejor cómo determinada gente acabó donde acabó...
P.D: Esperando la 2ª parte ya ^^