Protección de Datos multa a Microsoft Ibérica por tratar información personal sin permiso

La Agencia de Protección de Datos (APD) ha multado con 10 millones de pesetas a Microsoft Ibérica SRL por una falta grave, consistente en el tratamiento automatizado de datos personales sin el consentimiento de los afectados. La resolución sancionadora rebate las alegaciones de la entidad, que invoca la normativa de Estados Unidos. La APD razona que Microsoft Ibérica se ubica en España, en donde se produjo el tratamiento de datos personales de un número considerable de españoles, aunque originariamente se recogieran en Estados Unidos.

Juan Manuel Fernández López, director de la APD, organismo público encargado de garantizar el respeto a la intimidad en el tráfico de datos personales, ha notificado al despacho de abogados Uría & Menéndez, que asesora a la entidad sancionada, la resolución, de 24 folios, que será recurrida por Microsoft ante la Audiencia Nacional.El origen de la sanción fue la inspección realizada por la APD el 20 de mayo de 1999 a la empresa Microsoft Ibérica SRL, durante la cual el supervisor de Marketing-Servicios reconoció que dicha empresa es responsable de tres ficheros automatizados de datos personales: Marketing On Line I, MS Manager y Marketing On Line II.

En relación con este último fichero manifestó: "Marketing On Line II, en el que se incluyen los datos obtenidos semanalmente por Microsoft Ibérica a partir de la base de datos ubicada en la sede de Microsoft en Redmond (Estados Unidos) y relativos a residentes en España que han solicitado alguno de los servicios ofertados directamente por la empresa matriz (...), contiene en la actualidad 138.566 registros".

A partir de esta inspección, la APD inició un procedimiento sancionador, al que se opuso la entidad investigada, que alegó, entre otros argumentos, que la legislación aplicable es la de Estados Unidos, puesto que es allí donde, a través del sitio www.microsoft.com, Microsoft Corporation obtuvo los datos, cedidos después a sus filiales. Subsidiariamente alegó que creía contar con el consentimiento para el tratamiento de los datos o que era innecesario, al existir una relación de negocios con los afectados.

Entre los hechos que la APD consideró probados figura que Microsoft Ibérica, en su fichero Marketing On Line II, el 20 de mayo de 1999 tenía datos relativos "al nombre, apellidos, dirección postal y electrónica y perfil profesional de 138.566 personas (...), en su mayoría residentes en España", transferidos informáticamente desde su empresa matriz ubicada en Estados Unidos.

La APD constató que, aunque la persona que proporciona sus datos personales a Microsoft Corporation tiene la posibilidad de negarse a que sus datos sean conocidos por otras compañías, el fichero Marketing On Line II incluye "los datos de todas las personas residentes en España (...), incluso de aquéllas que han marcado la opción de que no se comparta su perfil con otras compañías".

Falta grave

La decisión sancionadora se fundamenta en que, con independencia de lo que establezca la legislación estadounidense, la ley aplicable en España permite sancionar como falta grave el tratamiento de datos personales sin consentimiento del afectado. Inicialmente, la instructora del expediente propuso una sanción por falta muy grave, superior a los 50 millones de pesetas de multa, pero finalmente el director de la APD la rebajó a 10 millones.

La APD llega a la conclusión de que, al suministrarse los datos, no existe información suficiente al usuario, aunque éste sea voluntario, "respecto a las cesiones y tratamientos ulteriores". Así, no se le informa de que, en caso de que no se niegue, "consiente tácitamente en la cesión o el tratamiento de los datos registrados". Y tampoco se le informa de la necesidad de acceder a la página Profile Center para la protección de la intimidad, "ni siquiera se informa expresamente de su existencia, ya que no figura un enlace para acceder directamente a la misma".

Las multas impuestas por la Agencia de Protección de Datos (APD) en 1999 alcanzaron los 1.571 millones de pesetas, según informó ayer el director de dicho organismo, Juan Manuel Fernández López, en la presentación de la Memoria del último año.