\ RSM20240305 - Resoluciones Relevantes
|
RESOLUCIONES RELEVANTES 27/10/2023 - 29/02/2024 |
|
Licitud del tratamiento, Privacidad desde el diseño, Datos biométricos, Minimización de datos, Exactitud de datos, Información, Transparencia, Información al interesado, Consentimiento, Legitimación... |
|
"... la AEPD entiende que no puede hablarse de un encargado de tratamiento si no existe un responsable. En su condición de prestador de servicios a empresas y ciudadanos, MAILTRACK determina los fines y los medios del tratamiento de datos en la prestación de su servicio, pues es quien define los fines de la cookie que se instala para realizar la prestación de su servicio de seguimiento de correos, estableciendo qué datos se recogen y con qué objeto son tratados." |
|
- Licitud del tratamiento – Entidades Bancarias - |
|
200.000 € a CAIXABANK por mantener los datos de un deudor moroso en el fichero de ASNEF a pesar de haber vendido la deuda a un tercero |
|
La reclamante denuncia ante la AEPD que, tras solicitar supresión de sus datos personales en el sistema de información crediticia ASNEF, le informan, mediante una carta enviada el día 28 de diciembre de 2022, que la entidad CAIXABANK había confirmado la existencia de la deuda pendiente de pago y su permanencia en el fichero. La reclamante entiende que no es posible por cuanto CAIXABANK había vendido un crédito moroso de su titularidad a otra entidad, aportando documento de venta notarial, de fecha 29 de septiembre de 2022, documentación aportada al Juzgado por parte del nuevo titular de la deuda, así como la aceptación de la subrogación por parte del Juzgado. Ante dichas circunstancias, se dio traslado de esta reclamación a CAIXABANK contestando que desde 22 de marzo de 2023 ya no constaban los datos de la parte reclamante en el sistema de información crediticia ASNEF. Entiende la AEPD que existe una falta de diligencia por parte de CAIXABANK en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos de carácter personales, pues de la documentación que obra en el expediente observan que CAIXABANK trató ilícitamente los datos de la reclamada, toda vez que constaban inscritos en el sistema de información crediticia ASNEF desde el 29 de septiembre de 2022, a pesar de que CAIXABANK había vendido la deuda pendiente de pago a AXACTOR, tal y como figura en escritura notarial de fecha 29 de septiembre de 2022, aportada por la parte reclamante, así como en el escrito dirigido por AXACTOR al Juzgado, en el que solicita la sustitución procesal como consecuencia de la existencia de la cesión, hasta el día 22 de marzo de 2023, fecha en la que CAIXABANK aporta documentación que acredita que los datos de la parte reclamante ya no constan inscritos en ASNEF. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 6 RGPD (Legitimación del tratamiento) |
|
Resolución: |
|
200.000 € (120.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
Anotaciones: |
|
|
|
- Privacidad desde el diseño – Sector energético - |
|
Sancionan con 100.000 € a una compañía eléctrica por no verificar que tenían el consentimiento del interesado |
|
La reclamante expone que es inquilina de una vivienda cuya gestión la realiza la inmobiliaria ENFOKA SISTEMAS GLOBALES, S.L. Según explica, el suministro de luz lo tenía contratado con Iberdrola pero el día 07/04/22 le cargaron en su cuenta factura de una compañía de luz por el suministro energético de la vivienda, de la que no tenía ningún conocimiento ni con la que no había contratado nada (HOLALUZ- CLIDOM). Puesta en contacto con ENFOKA, le indican que había sido un cambio masivo a todos los inquilinos del inmueble, y que se instó a la arrendataria en numeras ocasiones para que modificase la titularidad del suministro eléctrico. Al no tener contestación de la reclamante, se le envió un e-mail informándola de que se procedería a cambiar de compañía eléctrica el suministro de la vivienda que tenía alquilada, comunicando sus datos personales a la empresa Runup Business, S.L. (QLIP), empresa del canal comercial de HOLALUZ-CLIDOM. Después, QLIP trasladó a CLIDOM los datos de la reclamante y los datos de la persona que firmaba el contrato en nombre de la inquilina procediendo ésta a dar de alta el servicio. Todo este proceso se gestionó sin que la reclamante fuera informada de ello y sin su consentimiento. En el presente supuesto, la AEPD se dirige contra la entidad CLIDOM como responsable de los tratamientos de datos, toda vez que es quien determina la finalidad y medios de los tratamientos realizados con las finalidades señaladas en la documentación aportada relativa a la contratación de sus servicios, y así lo reconoce en su escrito de alegaciones. Como consecuencia, en su condición de responsable está obligada a cumplir con las obligaciones del art. 24 del RGPD, en especial en cuanto al control efectivo y continuado de las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de los datos realizados de los clientes es conforme con el RGPD, estableciendo las medidas de responsabilidad proactiva en función de los mayores riesgos que podrían producirse, entre los que se incluyen los supuestos de fraude y suplantación. Por su parte, CLIDOM manifiesta respecto de las medidas técnicas y organizativas implantadas para comprobar la recogida del consentimiento válido de los datos personales de los interesados, el sistema que dispone se basa en la revisión de un determinado porcentaje significativo de altas de usuarios finales, especialmente cuando éstos proceden de canales indirectos a CLIDOM, como es el caso en concreto. Si bien por razones de volumetría, no se realiza el control a la totalidad de las solicitudes de alta recibidas. Entiende la AEPD que se ha vulnerado la normativa al llevarse a cabo un tratamiento de los datos personales de la reclamante sin corroborar previamente la acreditación de la representación de quien le proporcionó los datos, o que comprobase, por cualquier medio, que la reclamante consintió efectivamente, realizar el cambio de compañía eléctrica o que consintió que se pudiera realizar un tratamiento de sus datos personales para ese fin. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 25 RGPD (Privacidad desde el diseño) |
|
Resolución: |
|
100.000 € |
|
Anotaciones: |
|
Indica la AEPD que el presente procedimiento sancionador no trata sobre la posible responsabilidad del encargado del tratamiento (QLIP) por el posible incumplimiento en el tratamiento de los datos personales de la reclamante por parte de la inmobiliaria ENFOKA, según lo establecido en el artículo 28 del RGPD, sino la responsabilidad del responsable último del tratamiento de los datos (CLIDOM), en base a lo estipulado en el artículo 25 del RGPD, por cuanto se ha constatado que, cuando se realizó el cambio de contratación del servicio a nombre de la inquilina (reclamante), CLIDOM, no realizó ninguna comprobación respecto del consentimiento de la reclamante al cambio de compañía eléctrica, más aún cuando el contrato del cambio de suministro venía firmado por persona ajena a la reclamante y que en dicho contrato no existía señal alguna que pudiera avalar la representación de esta persona en nombre de la reclamante. |
|
- Datos biométricos – Deportes - |
|
La AEPD emite una advertencia a la LALIGA por la licitación de un sistema de reconocimiento facial |
|
A raíz de una noticia publicada en el medio Economía digital, la AEPD ha realizado un comunicado público a LaLiga Group International, S.L. (LALIGA) advirtiéndole ante la licitación que está llevando a cabo de un contrato para desarrollar un sistema de reconocimiento facial para el acceso de los aficionados a los estadios. A dicha convocatoria se adjunta únicamente un Pliego de Bases de la Contratación del que se deduce que las propuestas a presentar por los candidatos deberán contener una oferta económica y una propuesta técnica de sistema de reconocimiento facial que se ajuste a los documentos que se aportarán por la LIGA a los candidatos preseleccionados en un momento posterior del procedimiento. No cabe duda de que el tratamiento de datos biométricos deberá estar precedido de una evaluación de impacto válida, que incluya como mínimo los apartados previstos en el artículo 35.7 del RGPD. Ello implica que no basta con realizar una EIPD, sino que habrá que superarla para que el tratamiento sea lícito y admisible legalmente. En el supuesto de LALIGA, cabe deducir que el sistema biométrico planteado para acceder a los estadios de fútbol puede ser útil para la organización, pero difícilmente necesario desde la óptica definida por el RGPD, ya que, este sistema no es el único con el que se puede lograr la finalidad pretendida. No cabe confundir necesidad con conveniencia de la organización, no siendo por ejemplo la hipotética rapidez en la verificación, la reducción de gasto, o la adaptación a los avances tecnológicos motivos que justifiquen la necesidad de utilizar estos sistemas. Estos favorecen a la organización y no a los aficionados, por lo que no son objeto de análisis cuando estamos valorando si este sistema tan intrusivo en el derecho fundamental a la protección de datos de carácter personal es realmente necesario o se puede evitar. Y es que, cuando existan opciones realmente equivalentes y disponibles para todos los aficionados para acceder a los estadios de fútbol que resulten menos intrusivas para sus derechos y libertades, y permitan identificar y verificar la identidad de los aficionados (como pueda ser la exhibición del título de acceso junto al documento acreditativo de su identidad) resulta difícilmente justificable la necesidad de implementar sistemas más intrusivos como son los de tratamiento biométrico. En el supuesto de que existan opciones realmente equivalentes y disponibles para todos los aficionados para acceder a los estadios, cabría entender que el consentimiento es el instrumento adecuado para dar validez al sistema, siempre y cuando se cumpliera con los requisitos del artículo 4.11 del RGPD y el resto de las condiciones del artículo 7 del RGPD, y se demuestre la necesidad objetiva y posibles alternativas. No obstante, esto implica que, si existen alternativas disponibles para que en un momento dado todos los aficionados opten por otras alternativas menos intrusivas para sus derechos y libertades, el tratamiento de datos biométricos dejará de ser necesario para la consecución de la finalidad. Toda vez que cuando el tratamiento es de alto riesgo (como es el caso), tiene que cumplir la evaluación positiva de necesidad (artículo 35.7.b). No solo será necesario cumplir con la evaluación positiva de necesidad, sino que, tras superar el juicio de proporcionalidad en sentido estricto y la evaluación de impacto, deberá igualmente superar la prohibición del artículo 9 del RGPD, así como resultar de aplicación alguna de las bases de licitud del tratamiento recogidas en el artículo 6 de la mencionada norma. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 24.1 RGPD (); Art. 25 RGPD (); Art. 35.7.b RGPD |
|
Resolución: |
|
Advertencia |
|
Anotaciones: |
|
La noticia en cuestión puede consultarse AQUÍ |
|
- Minimización de datos – Telecomunicaciones - |
|
50.000 € a Atresmedia por publicar en sus redes sociales un video de una pelea en el que se podía identificar a sus participantes |
|
En el escrito de denuncia se informa de la publicación de un vídeo en la red social Facebook donde se visualiza a un grupo de 3 hombres y una mujer propinando una agresión a un hombre tirado en el suelo, siendo posible ser reconocidos varios de los participantes. El presente procedimiento se inicia porque la parte denunciada publicó, en el sitio de internet (TWITTER), referido en los hechos, las imágenes de una agresión donde se aprecia, con toda nitidez los rostros de las personas intervinientes, tanto de los agresores como de la persona agredida, constituyendo, por tanto, un tratamiento de datos personales. La protección de datos no es un derecho absoluto, puesto que llegado el caso puede ceder ante la prevalencia de otros derechos y libertades también constitucionalmente reconocidos y protegidos, como, por ejemplo, el Derecho Fundamental a la Libertad de Información, debiéndose ponderar caso a caso. En el presente supuesto, se considera que el tratamiento llevado a cabo en el marco de la libertad de información ha sido excesivo, al no existir un interés público informativo prevalente en la difusión de las imágenes de los intervinientes en la agresión, sin que aporte valor añadido alguno a la información mantener los rostros de tal modo que haga identificables a las personas. Si bien no se pone en cuestión la libertad de información de los medios de comunicación, la situación podría haberse resuelto con la utilización de procedimientos técnicos para impedir el reconocimiento de las personas intervinientes en la pelea, tales como, por ejemplo, el pixelado de las caras, medida de seguridad aplicada, dependiendo del caso, de forma ordinaria por los medios de comunicación. Para que un asunto sea considerado de interés general, de relevancia pública, lo serán no sólo por la persona que intervenga, sino también por la materia a la que se refiere. Deben concurrir ambos requisitos, resultando que en el supuesto examinado las personas intervinientes no son públicas; más bien al contrario, es de gran interés que no sea reconocidas por terceras personas. Las personas intervinientes en la pelea son personas anónimas y deben seguir siéndolo, de tal forma que se garanticen plenamente sus derechos fundamentales |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.c) RGPD (Minimización de datos) |
|
Resolución: |
|
50.000 € (30.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
- Medidas de seguridad – Telecomunicaciones - |
|
Sancionan a DEH Online por la falta de medidas de seguridad al remitir la contraseña del certificado digital sin encriptar |
|
Se presenta por parte de SEDIA una denuncia ante la AEPD respecto de las prácticas llevadas a cabo por DEH ONLINE consistentes en la instrumentalización de certificados electrónicos cualificados para el acceso no autorizado a sedes de las Administraciones Públicas con el objetivo de la gestión de las notificaciones provenientes de las mismas, indicando que DEH se dedica a expedir certificados de firma electrónica sin realizar la verificación presencial, realizándose la emisión del certificado electrónico prescindiendo de la identificación del solicitante; y remitir con posterioridad la contraseña de su certificado digital en correo electrónico sin encriptar. A fin de acreditar dichas circunstancias, se contrata a un detective para que simulara una situación de extrema urgencia y remitiera un DNI alterado por él, engañando a TCT para que alterara el proceso establecido de verificación presencial. Por la AEPD, se considera que dichas conductas vulneran doblemente la normativa de protección de datos: - Falta de medidas de seguridad: DEH reconoce la infracción del art. 32 RGPD, al haber remitido al detective denunciante la contraseña de su certificado digital sin encriptar, y asume la responsabilidad, si bien discrepa de los criterios que de la individualización de la sanción, al considerar que no se ha tenido en consideración la inexistencia de perjuicio efectivo real en materia de protección de datos de remitir en claro a los solicitantes de certificados digitales la contraseña de su certificado, con la finalidad de facilitarles la descarga del mismo; reconoce que dicha práctica, ya abandonada, generaba un riesgo potencial. - Licitud del tratamiento: Se considera que la falta de verificación presencial afecta a la licitud del tratamiento, al no haber prestado su consentimiento de conformidad a la normativa. Ahora bien, en el presente caso, del escrito de la denuncia y de la diferente documentación de los agentes intervinientes en este proceso se desprende que para cumplir su encargo profesional el detective falseó su actividad, alegando razones de extrema urgencia y remitiendo un DNI alterado por él, engañando a TCT para que alterara el proceso establecido de verificación presencial. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 32 RGPD (Medidas de seguridad); Art. 6 RGPD (Licitud del tratamiento) |
|
Resolución: |
|
50.000 € (30.000 € por pago voluntario y reconocimiento de responsabilidad); |
|
|
|
|
|
- Exactitud de los datos – Ficheros de solvencia patrimonial - |
|
Sancionan con 50.000 € a ONEY por vender datos de deudas que no estaban actualizadas |
|
Los hechos denunciados se materializan en la inclusión de los datos de carácter personal de la reclamante en sistemas comunes de información crediticia derivado de una deuda reclamada en procedimiento monitorio ante el Juzgado, cuya resolución declaró como abusivas determinadas cláusulas por lo que no existía exactitud sobre la deuda al no estar determinada. Posteriormente la deuda sin ser recalculada fue adquirida por CABOT, quien a su vez incluye los datos en el fichero de morosidad por el mismo importe, por lo que se considera la supuesta vulneración de la normativa en materia de protección de datos personales. El reclamado ONEY SERVICIOS FINANCIEROS ha vulnerado el principio de exactitud de los datos, al ser cedidos los datos de la reclamante a un tercero (CABOT), adquiriente del crédito, quien los incluyó en el fichero ASNEF, vinculados a una deuda sobre la que existía contienda judicial y cuyo Auto posterior declaró que contenía intereses abusivos, por lo que no existía certeza sobre la misma debiendo ser recalculada. Como consecuencia del incumplimiento por la reclamante de sus obligaciones de pago se presentó demanda de procedimiento monitorio, reclamando la cantidad más intereses, gastos y costas. A pesar de ello, la deuda reclamada estuvo dada de alta en el fichero de morosidad por ONEY hasta el 22/07/2022, en el que procedió a su baja por el contrato privado de compraventa del crédito a la entidad CABOT, quien a su vez daría de alta los datos de la reclamante en el fichero ASNEF por el mismo importe. Por tanto, la deuda cedida en el citado negocio jurídico no fue objeto de actualización sin que el reclamado hubiera recalculado la misma; ONEY manifestó que informó a CABOT de que la deuda estaba discutida, pero tanto el importe cedido como el incluido en ASNEF por el cesionario continuó siendo el mismo. ONEY manifestó que cuando se formalizó el contrato de cesión de créditos se informó al cesionario de que algunos créditos tenían la consideración de litigiosos, entre ellos el crédito que afectaba a la reclamante, informando también del Auto judicial que no era firme. Por su parte, la AEPD indica que la infracción no trae causa por la inclusión de los datos en un fichero de morosos, sino por la cesión de datos a un tercero sin haber actualizado correctamente los mismos. El principio de exactitud requiere que el Responsable reduzca al máximo el riesgo de inexactitud, sobre todo si se tiene en cuenta que la interposición del posible recurso de apelación no producía efectos suspensivos, así como los perjuicios que suponía para los derechos y libertades del reclamante el mantenimiento de sus datos en un sistema de información crediticia. Por tanto, la cesión del crédito que el reclamado mantenía con la reclamante en el negocio jurídico formalizado con Cabot y que posteriormente éste incluiría en el fichero ASNEF, no es conforme con la normativa en materia de protección de datos de carácter personal |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.d) RGPD (Exactitud de los datos) |
|
Resolución: |
|
50.000 € |
|
|
|
|
|
- Información, licitud y transparencia – Correos electrónicos - |
|
100.000 € a MAILTRACK por comercializar un software de seguimiento para correos electrónicos |
|
El reclamante manifiesta haber recibido varios correos que implementan el software de MAILTRACK y considera que el emisor, con la ayuda del software MAILTRACK, transfiere datos a terceros sin su consentimiento. Además, considera que ni el enlace que aparece en el correo electrónico ni la política de privacidad de MAILTRACK informan suficientemente sobre qué datos se transfieren al emisor del correo ni sobre el tratamiento que se realiza sobre los datos. La compañía MAILTRACK ofrece una herramienta de seguimiento de correos electrónicos, que permite a los remitentes conocer si sus correos electrónicos han sido abiertos o no, a través de un sistema de seguimiento basado en píxeles. MAILTRACK ofrece un software para rastreo de correos electrónicos de forma que el emisor de un correo es informado a través del programa de que el receptor lo ha abierto y cuándo. Tales correos proporcionan un enlace al home page de mailtrack.io. Desde esta página inicial, se puede acceder a la política de privacidad descendiendo hasta el final de la página y clicando en el enlace denominado “Privacidad”. Con motivo de las actuaciones de investigación, la AEPD concluye: - En relación a la información al interesado: MAILTRACK reconoce que el enlace a la herramienta que hubiese impedido que los datos de los destinatarios de los correos siguiesen siendo tratados no funcionaba. No es sino con motivo de la incoación de este procedimiento en el que se modifica la política de privacidad de MAILTRACK. Por lo que, en el momento de la reclamación, no existía ningún medio técnico efectivo para que los datos de la parte reclamante fueran tratados por los usuarios del servicio de MAILTRACK. - Respecto a la legitimación: en lo que respecta al almacenamiento de la información y al acceso a la información ya almacenada de datos personales mediante el uso de la baliza web (dispositivo de seguimiento y recuperación de la información almacenada) utilizada por MAILTRACK para el servicio de seguimiento que presta MAILTRACK, no sería de aplicación el RGPD sino la citada “Directiva ePrivacy”. No obstante, sí que sería de aplicación el RGPD a los tratamientos posteriores que se hicieran de esos datos personales así obtenidos. No cabe duda de que MAILTRACK trata los datos para las finalidades objeto del servicio, principalmente el seguimiento de la apertura de correos electrónicos enviados por sus usuarios y su comunicación a los usuarios, y que respecto de estas finalidades actúa en calidad de responsable del tratamiento al no encontrarse definidas las instrucciones de los usuarios y resultar desproporcionado desplazar la responsabilidad a particulares amparados por la excepción doméstica. La condición de MAILTRACK como responsable de tratamiento determina que, para considerar lícitos tales tratamientos, deben cumplirse alguna de las condiciones del artículo 6.1 del RGPD. En el presente caso, no se da ninguno de los supuestos contemplados en el art. 6 del RGPD. - Lealtad y transparencia: en la política de privacidad se indica que los destinatarios de los correos pueden ser excluidos del seguimiento realizado por MAILTRACK si seleccionan la casilla de verificación “Opt-out” supuestamente disponible en la sección “Privacidad del Usuario”, pero esta afirmación es engañosa, toda vez que tal casilla no está disponible en la página web de MAILTRACK. También se indica en la política de privacidad que la única forma que tienen los destinatarios de ser excluidos del servicio que presta MAILTRACK es instalándose una cookie específica, que debe volver a ser instalada cada vez que se eliminen las cookies del navegador en cuestión, y que debe ser instalada en todos los navegadores que utilice. La otra opción que tampoco se menciona en la política de privacidad de la citada web, sino que se explica en un apartado de artículos sobre la herramienta, sería desactivar las imágenes en el correo del destinatario. |
|
Procedimiento: |
|
Artículos afectados: |
|
Arts. 13 y 14 RGPD (Información al interesado); Art. 6 RGPD (Legitimación del tratamiento); Art. 5.1.a) RGPD (Lealtad y transparencia) |
|
Resolución: |
|
100.000 € en total [20.000 € (Art. 13 y 14 RGPD); 30.000 € (Art. 6 RGPD); 50.000 € (Art. 5.1.a RGPD)] |
|
Anotaciones: |
|
MAILTRACK rebate la condición jurídica de responsable del tratamiento en la prestación de su servicio, indicando que se trata de un mero encargado que trata los datos personales de las comunicaciones que se transmiten a través de su servicio, por cuenta del responsable del tratamiento, que sería el usuario que contrata dicho servicio. Sin embargo, la AEPD entiende que no puede hablarse de un encargado de tratamiento si no existe un responsable. En su condición de prestador de servicios a empresas y ciudadanos, MAILTRACK determina los fines y los medios del tratamiento de datos en la prestación de su servicio, pues es quien define los fines de la cookie que se instala para realizar la prestación de su servicio de seguimiento de correos, estableciendo qué datos se recogen y con qué objeto son tratados. Debe diferenciarse entre los fines de los correos que se fijan por los usuarios y los fines del seguimiento que se determina por MAILTRACK. No se niega que son los usuarios los que determinan en particular quienes serán los destinatarios de los correos, por ello no se descarta que haya casos en los que exista corresponsabilidad, pero esta circunstancia no sucede cuando el usuario es un particular amparado por la excepción doméstica. |
|
- Derecho de supresión – Comunicaciones comerciales - |
|
10.000 € por no atender la solicitud de borrado de datos |
|
Se denuncia por el reclamante que, el 27/01/23 envió un correo electrónico a GRIMEY WEAR en el que solicitaba ejercer su derecho de borrado de todos sus datos personales que hubiera en los sistemas de parte reclamada para que no volvieran a enviarle más comunicaciones comerciales y el 30/01/23 recibe el acuse de recibo indicándole que “lo van a pasar al personal responsable”. El día 23/04/23 el reclamante vuelve a enviar un correo electrónico a GRIMEY WEAR recordando que aún no han borrado sus datos personales pues aún tiene acceso al sistema con sus datos y sus claves, contestándole que el borrado de sus datos se realizará inmediatamente, pero pese a ello, vuelve a recibir otros dos correos electrónicos publicitarios el 21/06/23 y el 01/07/23. Con fecha 03/08/23, como contestación al requerimiento de la Agencia, GRIMEY WEAR manifiesta que la entidad se encontraba en un periodo de transición de una plataforma web a otra cuando ocurrieron los hechos y que, durante ese proceso de migración se produjo una situación inesperada que resultó en el cruce de algunos datos de clientes antiguos siendo un incidente aislado por lo que pedía disculpas y garantizaba que dicha situación no volvería a ocurrir en el futuro pues habían puesto los medios técnicos necesarios para ello. En paralelo con ello, el reclamante recibe, con fecha 26/07/23, un correo electrónico de GRIMEY WEAR en el que le piden disculpas por los errores cometidos y le aseguran que han eliminado de forma definitiva todos sus datos personales de sus listas de difusión. No obstante, el día 11/08/23, el reclamante vuelve a recibir un nuevo correo electrónico publicitario desde la dirección perteneciente a GRIMEY WEAR. Por ello, pese a que el reclamante solicitó inicialmente la supresión de sus datos personales hasta en dos ocasiones, la misma no fue atendida, pues incluso, después de declarar ante la AEPD que los datos personales habían sido borrados, se volvieron a utilizar para enviarle un nuevo correo electrónico publicitario, lo que supone una infracción de la normativa de protección de datos |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 17 RGPD (Derecho de supresión) |
|
Resolución: |
|
10.000 € (6.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
Anotaciones: |
|
Este procedimiento está relacionado con otro, en el que se sanciona el envío de publicidad pese a la oposición del interesado PS-00469-2023 |
|
- Licitud del tratamiento – Redes Sociales - |
|
Sancionan con 1.000 € a un particular por exponer en redes sociales documentos en los que figuran los nombres de terceras personas sin autorización |
|
Se denuncia la publicación de datos personales y documentación relativa al reclamante en el perfil personal de un miembro de la corporación local del municipio La Iglesuela del Tiétar, con el fin de hacer campaña electoral y desprestigiarlo, colgando en su perfil de redes sociales diversos documentos relacionados con la licencia de varias obras a nombre del reclamante y sus respectivos planos de construcción, facturas de servicios de esquileo y venta ambulante prestados por el reclamante en los años 2015, 2018, 2019 y 2022 y libro de actas del año 1991, constando datos de terceros, incluido el padre del reclamante. Junto con los escritos de reclamación formulados aporta evidencia de las publicaciones realizadas desde el 28/02/23 hasta el 23/05/23, constando comentarios y valoraciones de la actitud y actuación del reclamante durante sus años de en la corporación y con posterioridad. Por su parte, el reclamado indica que todos los documentos son de carácter público e incluso algunos no proceden del archivo municipal ni corresponden con expedientes del consistorio. Además, indica que ja procurado tachar y borrar todo lo que no fuera el nombre de la persona con la que mantiene la disputa política. No obstante, la AEPD considera que la publicación en el perfil personal del reclamado de datos personales del reclamante sin su consentimiento supone un tratamiento sin legitimación por parte del reclamado, lo cual vulnera lo establecido en el artículo 6 del RGPD |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. RGPD (Legitimación del tratamiento) |
|
Resolución: |
|
1.000 € (600 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
- Consentimiento – Comunicaciones comerciales - |
|
Sanción de 2.000 € por enviar publicidad por SMS a un particular inscrito en la Lista Robinson |
|
El reclamante presenta ante la AEPD una reclamación contra MOBILITY AUTOCENTRO indicando que recibe Spam de dicha entidad pese a estar dado de alta en la lista Robinson. Son SMS de publicidad de numeración corta que contienen un link que abre a ofertas de coches, recibiendo dicho mensaje en numerosas ocasiones, sin que tenga la posibilidad de darse de baja de esta lista de spam. Queda acreditado que MOBILITY AUTOCENTRO está prestando servicios de la sociedad de la información, y se ha comprobado que a través de su página web, se ofrece información comercial de la marca MERCEDES BENZ, y ofertando diferentes servicios electrónicos de venta de vehículos (tales como reservar o solicitar presupuesto para su adquisición, entre otros). Como prestadora de servicios de información y responsable del tratamiento de datos, MOBILITY AUTOCENTRO está sujeta al cumplimiento de las obligaciones previstas en la LSSI cuando presta estas actividades económicas por vía electrónica, y en especial, cuando remite comunicaciones comerciales; y no ha quedado acreditado en ningún momento la existencia de relación contractual previa con el reclamado que justifique dichas comunicaciones. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 21 LSSI (Prohibición de comunicaciones comerciales) |
|
Resolución: |
|
2.000 € (1.200 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
- Legitimación y Encargo de tratamiento – Sector energético - |
|
Sancionan a WATIUM con 120.000 € formalizar un contrato sin consentimiento del interesado y por la falta de formalización del encargo de tratamiento al momento del tratamiento |
|
El reclamante denuncia a WATIUM, S.L., manifestando que en el mes de abril de 2022 recibió una llamada de teléfono cuyo interlocutor se identificaba como su empresa suministradora de luz (Endesa) y el cuál le ofrecía unas tarifas más ventajosas. Al tener presente que el mismo conocía todos sus datos personales y pensando que se trataba de la misma compañía que le prestaba dicho servicio, accedió a su contratación. Sin embargo, más tarde tuvo conocimiento que lo que se había efectuado en dicha contratación telefónica era un cambio de compañía sin su consentimiento con la compañía WATIUM. Posteriormente, con motivo del cambio comenzó a recibir llamadas y mensajes de texto por parte de una entidad de gestión de cobros (SKYNET LEGAL) donde se le reclamaban cantidades adeudadas en nombre de la WATIUM. - Respecto a la legitimación del tratamiento: WATIUM ha podido realizar un tratamiento de los datos personales del reclamante, sin que existiese ninguna de las causas que la legitimase previstas en el mencionado artículo 6 del RGPD. Dicho tratamiento ha consistido presuntamente en la formalización de un contrato de suministros sin el previo consentimiento por la parte reclamante, lo que ha provocado que se generasen distintas facturas a ésta última, así como la reclamación de dichas cantidades por parte de una entidad dedicada, entre otros fines, a la gestión de cobros. Respecto a la contratación, WATIUM afirma que no dispone de dicho contrato dado que no ha sido facilitado por la prestadora de servicios de telemarketing. Posteriormente afirma que los datos fueron obtenidos a través de un contrato con otra empresa donde se cedía una cartera de clientes, sin aportar la relación de los mismos que figuraban en esa presunta cartera, así como el consentimiento de los interesados para el tratamiento de dicha cesión. Por otro lado, debe de tenerse en cuenta que dicho tratamiento ilícito ha conllevado que el reclamante haya recibido llamadas y mensajes de una empresa dedicada a la gestión de cobros, y a través de los cuales reclamaba diversas cuantías en virtud del contrato presuntamente fraudulento. - Respecto al encargo de tratamiento: En el momento del tratamiento de los datos por parte de SKYNET LEGAL S.L, en el que se realizaron los requerimientos de las cantidades en nombre de WATIUM, no existía contrato u acto jurídico previo entre éste y el encargado del tratamiento. Si bien con posterioridad se presentó ante la AEPD un encargo firmado, respecto a dicho tratamiento no es posible tener en cuenta los contratos presentados, puesto que están firmados en fecha posterior a la solicitud de los requerimientos por esta entidad. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 6.1 RGPD (Legitimación del tratamiento); Art. 28 RGPD (Encargo del tratamiento) |
|
Resolución: |
|
120,000 € [70.000 € (Art. 6 RGPD); 50.000 € (Art. 28 RGPD); (72.000 € por pago voluntario y reconocimiento de responsabilidad)] |
|
|
|
|
|
- Legitimación y Encargo de tratamiento – Sector energético - |
|
Nueva sanción a WATIUM por modificar la compañía de gas sin consentimiento del titular y no haber formalizado un encargo de tratamiento con la empresa de telemarketing |
|
La reclamante expone una serie de hechos en relación con la relación contractual que mantenía con la empresa Naturgy y cómo la misma se vio afectada por la intervención de otra entidad, Masluz. Según dicho escrito, el 22 de febrero de 2022, la entidad reclamada WATIUM .S.L., sin previo aviso o consentimiento de la reclamante, rescindió el contrato de suministro de gas que este último mantenía con Naturgy, y en su lugar, se procedió a establecer un nuevo contrato con una empresa diferente, Masluz. La reclamante tuvo conocimiento de esta acción el 9 de marzo de 2022, fecha en la cual recibió una comunicación oficial enviada por Naturgy, en la cual se le informaba de la terminación de su contrato de gas. Ante dicha situación, la parte afectada decidió desistir del contrato que, sin su autorización, se había establecido con Masluz para, posteriormente, suscribir nuevamente el contrato con la suministradora Naturgy. Con el fin de aclarar tales hechos, solicitó a Masluz la grabación del otorgamiento del consentimiento al contrato que supuestamente había aceptado sin que, hasta la fecha, haya recibido dicha grabación. Como respuesta, se le remitió un contrato con dicha entidad donde figuran sus datos personales pero que carece, tanto de su firma como de cualquier otro indicio de su aprobación o aceptación. de las actuaciones de investigación, se obtiene lo siguiente: - Respecto a la legitimación del tratamiento: WATIUM.S.L. admite que, por error, procedió a la reactivación de la reclamada en fecha 24 de febrero de 2022. La reactivación se realizó respecto al contrato con fecha de 22 de junio de 2021, anterior al reclamado, y que desistió una semana más tarde, con fecha 30 de junio de 2021. WATIUM indica que su procedimiento de verificación de las contrataciones se inicia con la comprobación de la grabación de las llamadas y reconoce que el prestador de servicios de telemarketing no facilitó las mismas. Como consecuencia de dicho tratamiento se ha formalizado un contrato sin que existiese el previo consentimiento por la parte reclamante, lo que provocó que se le realizasen cargos a ésta última y que, asimismo, la misma tuviera que desistir de dicho contrato para, nuevamente, realizar la contratación con la anterior suministradora. - Respecto al encargo de tratamiento: WATIUM reconoce que con la empresa prestadora de los servicios de telemarketing encargada del tratamiento no existe ningún contrato u acuerdo alguno relativo al tratamiento de los datos personales, pese a que el tratamiento de datos personales por parte del encargado de tratamiento debe de realizarse a través de una previa contratación entre éste y el responsable del tratamiento. WATIUM justifica dicha ausencia indicando que, en su actividad de prestador de servicios de telemarketing, ALPA57 es responsable del tratamiento, motivo por el cual no se ha suscrito ningún contrato de encargado del tratamiento para dicho objeto. Dicha afirmación contrasta, sin embargo, con otra reiterada en diversas ocasiones por la misma entidad, según la cual el prestador de servicios de telemarketing cedía a WATIUM los datos personales de interesados a los que se les ofrecería los productos y servicios de WATIUM y que, posteriormente, dicho prestador de servicios de telemarketing actuaba en calidad de encargado del tratamiento de WATIUM para la oferta de sus productos y servicios, así como de la contratación de los mismos. Además, se indicaba que el prestador de servicios de telemarketing únicamente podía realizar acciones comerciales sobre aquellos interesados que le habían proporcionado su consentimiento de ceder sus datos personales a WATIUM para dicha finalidad. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 6.1 RGPD (Legitimación del tratamiento); Art. 28 RGPD (Encargo del tratamiento) |
|
Resolución: |
|
120,000 € [70.000 € (Art. 6 RGPD); 50.000 € (Art. 28 RGPD); (72.000 € por pago voluntario y reconocimiento de responsabilidad)] |
|
Anotaciones: |
|
|
|
- Legitimación y Cartelería – Videovigilancia - |
|
Multan a un particular por disponer de cámaras que graban audio y un cartel de videovigilancia en blanco |
|
La reclamante manifiesta que es vecina de la parte reclamada B.B.B. y que esta ha instalado en la entrada de su vivienda un sistema de videovigilancia que apunta hacia el cristal de la medianía que separa las viviendas, captando imágenes y sonidos de su vivienda, siendo una cámara que, a su vez, por su ubicación y orientación, es susceptible de captar imágenes de la vía pública que transcurre junto a la vivienda de la parte reclamada. Aporta imágenes de la ubicación de las cámaras y dos videos de lo captado por dicho sistema. Observada la documentación aportada, la cámara instalada por la reclamada no capta imágenes de la vivienda de la reclamante ni tampoco de la vía pública, pero sí que está grabando sonidos, incluidas las voces de las personas que se encuentran en la vivienda de la parte reclamante, sin tener legitimación para ello. Asimismo, la instalación de una videocámara conlleva la obligación ineludible de advertir la presencia de la misma mediante un dispositivo informativo, en lugar suficientemente visible, identificando al menos la existencia del tratamiento, la identidad del responsable, y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del RGPD, y si bien está instalado un cartel en la puerta de entrada a la vivienda de B.B.B., se encuentra en blanco, sin incluir la información preceptiva sobre el responsable del tratamiento de datos y a qué dirección dirigirse para el ejercicio de derechos. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 6 RGPD (Legitimación del tratamiento); Art. 13 RGPD (Información al interesado) |
|
Resolución: |
|
800 € en total [500 € (Art. 6 RGPD); 300 € (Art. 13 RGPD)] |
|
|
|
|
|
- Confidencialidad, Disponibilidad y Privacidad desde el diseño – Entidades bancarias - |
|
Multa millonaria a CAIXABANK por un error en el sistema que permitía a cualquier usuario consultar las transferencias que se realizaban |
|
Se denuncia por el reclamante, cliente de CaixaBank, que a raíz de una actualización de los datos de contacto en su área personal, pudo consultar desde su área personal, un documento relativo a una transferencia realizada por un tercero a otra persona desconocida (en el que figuran numerosos datos personales, tales como DNI, domicilio postal, número de cuenta bancaria, etc.). Tras las actuaciones de investigación, la AEPD llevó a cabo una serie de pruebas, concluyendo que la “afectación potencial del incidente” podía extenderse a “todos los clientes de CaixaBank”. Considera que la entidad no reaccionó de manera adecuada para corregir la brecha tras tener constancia de ella y que incluso entonces su solución fue un mero parche. La resolución señala a su vez que la entidad “no tenía unas medidas de seguridad adecuadas al riesgo en los derechos y libertades de los interesados, aunque no hubiera habido brecha de datos personales”. - Respecto a la confidencialidad y disponibilidad: Mediante el art. 5.1.f) del RGPD se sanciona una pérdida de confidencialidad y disponibilidad. De una parte, se ha provocado la pérdida de confidencialidad de unos datos de carácter personal relativos a dos personas: El ordenante de la transferencia (otro cliente de CaixaBank) y el beneficiario de la misma (un tercero, cliente otra entidad bancaria). La posibilidad de tener acceso a un comprobante con los datos personales de otras dos personas, que no conocía, producía en el reclamante una pérdida de confianza en relación con el tratamiento de sus datos bancarios realizado por parte de CaixaBank. Simultáneamente, el reclamante carecía del comprobante de la actualización de los datos de contacto, documento que no estuvo a su disposición hasta dos años más tarde - De la falta de medidas de seguridad: La AEPD aprecia importantes carencias desde el punto de vista de medidas de seguridad en el momento en el que se produjo la brecha de datos personales objeto de este expediente. No basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso. En este procedimiento sancionador, la AEPD no sanciona por la producción material y efectiva de una brecha de seguridad, sino que considera, a raíz del análisis de los procedimientos implantados, que no existían unas medidas de seguridad adecuadas al riesgo en los derechos y libertades de los interesados, aunque no cuando no se hubiera producido otra brecha de datos personales. El diseño actual del sistema se apoya en determinados criterios que, aun cuando CaixaBank considere que se ha solucionado, la raíz del problema sigue estando, por lo que el riesgo sigue latente, permitiendo que pueda volverse a producirse la brecha de datos personales - Sobre la privacidad desde el diseño: Uno de los pilares del RGPD es la identificación y evaluación de los riesgos en los derechos y libertades de los interesados, a fin de adoptar las medidas técnicas y organizativas de todo tipo destinadas a evitar su materialización, por lo que las actuaciones han de ser preventivas y no reactivas. En el presente caso, la perspectiva del riesgo que ha manejado CaixaBank no ha sido correcta. No ha estado focalizada en los interesados sino en los riesgos para su propia organización, enfocando sus procedimientos desde una perspectiva bancaria, de seguros y de consumo; y no de protección de datos. CaixaBank ha ido actuando de forma reactiva, solventando las cuestiones, tanto de la reclamación como de los procedimientos diseñados, conforme se le iban requiriendo o planteando, no actuando de forma sistémica, previsora y global; lo que supone un problema interno de la organización, que es sancionable aún en el supuesto de que no se hubiera producido ninguna brecha de datos personales. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.f) RGPD (Confidencialidad); Art. 25 RGPD (Privacidad desde el diseño); Art. 32 RGPD (Medidas de seguridad) |
|
Resolución: |
|
5.000.000 € [2.000.000 € (Art. 5.1.f.RGPD); 1.500.000 €(Art. 25 RGPD); 1.500.000 € (Art. 32 RGPD)] |
|
|
|
|
|
- Minimización de datos y Cartelería – Videovigilancia - |
|
La AEPD mantiene la sanción por tener cámaras enfocando a la finca vecina, pese a su posterior retirada |
|
La reclamante manifiesta que su vecino B.B.B., propietario de una finca vecina a una finca propiedad de la reclamante, ha instalado cámaras de videovigilancia que se orientan a la finca de la reclamante, sin contar con autorización para ello. Aporta documentación catastral de la finca propiedad de la parte reclamante e imágenes de la ubicación de las cámaras. Por su parte, B.B.B. presenta escrito de respuesta indicando que las cámaras se pusieron porque sufría actos vandálicos en su propiedad y que no graban imágenes, sólo las visualiza. B.B.B. manifiesta que cuenta con la autorización de todos los vecinos de su calle para captar sus casas, menos una vecina que no se lo ha dado. No ha aportado imágenes del campo de visión de las cámaras para valorar si la captación de la vía pública es o no proporcional y la fotografía del cartel informativo que adjunta con su contestación, no permite apreciar cuál es el contenido del cartel; sin que en ningún momento subsanara dichas deficiencias a pesar de los requerimientos de la AEPD. Finalmente, transcurrido unos meses, manifiesta haber quitado las cámaras, aportando fotografías donde se observan que las ha quitado. En este caso, con la documentación obrante la AEPD aprecia que B.B.B. tenía instaladas cámaras que no eran conformes con la normativa de protección de datos, y el hecho de retirarlas con posterioridad no impide que la infracción ya se haya cometido. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.c RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado) |
|
Resolución: |
|
600 € en total (300 € cada infracción) |
|
|
|
|