\ RSM20240606 - Resoluciones Relevantes
RESOLUCIONES RELEVANTES 06/04/2024 - 31/05/2024 |
Privacidad desde el diseño, Datos biométricos, Minimización de datos, Cookies, Legitimación, Confidencialidad, Redes sociales, Videovigilancia, Ejercicio de derechos, Incumplimiento de resoluciones, Información al interesado... |
- Privacidad desde el diseño – Página web - |
Multan a EMAILING NETWORK con 20.000 € por falta de seguridad en su página web |
La reclamante denunció ante el CNIL que dentro del sitio web de EMAILING NETWORK puedes dar de alta tu dirección de correo electrónico para recibir anuncios introduciendo además otros datos personales. A la hora de darse de baja en el servicio, la reclamante ha observado que, introduciendo únicamente su dirección de correo electrónico, se accede a los siguientes datos: nombre, apellido, código postal, fecha de nacimiento, género y país. No es necesario introducir ningún otro factor de autenticación como pudiera ser una contraseña, lo que podría hacer que el sitio web fuese vulnerable a posibles ataques de fuerza bruta que extrajesen estos datos personales. Por parte del CNIL (autoridad francesa de protección de datos), se considera que la empresa denunciada es una filial de la empresa española, por lo que el establecimiento español podría ser el establecimiento principal. Consta acreditado que en la página web se puede dar de alta un perfil rellenando nombre y apellidos, correo electrónico, fecha de nacimiento, código postal, país y género. Una vez dado de alta el usuario, entrando en la página web se puede acceder a dichos datos mediante la introducción de la dirección de correo electrónico, es decir, no se requiere la introducción de contraseña para acceder a dichos datos. No obstante, si bien los datos personales eran accesibles con sólo introducir la dirección de correo de una persona registrada, no ha quedado acreditado que terceras personas hubieran accedido a ninguna información personal titularidad del responsable de tratamiento. Tal y como se ha configurado el registro en esta página web, no se habrían analizado de forma adecuada los riesgos para los derechos y libertades de las personas físicas, ni previsto ni aplicado desde el diseño las medidas técnicas y organizativas apropiadas, para aplicar de forma efectiva los principios de protección de datos, como el principio de confidencialidad, que exige el artículo 25 RGPD. La falta de previsión de estas medidas desde el diseño podría determinar que cualquier persona que introdujera un correo electrónico que estuviera registrado, podría acceder a los datos personales sin autorización para ello. |
Procedimiento: |
Artículos afectados: |
Art. 25 RGPD (Privacidad desde el diseño); Art, 32 RGPD (Medidas de seguridad) |
Resolución: |
20.000 € en total (10.000 € cada infracción; 12.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Consentimiento – Comunicaciones comerciales - |
5.000 € por seguir remitiendo publicidad después de confirmar la baja |
El denunciante manifiesta que, tras haber sido dado de alta en el boletín publicitario de ASESORÍA Y PROGRAMACIÓN PROFESIONAL (en adelante, APP) tras proporcionar el e-mail como método de contacto en una tienda, intentó en repetidas ocasiones darse de baja a través del vínculo proporcionado en los correos de dicho boletín, pero pese a recibir confirmación por email ha seguido recibiendo correos publicitarios. Aporta junto a la reclamación copia de los correos solicitando la baja, correos confirmando la misma y nuevos correos publicitarios. Tras dar traslado de la reclamación, APP indica que se ha producido un malentendido. Indica que el usuario, voluntariamente, se dio de alta en su boletín informativo utilizando la dirección de correo electrónico nombreapellido@gmail.com. Posteriormente, el usuario intentó darse de baja del boletín, proporcionando una dirección de correo electrónico ligeramente distinta, nombre.apellido@gmail.com, procediendo APP a dar de baja la dirección inicialmente proporcionada, nombreapellido@gmail.com. Prosigue indicando APP que, la continuación en la recepción de correos por parte del usuario se debe a una característica específica del servicio de correo electrónico de Gmail, que trata ambas direcciones como equivalentes (nombreapellido@gmail.com y nombre.apellido@gmail.com) situación que no se replica en otros servicios de correo electrónico. Esta particularidad de Gmail, desconocida para el usuario, fue la raíz del malentendido. Entiende la AEPD que si el reclamante proporcionó la dirección de correo electrónico nombreapellido@gmail.com para darse de alta en el boletín informativo y después, cuando solicitó la baja del sistema, proporcionó otro correo diferente, nombre.apellido@gmail.com, aunque la entidad, “actuando de buena fe” procediese a dar baja la primera dirección (nombreapellido@gmail.com), nunca debió utilizar la segunda dirección de correo para seguir enviándole publicidad. El hecho de que APP enviara correos electrónicos publicitarios al reclamante habiendo éste solicitado que no le envíen más publicidad y haber confirmado la parte reclamada no volver a enviarlas constituye una vulneración de lo establecido en el artículo 21 de la LSSI, |
Procedimiento: |
Artículos afectados: |
Art. 21.1 LSSI (Comunicaciones comerciales sin consentimiento) |
Resolución: |
5.000 € |
|
|
- Confidencialidad y brecha de seguridad – Sector sanitario - |
80.000 € al INSTITUT MARQUÉS de Barcelona por una brecha de seguridad |
Por parte de INSTITUT MARQUÉS OBSTETRICIA I GINECOLOGIA, S.L.P. se informa a la AEPD de una Brecha de disponibilidad por ciberataque con posibles consecuencias para los afectados, indicando que hay indicios de que datos extraídos por la brecha han sido utilizados para el envío de correos electrónicos a los afectados. Los afectados son aproximadamente 400 usuarios, incluyendo pacientes y empleados; y los datos afectados incluyen Datos de identidad, imagen, datos de contacto, datos económicos y de medios de pago, y datos de salud y genéticos. La fecha de detección de la brecha: 21 de diciembre de 2021; si bien la comunicación a los afectados se produjo el día 29 de marzo de 2022 a consecuencia del conocimiento, el día 25 de marzo de 2022, de que sí que había sido afectada la confidencialidad de los datos. Tuvieron conocimiento de esto debido a que INSTITUT MARQUÉS recibió un correo electrónico desde una cuenta que contenían sus propios datos extraídos de los sistemas de información de la entidad. Como consecuencia de la brecha, consta que los datos personales de más de 400 usuarios, obrantes en la base de datos de INSTITUTO MARQUÉS, fueron accedidos por un tercero como producto de la brecha de seguridad sufrida. Asimismo, consta la existencia de indicios razonables y suficientes de que las medidas de seguridad, tanto de índole técnica como organizativas, con las que contaba INSTITUTO MARQUÉS en relación con los datos que sometía a tratamiento, no eran las adecuadas; teniendo en especial consideración que la empresa trata datos de salud, raza, entre otros, por tratarse de datos sensibles cuya vulneración implicaría un riesgo mayor para los derechos y libertades de los individuos, se supone un riesgo añadido que se ha de valorar y que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de la integridad y confidencialidad de estos datos. Por último, la comunicación a los interesados no se habría producido “sin la dilación indebida” que establece el artículo 34, en la medida en que se tiene constancia del ataque el día 21 de diciembre de 2021, y las posibles comunicaciones no comenzaron a realizarse hasta el día 25 de marzo de 2022, es decir, tres meses después de la constancia del ataque informático, sin que se justifique el motivo de tal dilación. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad); Art. 34 RGPD (Notificación a los interesados) |
Resolución: |
80.000 € [50.000 € (Art. 5.1.f RGPD); 20.000 € (Art. 32 RGPD);10.000 € (Art. 34 RGPD) ;(48.000 € por pago voluntario y reconocimiento de responsabilidad)] |
|
|
- Confidencialidad – Videovigilancia - |
Hasta 10.000 € por difundir por WhatsApp imágenes procedentes de las cámaras de videovigilancia |
La reclamante manifiesta que, durante una cena con compañeros de su empresa, en un restaurante de ***LOCALIDAD.1 del cual es titular MORENO Y ARANA se recogieron, por el sistema de videovigilancia de dicho local, unas imágenes donde se mostraba su torso parcialmente desnudo. Afirma que dichas imágenes fueron difundidas a un compañero de trabajo, teniendo conocimiento de ello en virtud de una conversación a través de WhatsApp con este último, quien le informó haber recibido dichas grabaciones. Por parte de la AEPD, se solicitó al compañero de trabajo B.B.B. información sobre los hechos, solicitando en particular, la fuente de contenido del video en cuestión que recibió en su dispositivo móvil. El trabajador afirma que “la fuente del contenido objeto de esta reclamación ha sido D. C.C.C., quien envío vía Whatsapp el contenido a mi representado. El Señor C.C.C. trabaja, o trabajaba, en el restaurante donde se produjeron los hechos, Restaurante ***RESTAURANTE.1 de ***LOCALIDAD.1”. Respecto a la causa o motivo de la obtención de dicho contenido afirma que fue debido a que el mencionado trabajador del restaurante, al reconocerle por tratarse de un cliente habitual del establecimiento y con el fin de que resultase necesario a efectos legales, le solicitó ayuda para de identificar a la parte reclamante debido a las quejas que se habían producido por parte de ciertos clientes que se encontraban en el restaurante el día que sucedieron los hechos. En el presente supuesto se desprende la difusión de unas grabaciones captadas por un local perteneciente a la entidad MORENO Y ARANA y en las cuales aparece la reclamante. Dicho hecho pone en evidencia la falta de aplicación de medidas adecuadas de todo tipo, técnicas y organizativas, que garanticen la confidencialidad de los datos personales; en particular, los de la reclamante. Dicho hecho viene asimismo confirmado por el escrito presentado por el compañero de trabajo y a través del cual manifiesta de forma expresa haber recibido por WhatsApp dichas grabaciones a través de un trabajador del restaurante donde se produjeron los hechos |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
10.000 € [7.000 € (Art. 5.1.f. RGPD); 3.000 € (Art. 32 RGPD); 6.000 € por pago voluntario y reconocimiento de responsabilidad)] |
|
|
- Brechas de seguridad – Aseguradoras - |
80.000 € a una correduría de seguros por no notificar a los interesados una brecha de seguridad |
El encargado de tratamiento TECNOLOGÍA, SOFTWARE E INTEGRACIÓN DE SISTEMAS, SL (en adelante TESIS), a través de su DPD, notifica brecha de seguridad que afecta a dos responsables de tratamiento, en ambos casos organizaciones privadas con actividad relacionada con la correduría de seguros; por un lado el responsable URQUIA & BAS, CORREDURIA DE SEGUROS S.L. (en adelante URQUIA) y por otro el responsable ADVANS BROKERS CORREDURIA DE SEGUROS S.L. (en adelante ADVANS). En ambas entradas se aporta la misma descripción de lo ocurrido: “tras el aviso a TESIS por parte de uno de sus clientes, se comprueba que las estructuras de una de sus bases de datos se encuentran disponible en un foro de internet. Se indica que la base de datos afectada contiene tanto datos ficticios como datos reales y se procede a realizar una investigación interna para analizar cómo se ha podido filtrar la información, se realiza una captura de pantalla del foro con los nombres de las tablas afectadas para tener conocimiento del alcance y proceder al análisis interno”. si bien ADVANS niega que los datos hayan sido afectados por el incidente de seguridad, TESIS, que es quien sufre la brecha y la investiga, confirma que si se habían filtrado datos de ADVANS, indicando que se habían visto afectados Datos identificativos de clientes, datos de contacto, sexo, estado civil, hijos, profesión, nivel económico, nivel de estudios, consentimientos para la protección de datos, login/password de su cuenta de acceso al portal web de su información de seguros contratada; Información sobre las cuentas bancarias de los clientes donde se domicilian los recibos (Oficina,Dígito de Control,Cuenta,SWIFT / BIC,IBAN); Información sobre las pólizas contratadas por los clientes, evaluándose el riesgo de cada una, (por ejemplo, en caso de ser un seguro de hogar hay datos relacionados con la existencia de medidas de seguridad en el domicilio asegurado (puertas seguridad, alarmas y otros datos relacionados), así como todos los detalles sobre el mismo: plantas existentes en domicilio, metros, valor de equipos electrónicos que contiene, existencia de trabajadores…etc; Información sobre personas aseguradas en una determinada póliza, aquí se incluyen datos de menores asegurados y la relación con el tomador de la póliza; y Toda la información sobre siniestros declarados, daños personales y datos de personas perjudicadas en el mismo. En muchos registros se detecta la existencia de datos relacionados con la salud de los interesados. De conformidad con el artículo 34 del RGPD, debe considerarse que es probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, por lo que se considera que existe vulneración al no comunicar la violación de la seguridad de los datos personales a los interesados. |
Procedimiento: |
Artículos afectados: |
Art. 34 RGPD (Notificación a los interesados) |
Resolución: |
80.000 € (48.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Minimización de datos – Laboral - |
La AEPD sanciona a una asesoría por comunicar a sus clientes el despido disciplinario de un trabajador |
El reclamante, antiguo trabajador de la entidad ADADE BURGOS, S.L, denuncia que en el marco de su relación laboral, fue despedido disciplinariamente de la ADADE. Con posterioridad, la citada empresa remitió un correo electrónico a los clientes que eran atendidos por el reclamante y les comunicó que había dejado de prestar servicio al ser despedido disciplinariamente por mala praxis profesional. Al tener conocimiento de los hechos, el reclamante ejerció el derecho de acceso ante ADADE, solicitando información sobre los destinatarios a los que se le comunicaron sus datos, por qué medios y los términos utilizados para informar de las cuestiones relativas a su despido. Por su parte, ADADE atiende el derecho y le informa de que la extinción de la relación laboral se ha comunicado por correo electrónico a los clientes con los que mantenía relación profesional el reclamante. En este sentido, la AEPD entiende que no es que no haya falta de legitimación, sino que se han cedido más datos de los precisos para cumplir con la finalidad pretendida, no resultando justificable que se comunique la causa por la que el reclamante ya no presta servicios con ADADE, al considerar que las causas del cese de la relación laboral entre empleado y empleador es un asunto privado que sólo concierne a ambas partes y no a terceros. Por ello, si bien dicha comunicación podía considerarse legítima, la entidad ha incumplido el principio de minimización de datos |
Procedimiento: |
Artículos afectados: |
Art. 5.1.c RGPD (Minimización de datos) |
Resolución: |
5.000 € (3.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Confidencialidad – Correo electrónico - |
5.500 € a un Colegio por mandar correos a los padres sin copia oculta |
Se presenta reclamación relacionada con el envío de correos electrónicos a una pluralidad de destinatarios sin utilizar la funcionalidad CCO, lo que implica la revelación de las direcciones de los destinatarios. El remitente es el colegio WILLOUGHBY COLLEGE en el que cursa estudios el hijo del reclamante, según manifiesta este, que aporta copia de tres mensajes de fechas 6/11/2020, 22/12/2021 y 17/5/22 respectivamente. Asimismo, manifiesta que, con anterioridad, al menos en dos ocasiones (noviembre de 2020 y diciembre de 2021), ya advirtió al Colegio que no debía volver a enviar mensajes revelando datos de terceros (la revelación se limita a la dirección de email, ya que el contenido de los mensajes aportados son anuncios de eventos a celebrar en el colegio). Por parte del centro se indica que el contenido de los correos electrónicos no contenía información de una “gravedad extraordinaria” (en su mayor parte son correos informativos de excursiones o felicitando las fiestas), tratando de restar relevancia a la infracción. En este punto, la AEPD resalta que el principio de confidencialidad tiene como finalidad evitar que se realicen filtraciones de datos personales, en este caso, el correo electrónico, nombre y apellidos de los padres de los alumnos destinatarios de los mensajes remitidos por WILLOUGHBY COLLEGE, teniendo como causa no utilizar la funcionalidad “CCO” (“con copia oculta”) en el envío de los mensajes, por lo que el contenido de los correos no determina la existencia o no de responsabilidad respecto a los hechos constitutivos de las infracciones imputadas a WILLOUGHBY COLLEGE. En consecuencia, de los hechos probados ha quedado acreditado la falta de medidas de seguridad por parte del centro, que han desembocado en la filtración de los datos personales de los correos electrónicos de los padres de los alumnos. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
6.000 € [5.500 € (Art. 5.1.f RGPD); 500 € (Art. 32 RGPD)] |
|
|
- Consentimiento – Cookies - |
10.000 € a NH Hoteles por una mala implantación de cookies |
Por parte de la AEPD se procede a la investigación de la “Política de Cookies” de la página web https://www.nh-hotels.com/es, obtenida a través de la herramienta “inspeccionar” del navegador y después de haber limpiado la caché del navegador web y sus cookies, se observa: - Al entrar por primera vez, una vez limpiado el equipo terminal de historial de navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre la misma, se observa como la web en cuestión utiliza las cookies de rendimiento, de Google Analytics y otras cuya finalidad no ha podido ser identificado. - Si se desea no prestar el consentimiento para la utilización de cookies que no sean técnicas o necesarias, sin desplazar ninguno de los cursores de los grupos de cookies a la posición “ON”, y cliqueando en la opción «Si, acepto», se comprueba como la web sigue utilizando las mismas cookies detectadas al principio. - Si se desea modificar el consentimiento inicialmente otorgado, se puede acceder de nuevo al panel de control, una vez prestado el consentimiento para la utilización de cookies, se comprueba como el cursor de los grupos de cookies está en la posición “ON” (activado). No obstante, si se sitúan los cursores del panel de control en la posición “OFF” (desactivados) con la intención de no permitir la utilización de ninguna cookie que no sea técnica o necesaria y se cliquean en la única opción existente «Si, acepto» se comprueba como la web sigue utilizando cookies que no son técnicas o necesarias. Por su parte, NH alega que las Cookies de Google Analytics detectadas (SOCS; NID; CONSENT y AEC), están directamente relacionadas con la función reCAPTCHA, estando exentas del consentimiento. Sin embargo, tras analizar la política de privacidad de Google Analytics se observa que Google utiliza la información que comparten los sitios web y las aplicaciones para prestar sus servicios, mantenerlos y mejorarlos, desarrollar nuevos servicios, medir la efectividad de la publicidad, proteger a los usuarios frente a fraudes y abusos y personalizar el contenido y los anuncios que aparecen en Google o en los sitios web y las aplicaciones de nuestros partners. Por tanto, estas cookies no están exentas del consentimiento. Respecto de las cookies cuya finalidad no consta en la política de cookies, se ha averiguado que sus finalidades son en su mayoría estadísticas y analíticas; instalándose todas ellas sin el previo consentimiento del usuario. |
Procedimiento: |
Artículos afectados: |
Art. 22.2 LSSI (Consentimiento de cookies) |
Resolución: |
10.000 € (8.000 € por pago voluntario) |
|
|
- Datos biométricos – Sociedades deportivas - |
200.000 € al Burgos CF por la instalación de un sistema de huellas para los socios |
Con motivo de varias reclamaciones manifestando que el BURGOS CF está solicitando, obligatoriamente, para acceder a la grada de animación del campo de fútbol, el uso de huella dactilar, la AEPD inició actuaciones de investigación para determinar los hechos objeto de las reclamaciones. De la investigación se deduce inicialmente que el club implantó este sistema cuando ya contaba con un sistema de identificación-autenticación de la identidad de las personas que accedían a la grada de animación de su estadio que era mucho menos intrusivo, con el que se obtenía idéntica finalidad, por lo que el tratamiento biométrico no debió iniciarse nunca en estas condiciones. Pero además de iniciar este tratamiento sin que fuera necesario y proporcional, existen evidencias de que el tratamiento se realizó incumpliendo muchas otras obligaciones previstas en la normativa de protección de datos cuando estamos ante la presencia de datos personales biométricos de las que se deriva la presunta comisión de otras 4 posibles infracciones administrativas: - Necesidad de una EIPD: El club ha facilitado el documento “Informe de Evaluación de Impacto Relativa a la Protección de Datos” de fecha 15 de febrero de 2023 realizado por un tercero. Pero el inicio del tratamiento se produjo el 4 de noviembre de 2022, según reconoce el propio BURGOS CF. Por lo tanto, inició el tratamiento sin haber realizado previamente una EIPD, por lo que se infringió claramente lo previsto en el artículo 35.1 del RGPD, que impide efectuar ningún tratamiento de alto riesgo -como el de datos biométricos- sin haber realizado previamente una EIPD. - Falta de base de legitimación: Si bien puede considerarse la existencia de una base de legitimación para datos básicos amparados en el art. 6.1b RGPD; esto no implica que exista una excepción para el tratamiento de datos biométricos. Y no fue hasta el 15 de febrero que la base de legitimación para datos sensibles cambió y paso a ser el consentimiento expreso. - El tratamiento no es necesario ni proporcional: el Club disponía de dos modalidades de verificación de identidad menos intrusivas para los derechos de las personas que acceden al estadio, e identifican al abonado con la misma eficacia que los sistemas biométricos, toda vez que se puede acceder con la tarjeta física o con el abono en el móvil (chip NFC) o lectura del código QR de la tarjeta de abonado, cuya identidad puede comprobarse con la simple exhibición del DNI. Asimismo, el alegado conflicto entre el derecho a la vida e integridad física y el derecho a la protección de datos no se ve solucionado únicamente mediante un sistema de acceso biométrico, por cuanto existían métodos alternativos preexistentes que permitían identificar y verificar la identidad de esas personas que tienen prohibido el acceso al estadio. En consecuencia, no puede considerarse que el sistema biométrico supere el juicio de necesidad y de proporcionalidad, infringiendo el principio de minimización de datos. - Consentimiento de menores de edad: El club está permitiendo que los menores de 18 años accedan a la grada de animación del estadio siempre y cuando exista un consentimiento firmado por los padres o tutores legales, sin establecer ningún límite mínimo de edad. Por tanto, respecto de los menores de edad no está recabando el consentimiento, por cuanto en dicho documento no existe previsión alguna sobre prestación del consentimiento para poder tratar sus datos biométricos. - Información al interesado: De la información recabada, se puede observar que se recogieron datos biométricos y personales de otro tipo (DNI, nombre, apellidos…etc) sin informar debidamente a los adquirentes del abono de la información prevista en el artículo 13 del RGPD, recurriendo a una fórmula genérica. |
Procedimiento: |
Artículos afectados: |
Art. 35 RGPD (Evaluación de Impacto); Art. 9 RGPD (Datos sensibles); Art. 5.1.c) RGPD (Minimización de datos); Art. 8 RGPD (Consentimiento de menores) |
Resolución: |
200.000 € en total [50.000 €(Art. 35 RGPD);50.000 €( Art. 9 RGPD); 50.000 € (Art. 5.1.c RGPD); 20.000 € (Art. 8 RGPD); 120.000 € por pago voluntario y reconocimiento de responsabilidad] |
|
|
- Legitimación datos sensibles – Redes Sociales - |
Sancionan a una clínica estética por no poder acreditar el consentimiento para a publicación de fotografías en redes sociales |
La reclamante manifiesta que unos conocidos a través de WhatsApp le avisaron de la publicación de una fotografía en la que se aprecia parte de su rostro antes y después de someterse a un procedimiento médico facial, en el perfil de Instagram de la clínica estética de la parte reclamada B.B.B.. Por su parte, el reclamado aporta ate la AEPD un documento que lleva por título “Autorizaciones pacientes”, sin embargo no consta que la reclamante firmara la autorización anterior. B.B.B. manifiesta que la reclamante otorgó su consentimiento verbalmente. En el presente supuesto, ha quedado acreditado un tratamiento de datos relativos a la salud desde el momento en que se publica en el perfil de Instagram de la clínica estética de B.B.B., fotografías de la cara de la parte reclamante antes y después de someterse a un procedimiento médico facial. En la publicación, no se aprecia por completo el rostro de la reclamante, pero sí parte, lo cual, unido al hecho de que ha sido reconocida por otras personas, permite constatar que se pueda identificar de manera clara y unívoca. A pesar de que B.B.B. ha manifestado contar con el consentimiento de la reclamante, no ha quedado acreditado en modo alguno, habiéndose limitado a indicar que dicho consentimiento fue verbal, por lo que se ha de considerar que se ha llevado a cabo un tratamiento de datos sin base de legitimación alguna |
Procedimiento: |
Artículos afectados: |
Art. 6 RGPD (Legitimación del tratamiento); Art. 9 RGPD (Legitimación Datos sensibles) |
Resolución: |
5.000 € en total [2.000 € (Art. 6 RGPD); 3.000 € (Art. 9 RGPD)]. |
|
|
- Minimización de datos – Sector hotelero - |
Más multas a establecimientos hoteleros por requerir el DNI para hacer el check-in |
Se denuncia ante la AEPD que, en fecha 29/09/2022, el reclamante reservó un apartamento de POSADA DE LLERENA a través de una plataforma de alojamientos y que, tras aportar sus datos para ello y ser confirmada la reserva por correo electrónico, el día siguiente recibió comunicación de uno de los propietarios del apartamento requiriéndole que remitiera una fotografía del DNI de los huéspedes a través de correo electrónico o WhatsApp, como condición para acceder al apartamento, a pesar de que la confirmación de la reserva solo indicaba que deberían mostrarse los DNI válidos. Ante la negativa a remitir esos documentos por vía electrónica, se personó en el establecimiento para realizar el registro de entrada in situ mostrando su DNI, si bien POSADA DE LLERENA insistió en requerir el envío de la documentación por mensajería instantánea para poder pernoctar en el apartamento. Ante la negativa del reclamante, POSADA DE LLERENA no facilitó el acceso al alojamiento reservado y pagado. Por parte de POSADA DE LLERENA, se indica que la información suministrada por el DNI es básicamente la misma que la requerida por el Real Decreto 933/2021, a excepción del nombre del Padre y de la Madre del titular del mismo, por lo que entiende que no se recaban datos personales de forma excesiva para la finalidad para la que se recaban, e incide en la necesidad de tener acceso a la copia del documento para poder acreditar la identidad de las personas que se alojaran en el establecimiento en aras a la seguridad del Estado. Asimismo, argumenta que no puede ser sancionado por haber solicitado esos DNI, sino por en su caso un uso inadecuadamente, sin que en sea este el caso, dado que los datos nunca fueron facilitados. La AEPD indica que, si bien la relación contractual que supone la estancia en un alojamiento justifica el acceso por POSADA DE LLERENA a los datos personales de las personas que los ocupan; esto no justifica el acceso a toda la información que contiene el documento de identidad del cliente y, menos aún, la recogida y conservación de una fotocopia o copia en formato digital de este documento sin que exista una base jurídica que así lo justifique. En este sentido, se recuerda que en el documento figura otra información distinta a la que debe facilitarse a las Fuerzas y Cuerpos de Seguridad del Estado, entre ellos el nombre de los progenitores del afectado, lugar de nacimiento, fecha de validez y de expedición del documento, así como la fotografía y la firma del afectado. El cumplimiento de esta normativa de registro de viajeros puede atenderse mostrando los correspondientes documentos de identidad y anotando sus datos, sin que sea necesario remitir copia del documento mediante correo electrónico o a través de mensajería instantánea. Por último, la Agencia indica que en este caso no se sanciona la recogida de datos personales inadecuados, no pertinentes y no necesarios del reclamante, sino de los clientes de la entidad en general, habiendo reconocido expresamente que era su forma de proceder |
|
Artículos afectados: |
Art. 5.1.c RGPD (Minimización de datos) |
Resolución: |
2.000 € |
|
|
- Legitimación – Entidades bancarias - |
Nueva sanción millonaria a CAIXABANK: 2.000.000 € por obligar a los usuarios a consentir que pueda solicitar datos de sus clientes a la TGSS |
La reclamante manifiesta que CAIXABANK le ha solicitado una serie de datos, de conformidad con lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. Añade que la información recogida se refleja en un documento denominado "Declaración/Modificación de datos para la relación de negocios (Modelo 5433)", pero antes de firmar el formulario, comprueba que, en la redacción de una de las cláusulas del mismo se indica que consiente expresamente a que CAIXABANK solicite sus datos a la Tesorería General de la Seguridad Social, sin que se dé la opción de expresar su negativa a este respecto, por lo que el consentimiento viene ya preestablecido. Tras mostrar su disconformidad al respecto, CAIXABANK le informa que el proceso seguido por la misma era un proceso rutinario que se aplicaba a todos los clientes por igual y que, si no firmaba con esas condiciones, se procedería a bloquear su cuenta bancaria. El Convenio suscrito con la TGSS sobre cesión de información, al que se ha adherido CAIXABANK, con el fin de facilitar a las entidades de crédito el cumplimiento de la normativa de prevención del blanqueo de capitales, mediante un procedimiento informático mecanizado que permite establecer un proceso diario de solicitud de datos por parte de las entidades financieras y de transmisión de información por parte de la TGSS, podría resultar un mecanismo adecuado para el cumplimiento de sus obligaciones pero no necesariamente único. En la cláusula sexta y en el Anexo III del Convenio con la TGSS se pone de manifiesto que el interesado tiene que consentir para que la entidad bancaria pueda verificar los datos personales ante la TGSS y se recoge efectivamente, la cláusula por la que se puede dar el consentimiento expreso para verificar la información. Pero ésta no es la única vía para verificar los datos personales. La normativa de PBCyFT no establece la obligación de verificar la información de datos personales ante la TGSS, sino que la facilita el cliente y posteriormente, teniendo en cuenta el diferente nivel de riesgo, existe una obligación general de establecer y aplicar procedimientos de verificación de las actividades declaradas por los clientes. Dado que la Ley no impone esta vía a las entidades bancarias ni constituye una obligación legal la consulta ante la TGSS, a los efectos de verificación de la información de datos personales facilitada por el reclamante sería necesario recabar el consentimiento del interesado, no imponer el uso de dicho mecanismo, y siempre condicionado a los supuestos específicos en los que la norma exige dicha verificación. Se entiende que el consentimiento no es libre cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno, o cuando el cumplimiento de un contrato o prestación de servicio sea dependiente del consentimiento, aun cuando éste no sea necesario para dicho cumplimiento. Esto ocurre cuando el consentimiento se incluye como una parte no negociable de las condiciones generales. En este caso, el consentimiento no puede considerarse libre, porque la firma del documento impone a todos los clientes la verificación de sus datos a través de consulta con la TGSS, limitando la capacidad de elección del interesado. Tampoco es un consentimiento específico e inequívoco, por cuanto el consentimiento ya está prestablecido, al igual que si fuera una casilla premarcada; ni tampoco puede considerarse un consentimiento informado el contrato no incluía información de dicho tratamiento en el apartado de tratamientos basados en el consentimiento |
Procedimiento: |
Artículos afectados: |
Art. 6 RGPD (Legitimación) |
Resolución: |
2.000.000 € |
|
|
- Consentimiento – Comunicaciones Comerciales - |
10.000 € por continuar remitiendo publicidad sin consentimiento del interesado |
El reclamante manifiesta que nunca dio permiso para recibir publicidad de la entidad GAFAS EN RED DE ÓPTICAS, pero recibió publicidad por correo y aunque presentó reclamación a la AEPD, la empresa dijo que no envió publicidad. Indica que ya envió todas las capturas y cabeceras y la AEPD no hizo nada y sigue recibiendo publicidad por SMS sin incluir enlace para baja. Junto al escrito de reclamación, se acompaña diferentes pantallazos de los SMS publicitarios recibidos. Según manifiesta GAFAS EN RED DE ÓPTICAS (actualmente SuperVista Optics SLU), se trata de una filial española de la empresa alemana SuperVista AG, con sede en Alemania y los datos de los clientes y usuarios de gafas.es, se incorporan a los ficheros automatizados de la matriz. Indica que no tiene acceso directo a las bases de datos, no puede manejarlas ni realizar el análisis directo respecto a un determinado contacto. No obstante, manifiesta que, tras la reclamación presentada y tras haber solicitado la supresión de sus datos personales, se eliminaron los datos personales del interesado de las bases de datos que maneja nuestra empresa con fines comerciales, si bien reconoce que el SMS que enviaron al reclamante fue producto de un error, indicando que pese al continuo esfuerzo de la empresa por mejorar los procesos y controles, se ha producido un error que ha hecho que involuntariamente ese número de teléfono se incluyera en la lista de los destinatarios de SMS. Con anterioridad, se iniciaron varios procedimientos contra dicha entidad, archivándose todos ellos por entender que el reclamante reconocía una relación contractual previa con la entidad responsable del envío de la comunicación recibida, atendiendo en tiempo y forma las solicitudes, GAFAS EN RED DE ÓPTICAS continúa mandando publicidad, pese a haber atendido teóricamente las solicitudes de supresión |
Procedimiento: |
Artículos afectados: |
Art. 21 LSSI (Comunicaciones comerciales) |
Resolución: |
10.000 € (6.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Minimización de datos – Videovigilancia - |
La AEPD sanciona a un restaurante chino por tener cámaras enfocando a las mesas del comedor, considerando que la captación de las mesas es excesiva |
Por parte del reclamante se denuncia a A.A.A. como titular de un restaurante, informando que en el interior del establecimiento reclamado se encuentra instalada una cámara de videovigilancia que se orienta a la puerta de acceso al mismo y que esta es de cristal, de tal forma que permite captar la vía pública que transcurre junto al establecimiento, sin que conste autorización administrativa para ello. Señala asimismo que el establecimiento no cuenta con carteles informativos de zona videovigilada. Aporta imágenes de la cámara y de la puerta acristalada de acceso al establecimiento. Tras los requerimientos de información, el responsable responde indicando que dispone de 6 cámaras. Concretamente, se observa que una de las cámaras de videovigilancia en el interior del restaurante, por su situación y orientación podría recoger imágenes de parte de la vía pública situada frente al local, a través de la puerta acristalada del mismo. El responsable aporta una imagen de la colocación del cartel de aviso sobre el vidrio de la puerta de acceso al local; sin embargo, la imagen aportada no permite leer el texto. Comparado con la imagen aportada en la reclamación no se aprecia que hubiera un cartel de aviso en ese lugar. La situación del cartel es tal que quien quisiera leerlo sería previamente captado por la cámara orientada hacia la puerta de acceso. Si bien se observa que la cámara que enfoca a la puerta del local capta una porción de la vía pública, dicha captación es proporcionada en tanto sólo comprende la parte imprescindible para la consecución de la finalidad de seguridad de personas, bienes e instalaciones, en los términos del artículo 22.2 de la LOPDGDD. Sin embargo, no acontece lo mismo respecto de la captación de las mesas del restaurante en las que los comensales se encuentran ubicados cuando lo visitan, tal y como se induce de las evidencias con las que se cuenta en este momento del procedimiento, al tratarse de un tratamiento que capta imágenes de modo constante, alcanzando al conjunto de mesas que conforman la zona del comedor. Por su propia naturaleza, la zona de las mesas del comedor se trata de una ubicación en que los afectados por el tratamiento pueden permanecer largo tiempo, y en una situación en que puede verse afectado su Derecho Fundamental a la Protección de Datos de Carácter Personal, así como otros derechos y libertades, tales como su intimidad o el libre desarrollo de su personalidad, de manera especial, ya que suele acudirse a estos lugares en momentos de ocio. Asimismo, tampoco existe una especial razón que justifique la vigilancia de lugares como las mesas de un restaurante en relación con la seguridad del establecimiento, como sí podría existir en relación con espacios acotados como la entrada/salida del mismo o la caja registradora. En este sentido, la captación permanente de la sala y las mesas cuando los clientes se encuentran en la misma visitando el restaurante, no cumpliría con los requisitos del principio de minimización |
Procedimiento: |
Artículos afectados: |
Art. 5.1.c) RGPD (Minimización de datos) |
Resolución: |
4.000 € (2.400 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Confidencialidad – Redes Sociales - |
Multan con 7.000 € por contestar a una reseña de Google divulgando datos personales |
La reclamante manifiesta que, tras dejar una reseña en el perfil de Google My Businees del Centro Oftalmológico B.B.B, el propietario respondió publicando una gran cantidad de datos personales, en concreto, su nombre y apellidos, DNI, número de teléfono, así como datos personales de salud y datos relativos a infracciones cometidas por plagio de documentos. La reclamante aporta entre otros datos, copia de su DNI con validez hasta 3 de diciembre de 2023, constatando los hechos denunciados mediante captura de pantalla de la página web, e impresión de los mismos. Por su parte, la entidad reclamada, INSTITUTO OFTALMOLÓGICO DE LOCALIDAD B.B.B. indica que no posee página web propia, ni ha sido propietaria de la página web que denuncia la reclamante, y que no tiene personal propio médico ya que se dedica al alquiler de servicios médicos y gestión patrimonial de locales, sin relación directa con pacientes, por tanto nunca ha tenido relación directa con la denunciante. Pese a tales manifestaciones, las actuaciones de investigación previas realizadas por la Agencia, permiten constatar que el INSTITUTO OFTALMOLÓGICO ha estado tratando los siguientes datos personales de la parte reclamante: el nombre y apellidos, DNI, número de teléfono, así como datos personales de salud y datos relativos a infracciones cometidas por plagio de documentos. Por otra parte, de la información publicada en la web perteneciente al Centro Oftalmológico se infiere una clara vinculación entre el Centro Oftalmológico, el B.B.B. y el Instituto Oftalmológico de ***LOCALIDAD.1. Asimismo, la reclamante aporta correspondencia por e-mail con el doctor que la operó y la dirección de e-mail con la que contesta el médico es justo la misma que figura en la documentación presentada por registro electrónico por el reclamado. Esta vinculación se observa claramente al comprobar que el INSTITUTO OFTALMOLÓGICO, al presentar sus alegaciones e incluir como e-mail de contacto exactamente la misma dirección que utilizó el Centro Oftalmológico para relacionarse con la reclamante. Es por ello que la AEPD considera que el INSTITUTO OFTAMOLÓGICO estaría vulnerando el artículo 5.1 f) del RGPD, por infringir el deber de confidencialidad de los datos personales, que implica una ausencia de medidas de seguridad en el tratamiento de datos. |
Procedimiento: |
Artículos afectados: |
Art. 5.1 f del RGPD (Confidencialidad); Art. 32 del RGPD (Medidas de seguridad) |
Resolución: |
7.000 € en total [5.000 € (Art. 5.1 f del RGPD) y 2.000 € (Art. 32 del RGPD)] |
|
|
- Brecha de seguridad – Página Web - |
Sancionan con 90.000 € a la desarrolladora de videojuegos Moonton por una filtración de datos de sus usuarios |
Con motivo de una brecha de seguridad, se inicia un procedimiento de investigación para esclarecer los hechos. El resumen de los hechos consiste en la publicación de información relacionada con usuarios de su Foro en la una página web tercera por parte de uno de los Moderadores del Foro. Del resultado de las actuaciones de investigación, la AEPD determina la comisión de múltiples infracciones: - Minimización de datos: MOONTON indicó que la única información no pública a la que los moderadores tenían acceso, era: (i) la dirección del email dada por los usuarios para registrarse en el Foro; (ii) la fecha de registro en el Foro; (iii) la fecha y hora de la última actividad de cada usuario en el Foro; y (iv) la dirección IP del usuario (tanto la dirección IP de registro como la dirección IP de la última visita. La AEPD considera que para poder moderar tales Foros y eliminar las publicaciones de los usuarios o impedir el acceso al Foro, y revisar la respuesta a las consultas o aprobar nuevos usuarios, no era necesario que los Moderadores tuvieran acceso a toda esa información, en especial, la dirección de correo electrónico y la dirección IP del usuario. - Confidencialidad: Como consecuencia de la brecha de seguridad, en el presente caso, se publicaron en una página web de un tercero los datos de nombre del usuario e ID de usuario, dirección de email y dirección IP de 442 usuarios ubicados en España. - Medidas de seguridad: El Moderador no tenía la condición de empleado de MOONTON, ni era un empleado de un prestador de servicios/subcontratista de MOONTON. El Moderador era un mero usuario del Foro que, voluntariamente, se ofreció a ayudar a moderar el Foro. MOONTON permitió el acceso a un usuario de sus juegos (a quien se le dio permisos de administrador) a los datos personales de otros usuarios ubicados en España, que no era empleado suyo ni de una empresa contratada o subcontratada por MOONTON, y al que se le facilitó los datos de correo electrónico y dirección IP de tales usuarios, sin más medidas de seguridad que una simple adhesión a un Código de Conducta y a la Regulación Básica del Foro y los Términos y Condiciones del mismo y un período de prueba de dos semanas, lo que a todas luces resultan insuficientes - Notificación a la Autoridad de Control: MOONTON sufrió una violación de la seguridad de los datos personales en fecha 2 de noviembre de 2022, de la cual tuvo conocimiento el 4 de noviembre de 2022 y no informó a la AEPD hasta el 21 de noviembre de 2022, fecha en que se notificó la citada violación de la seguridad, sin haber acreditado los motivos que justifiquen la notificación extemporánea. - Representantes de responsables del tratamiento no establecidos en la Unión: MOONTON se encuentra establecida en China, si bien ofrece sus servicios a interesados en la Unión Europea, por lo que le resulta de aplicación lo dispuesto en el artículo 27 del RGPD. No obstante, MOONTON no había designado representante en la Unión Europea, en los términos de lo dispuesto en el artículo 27 del RGPD, como mínimo hasta finales de enero de 2023, de forma posterior no solo al tratamiento, sino incluso a la brecha de seguridad. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.c RGPD (Minimización de datos); Art. 5.1.f RGPD (Confidencialidad) Art. 32 RGPD (Medidas de seguridad); Art. 33 RGPD (Notificación de brecha); Art. 27 RGPD (Representantes de entidades fuera de la UE) |
Resolución: |
90.000 € en total [30.000 € (Art. 5.1.c RGPD); 30.000 € (Art. 5.1.f RGPD); 15.000 € (Art. 32 RGPD); 5.000 € (Art. 33 RGPD); 10.000 € (Art. 27 RGPD); (72.000 € por pago voluntario)] |
|
|
- Ejercicio de derechos – Incumplimiento resoluciones - |
1.000 € a una clínica dental por no facilitar el acceso a un paciente a su historia clínica |
En el procedimiento de ejercicio de derechos del expediente número EXP202105284, seguido contra DENTAL REY-GAR, S.L. la reclamante ejerció su derecho de acceso de los datos personales que le conciernen, sin que dicha solicitud resultara debidamente atendida, dictándose resolución en la que se requería que atendiera el derecho de acceso ejercido o lo denegara motivadamente indicando las causas por las que no procede atender la petición. Transcurridos los plazos pertinentes, y tras múltiples requerimientos por parte de la AEPD para que se procediera al cumplimiento de la resolución, la entidad DENTAL REY-GAR no remitió respuesta alguna a la Agencia que acreditase el cumplimiento de la resolución, por lo que se considera que clínica ha incumplido la citada resolución; y al no haberse presentado alegaciones, el acuerdo de inicio es considerado propuesta de resolución. |
Procedimiento: |
Artículos afectados: |
Art. 58.2 RGPD (Incumplimiento resoluciones) |
Resolución: |
1.000 € |
|
|
- Confidencialidad – Entidades Financieras - |
Multa a VIVUS por una brecha de seguridad: 600.000 € |
Por parte de 4FINANCE SPAIN FINANCIAL SERVICES (VIVUS) se notifica a la AEPD una brecha de datos personales, en la que manifiesta haber sufrido una brecha de confidencialidad por acceso no autorizado a datos de clientes, incluyendo datos básicos, identificativos y de contacto de un total de 427 empleados. Los atacantes accedieran a datos personales de los clientes mediante su acceso ilegítimo utilizando combinaciones credenciales válidas (pares de DNI o Email + Contraseña). Una vez que los atacantes accedían al área personal del cliente afectado, procedían a solicitar préstamos que fueron aceptados de forma automática, ingresándose el importe en la cuenta bancaria asociada al cliente. Posteriormente, los atacantes contactaban por vía WhatsApp haciéndose pasar por VIVUS, informándoles de que por error se había concedido un nuevo préstamo en su nombre y en la que solicitaban su devolución en un número de cuenta que era controlada por los propios atacantes. La combinación de los datos personales a los que accedieron (nombres, direcciones, DNI/NIE, y números de teléfono; datos financieros como el IBAN e información sobre prestamos existentes en vigor) eleva significativamente el nivel de riesgo y las implicaciones de la vulneración de la confidencialidad. Esto se debe a la circunstancia de que dicha combinación no solo aumenta la cantidad de información disponible para un actor malicioso, sino que también amplía el espectro de posibles abusos, agravando la infracción de la confidencialidad. Asimismo, destaca la AEPD la falta de medidas de seguridad adecuadas por parte de VIVUS, que van más allá de la brecha de seguridad específica producida. Si bien la implementación de medidas reactivas como el Doble Factor de Autenticación (2FA) y la mejora del sistema de monitorización SIEM fueron pasos importantes en respuesta a la brecha, el incumplimiento de VIVUS radica en una omisión más amplia y preexistente: la falta adopción de un marco de seguridad de datos integral y proactivo. Por lo tanto, aunque dispusiera de medidas de seguridad reactivas, éstas acciones funcionan como respuesta a una vulnerabilidad ya explotada, en lugar de adoptar una estrategia dedicada a la prevención y actitud proactiva de la gestión de riesgos, carencias detectadas especialmente en lo que respecta a la autenticación de usuarios para la solicitud de segundos o posteriores préstamos, los cuales únicamente requieren la identificación en el área personal web del cliente, utilizando para ello las credenciales de usuario (DNI o EMAIL + Contraseña). |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
600.000 € en total [200.000 € (Art. 5.1.f RGPD); 400.000 € (Art. 32 RGPD); 360.000 € por pago voluntario y reconocimiento de responsabilidad] |
|
|
- Brechas de seguridad – Clínica Dental - |
Sancionan a una clínica dental por sufrir un ataque ramsoware y no notificarlo a tiempo a la AEPD |
Por parte de la entidad DENTALCUADROS BCN S.L.P. se notifica a la AEPD una brecha de datos personales, indicando que detectaron un Malware en el ordenador servidor de la empresa. Dicho Malware les impidió acceder al sistema informático utilizado para recopilación de datos de pacientes. Consta acreditado que recibieron un mensaje por parte del grupo criminal Ransomware (Hive) confirmando la autoría del ataque y solicitando pago de un rescate para la recuperación de dichos datos. Entre los datos afectados se encontraban nombre, apellidos, fecha de nacimiento, DNI, Datos económicos o financieros (sin medios de pago), Datos de contacto, y datos de salud de unos 2500 pacientes. Los mismos han sido notificados, y los hechos fueron puesto en conocimiento de las autoridades policiales. La clínica disponía de una copia de seguridad de un mes de antigüedad, guardada en un disco duro externo, pudiendo recuperar todos los datos de pacientes hasta esa fecha. Únicamente se perdió la agenda de citas de los pacientes. Si bien el ordenador servidor disponía de antivirus, la brecha se produjo a través de un puerto abierto para conexión remota, y no fue suficiente. Por ello, considera la AEPD que las medidas de seguridad eran insuficientes, observándose además que las copias de seguridad diarias se realizaban en el ordenador que fue atacado y ocasionalmente en un disco duro externo. De otro lado, el 20 de abril de 2023 DENTALCUADROS detectó la brecha al confirmar el cifrado de datos personales que se encontraban recopilados en el servidor. No obstante, no fue hasta el 12 de mayo de 2023 que se notifica la brecha de datos personales ante la AEPD, habiendo transcurrido sobradamente el plazo de las 72 horas previstas. Aunque DENTALCUADROS justifica el retraso de la notificación en que “Fueron días de intentar recuperar datos de pacientes para poder seguir trabajando e intentar entender lo que sucedía, por ello la siguiente medida fue presentar la denuncia ante autoridades policiales ya que no sabíamos el alcance de la situación. Es por ello por lo que no sabíamos la necesidad de informar a la AEPD, ya que disponíamos de muy poca información y estábamos pendientes de recopilar datos, siendo esta la primera vez que nos ocurre algo así.”, entiende la AEPD que, en ningún caso, justifica, la dilación en la notificación de la brecha de datos personales, por cuanto la ignorancia de las leyes no excusa de su cumplimiento (artículo 6.1 del Código Civil). |
Procedimiento: |
Artículos afectados: |
Art. 32 RGPD (Medidas de seguridad); Art. 33 RGPD (Notificación de brechas) |
Resolución: |
20.000 € en total [15.000 € (Art. 32 RGPD); 5.000 € (Art. 33 RGPD); 12.000 € por pago voluntario y reconocimiento de responsabilidad] |
|
|
- Minimización e información al interesado – Conciertos - |
20.000 € a MOURO PRODUCCIONES por exigir copia del DNI para el acceso a eventos |
La reclamante manifiesta que, para acudir acompañado de menores a conciertos gestionados por MOURO PRODUCCIONES, se solicita que se cumplimenten autorizaciones por parte de madres, padres o tutores de los menores que acudan a dichos eventos, para lo cual se exige la aportación de copia del DNI de quien autoriza, así como información personal de, tanto el autorizante, como de los menores que acuden al evento. Señala asimismo que los documentos de autorización por los que se recogen los referidos datos no informan adecuadamente en materia de protección de datos, sin que, por otro lado, conste que cuenten con Delegado de Protección de Datos. MOURO por su parte alega: - Respecto a la Política de Privacidad, que los eventos organizados cuentan con su correspondiente Política de Privacidad y trata los datos personales conforme a las exigencias previstas en la normativa en materia de protección de datos, pero que en este supuesto concreto ha existido un error por parte su parte al cargar las cláusulas informativas en las Páginas Web de los eventos correspondientes, lo que ha implicado la publicación en dichas Páginas Web de las cláusulas que se encontraban desactualizadas, con referencias a la normativa derogada; reconociendo con ello el incumplimiento del deber de información que exige la normativa vigente. - Por otra parte, en relación con el motivo por el cual se solicita que el acompañante de los menores aporte copia del DNI, cabe destacar que es necesario realizar, antes de autorizar el acceso al recinto, una correcta identificación de la persona. Esto resulta necesario en la medida en la que se debe verificar su edad de cara a asegurarse que puede acompañar a los menores a su cargo. Asimismo, el DNI de los menores es solicitado en la medida en la que resulta necesario verificar la edad de los asistentes al evento según la normativa vigente en materia de Espectáculos Públicos y Actividades Recreativas de Cantabria, ya que los menores de edad cuentan con ciertas prohibiciones y ciertos requisitos de asistencia a dichos eventos. Y si bien la Ley 3/2017 de Espectáculos Públicos y Actividades Recreativas de Cantabria establece la obligación de la acreditación del requisito de edad, indicando que "pueden exigir, directamente o a través de personal a su servicio, la exhibición del documento nacional de identidad o documento equivalente como medio de acreditación de la edad del público asistente", entiende la AEPD que la recogida de la fotocopia del documento de identidad del cliente con toda la información contenida en ese documento es un tratamiento de datos personales contrario al principio de “minimización de datos”, regulado en el artículo 5.1.c) del RGPD. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.c RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado) |
Resolución: |
20.000 € en total [13.000 € (Art. 5.1.c RGPD); 7.000 € (Art. 13 RGPD); 12.000 € por pago voluntario y reconocimiento de responsabilidad] |
|
|
- Potestades de investigación – Administración Pública - |
Sanción a Telefónica por no facilitar la información requerida a la AEPD |
Con motivo del inicio de un procedimiento sancionador seguido contra SERVIGUT SERVICIOS 1970, en la que el reclamante denunciaba haber recibido dos cargos de la empresa Telefónica, a nombre de dicha empresa, se requirió reiteradamente información sobre este asunto al operador de telefonía TELEFÓNICA DE ESPAÑA S.A., la cual no ha facilitó toda la información requerida relativa a si la reclamada fue la que en su momento habría aportado el número de cuenta de SERVIGUT, derivando en una ausencia de información sobre quién y a través de qué vías, efectuó la domiciliación. El primer requerimiento de información solicitaba que se aportara por TELEFÓNICA la autorización firmada de la reclamante para la domiciliación de recibos bancarios en su número de cuenta. Tras varios requerimientos, TELEFÓNICA no ha confirmó si SERVIGUIT aportó o no el número de cuenta perteneciente a la parte reclamante para domiciliar los pagos de su línea telefónica. TELEFÓNICA insiste en que en ningún momento ha obstaculizado o impedido las labores de inspección de la Agencia y en todo momento ha facilitado la información que se le solicitaba conforme a lo que podía aportar, señalando además que a su juicio, la solicitud de datos sobre una persona jurídica estaría fuera del ámbito de cobertura del RGPD y fuera de las competencias atribuidas a la Agencia por el art. 58 LOPDGDD. En este sentido, la AEPD recuerda que dicho artículo prevé que la AEPD pueda a) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones; e) obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones; Y en relación a los requerimientos de información, en ningún momento TELEFÓNICA confirmó si efectivamente SERVIGUIT aportó o no el número de cuenta perteneciente a la reclamante para domiciliar los pagos de su línea telefónica, sin que en ningún momento se justificara que no pudiera dar respuesta adecuada a los requerimientos, aportando documentación incompleta e insuficiente, entorpeciendo con su conducta las labores de investigación de la AEPD |
Procedimiento: |
Artículos afectados: |
Art. 58.1 RGPD (Potestades de investigación) |
Resolución: |
90.000 € |
Anotaciones: |
- Consentimiento – Cookies - |
5.000 € MOTORSPORT por instalar cookies sin consentimientos y no poder rechazarlas si no es con una suscripción. |
Por parte del reclamado, se denuncia que la empresa MOTORSPORT NETWORK ESPAÑA, titular de la página web: https://es.motorsport.com, utiliza una forma ilegal de consentimiento de cookies en su página web donde obliga a aceptar las cookies para acceder de forma gratuita al contenido o a suscribirse mediante pago si no se desea que se instalen cookies. Tras las actuaciones de investigación, la AEPD observa que: a).- Sobre las cookies utilizadas antes de que el usuario preste el consentimiento: Al entrar en la web https://es.motorsport.com/ por primera vez, después de haber limpiado la caché del navegador del equipo y las cookies instaladas, y tras haber forzado al navegador a descargar la última versión de la página web alojada en el servidor remoto, se comprueba como la misma utiliza cookies no necesarias sin el previo consentimiento del usuario b).- Sobre el banner de información de cookies existente en la primera capa (página principal): Al entrar en la web por primera vez, aparece un banner de información sobre cookies, que permite aceptar o rechazar las cookies. Si se rechazan las cookies, se observa que la web sigue utilizando las cookies detectadas al comienzo de la navegación, y además una vez confirmadas las preferencias, (sin haber prestado el consentimiento para la utilización de cookies) la web despliega un nuevo banner de información. En este nuevo banner se comprueba que solamente existe dos posibilidades si se quiere seguir navegando por el sitio web, o se acepta previamente todas las cookies cliqueando en la opción «Permitir Cookies» o se debe hacer miembro por una cuota mensual, donde, según la información suministrada, aseguran que no instalarán cookies. c).- Sobre la posibilidad de modificar el consentimiento una vez prestado en relación con las cookies. Si se desea retirar el consentimiento inicial, se debe desplazar los cursores de los grupos de cookies desde la posición “ON” a la posición “OFF” y cliquear en «Confirmar mis preferencias». No obstante, si se realiza este proceso, la web vuelve a desplegar el banner de información donde solamente posibilita la opción de “aceptar todas las cookies” o “hacerte miembro del club” pagando una cuota mensual. La AEPD concluye que no existe la posibilidad de que el usuario rechace la utilización de cookies que no sean de naturaleza técnica pues en el caso de que se rechacen todas las cookies en el panel de control, la web vuelve a desplegar un nuevo banner donde solamente existe la posibilidad de aceptar todas las cookies o en su caso, registrarse en la web a cambio de una cuota mensual y donde se asegura, según la información suministrada en dicho banner, que no se instalaran cookies. Por ello, considera que se han detectado múltiples deficiencias en la web, que se materializan en la utilización de cookies que no de naturaleza técnica sin el consentimiento del usuario; la imposibilidad de rechazarlas o poder gestionarlas de forma granular y la imposibilidad de retirar el consentimiento una vez prestado, lo que supone la comisión de la infracción del artículo 22.2 de la LSSI |
Procedimiento: |
Artículos afectados: |
Art. 22.2 LSSI (Consentimiento de cookies) |
Resolución: |
5.000 € |
|
|
- Confidencialidad y medidas de seguridad – Videovigilancia - |
5.000 € de multa a un bazar por facilitar a un tercero las imágenes de videovigilancia para identificar la matrícula de un vehículo |
La parte reclamada, HIPERBAZAR YONGFA 2018 SL, dispone de un sistema de videovigilancia en su establecimiento con el que puede obtenerse imágenes del estacionamiento. En el presente caso la reclamante manifiesta que HIPERBAZAR YONGFA facilitó imágenes procedentes del sistema de videovigilancia de su establecimiento, en las que aparecía la reclamante y que permitían la identificación de la matrícula de su vehículo, estacionado en el parking del establecimiento, a un tercero, siendo posteriormente difundidas estas por dicho tercero a través de su perfil de la red social FACEBOOK. La responsabilidad de HIPERBAZAR YONGFA viene determinada por la falta de medidas de seguridad, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico. No habiéndose presentado alegaciones al acuerdo de inicio, este es considerado propuesta de resolución. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f RGPD (Confidencialidad); Art. 32 (Medidas de seguridad) |
Resolución: |
5.000 € en total [3.000 € (Art. 5.1.f RGPD); 2.000 € (Art. 32 RGPD)] |
|
|
- Legitimación del tratamiento – Ficheros de solvencia patrimonial - |
Sancionan con 2.000 € a una empresa por consultar el fichero ASNEF sin cumplir los requisitos para ello |
La reclamante denuncia que tras realizar una solicitud de acceso a sus datos que figuran registrados en fichero ASNEF, en el histórico de consultas consta una entidad denominada ARRENDAMIENTOS DEUDORES, S.L. a la que no recuerda haber dado su autorización. Junto a la reclamación aporta informe de las operaciones en el fichero ASNEF en el que consta la consulta realizada por la parte reclamada en fecha 25 de abril de 2023. Por parte de ARRENDAMIENTOS DEUDORES, S.L. se contesta indicando que procedió a consultar la información contenida en el fichero de ASNEF en fecha 25 de abril de 2023, como consecuencia de una consulta para una operación que entrañaba un posible riesgo económico, con el fin de comprobar si estaba al corriente en operaciones similares con otras 2 entidades. El RGPD exige que el tratamiento de datos de carácter personal sea lícito (artículo 5.1.a), principio que desarrolla el artículo 6, cuyo apartado 1, señala que el tratamiento solo será lícito si concurre alguna de las circunstancias que se relacionan. Por otro lado, el artículo 20 de la LOPDGDD, “Sistemas de información crediticia”, dispone que solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica. A tenor de lo expuesto, en el caso analizado, no puede tenerse en consideración la presunción de licitud que contempla el art. 20 de la LOPDGDD, toda vez que no se reúnen los requisitos establecidos en este artículo, al no constar que se haya producido en este caso una contratación que implique el abono de una cuantía pecuniaria o solicitado una contratación que suponga financiación, pago aplazado o facturación periódica. Y es que en la contestación efectuada por ARRENDAMIENTOS DEUDORES, y esto es lo esencial, no consta acreditada causa alguna que legitime el tratamiento de datos llevado a cabo, pues no ha acreditado que el tratamiento realizado de los datos de la parte reclamante pueda basarse en la causa de licitud contemplada en el artículo 6.1.f) del RGPD, ni su consentimiento para dicho tratamiento |
Procedimiento: |
Artículos afectados: |
Art. 6 RGPD (Licitud del tratamiento) |
Resolución: |
2.000 € (1.200 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Medidas Provisionales – Redes Sociales - |
La AEPD ordena a META eliminar las funcionalidades de Información electoral por vulnerar el RGPD |
Por parte de la AEPD se ha tenido conocimiento del futuro tratamiento de datos personales a gran escala que a continuación se describe y que presuntamente vulnera la legislación en materia de protección de datos personales. Por parte de la autoridad irlandesa (DPC) se compartió con las Autoridades de Protección de Datos información relacionada con dos nuevas funcionalidades para los productos Facebook e Instagram. Meta Platforms Ireland Limited (en lo sucesivo META) tendría intención de poner en marcha dos funcionalidades en sus productos Instagram y Facebook. (Election Day Information - EDI) y (Voter Information Unit -VIU). Indican que tienen intención de que todos los usuarios de Instagram y Facebook de la UE con derecho a voto, vean los recordatorios VIU y EDI para las próximas elecciones parlamentarias de la UE. Ante las dudas generadas por el tratamiento de datos que pueden comportar estas funcionalidades, se remitió a META un cuestionario con preguntas referidas al tratamiento de datos que pretende realizar con motivo de la puesta en marcha de ambas funcionalidades. En relación con la base de legitimación alegada (relación contractual), META es una entidad privada, con una finalidad comercial, y cuya actividad principal consiste en proporcionar una plataforma de red social que se financia mediante la venta de espacios publicitarios, fundamentalmente vinculada a la elaboración de perfiles de los usuarios. Sin embargo, la celebración de elecciones democráticas y el libre ejercicio del derecho de voto constituyen un interés público, incompatible con el carácter comercial de la sociedad, por lo que no cabe apreciar que dicho interés sea necesario para la prestación del contrato que tiene una finalidad privada en que el interesado es parte. META no puede basar en el artículo 6.1.b) del RGPD el tratamiento de los datos de los usuarios que pretende realizar, ni en ninguna otra base jurídica del artículo 6, lo que supondría de llevarse finalmente a cabo una infracción del principio de licitud previsto en el artículo 5.1.a) del RGPD. Por otra parte, el tratamiento de datos pretendido es excesivo. Se tratan datos de edad, cuando no se justifica la utilización de un sistema que garantice que sólo se sometan a tratamiento datos de personas mayores de edad, pues no existe ningún mecanismo fiable para determinar la edad de los receptores ni justifica que se traten las interacciones con el sitio web al que dirigen. Los datos de ciudad contenidos en el perfil y la dirección IP son desproporcionados y excesivos, pues se almacenan con la finalidad de realizar una selección de las personas votantes, cuando lo que determina dicha condición es la nacionalidad, en el caso de las próximas elecciones europeas, lo que evidencia la innecesaridad de este tratamiento. Finalmente, los datos se utilizan con la finalidad de agregarlos y cederlos agregados a terceros. Sin embargo, no se explica el proceso de agregación, ni qué datos se usan para esa agregación, ni el nivel de desagregación, por lo que se desconoce si el nivel de desagregación permite la identificación de los usuarios, de lo que puede desprenderse que podrían conservarse y comunicarse datos personales. En consecuencia, el tratamiento de datos previsto por META supone una actuación contraria al RGPD que, al menos, incumpliría los principios de protección de datos de licitud, minimización de datos y limitación del plazo de conservación, tal y como se ha expuesto anteriormente. Asimismo, se había previsto lanzar la funcionalidad VIU en España, del 30 de mayo al 9 de junio, que consistirá en el envío de avisos o recordatorios a los usuarios, lo que justifica que la decisión no pueda aplazarse |
|
Artículos afectados: |
Art. 69.2 LOPDGDD |
Resolución: |
Suspensión de las funcionalidades Election Day Information Feature |
|
|