\ RSM20240920 - Resoluciones Relevantes
RESOLUCIONES RELEVANTES 15/07/2024 - 13/09/2024 |
Cookies, Legitimidad, Derecho de supresión, Delegado de Protección de Datos, Encargos de Tratamiento, Videovigilancia, Potestad de investigación, Transparencia, Evaluación de impacto, Conservación, Confidencialidad, Lealtad Minimización de datos, Información al interesado, Incumplimiento de resoluciones, Cartelería ... |
"En el caso del Estado español, se ha optado por publicar una lista no exhaustiva, en la que se determina que “será necesario realizar una EIPD, en la mayoría de los casos, en los que dicho tratamiento cumpla con dos o más criterios de la lista” (criterios 4 y 5 en el caso de los datos biométricos para control de jornada o asistencia). Ello no excluye otros tratamientos que no cumplan con estos criterios, pero a la luz de su naturaleza, alcance, contexto y fines exista probabilidad de que entrañen un alto riesgo a los efectos previstos en el artículo 35.1 del RGPD, tal y como sucede con el tratamiento de los datos de localización que son necesarios para arbitrar el sistema de fichaje de la jornada laboral a través de APP en el móvil con geolocalización. [...]" ABL |
- Cookies – Página web - |
La AEPD multa a Montessori por no cumplir con la normativa de cookies |
La reclamante denuncia ante la AEPD a la entidad LOS NIÑOS DE MONTESSORI, S.L., titular de la web https://www.montessoritrescantos.com/, debido a que la web en cuestión no avisa del uso de cookies cuando se accede a ella ni deja configurarlas de ninguna manera. Por parte de la AEPD, se procedió a investigar la web reclamada, y a través de la herramienta “inspeccionar à aplicación” del navegador de Google Chrome, después de haber limpiado la caché del navegador web y sus cookies, y tras haber forzado al navegador a descargar la última versión de la página web alojada en el servidor remoto, pudo verificar los siguientes hechos: a).- Sobre la utilización de cookies antes de que el usuario preste su consentimiento: Se comprobó que al entrar en las mismas, por primera vez, una vez limpiado el equipo terminal de historial de navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre la misma se utilizaban cookies propias y de terceros que no eran de naturaleza técnica, como _gid; _ga_xxxxxx; _ga; _dc_gtm_UA-xxxxxxx; _gcl_au; _fbp... b).- Sobre el banner de información sobre cookies en la primera capa: al entrar en la web por primera vez, una vez limpiado el equipo terminal de historial de navegación y de cookies, sin realizar ninguna acción sobre la página web, se comprueba que no aparece ningún tipo de banner de información sobre cookies en la página principal c) Sobre el consentimiento a la instalación de cookies en el equipo terminal: NO es posible rechazar las cookies que no sean técnicas o necesarias, pues no existe ningún mecanismo que lo posibilite. d).- Sobre la información suministrada en la “Política de Cookies”: NO existe ningún tipo de información sobre cookies en la web. Tampoco existe ningún enlace a la “Política de Cookies” o página donde se pueda informar sobre la política de cookies de la web. e).- Sobre la posibilidad de modificar el consentimiento prestado sobre cookies, en cualquier momento de la navegación web: NO existe ningún mecanismo que posibilite gestionar el consentimiento del usuario sobre el uso de cookies. A raíz de las infracciones descritas, la AEPD estima adecuado sancionar al titular de la web con una multa de 5.000 €, a 1.000 € por infracción detectada. |
Procedimiento: |
Artículos afectados: |
Art. 22 LSSI (Consentimiento de cookies) |
Resolución: |
5.000 € (3.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Legitimidad, supresión y DPD – Ficheros de solvencia patrimonial - |
La AEPD multa a IDFINANCE con 225.000 € por contratación negligente de sus préstamos y no comunicar los datos del DPD |
En marzo de 2020 por parte de un tercero se abrió una cuenta a través de web Moneyman, titularidad de IDFINANCE. Para abrir dicha cuenta, se proporcionaron los datos personales de la ahora reclamante (nombre, DNI, dirección, foto del DNI, un certificado bancario, un número de teléfono móvil y un certificado de titularidad de cuenta bancaria). Empleando el usuario creado, se solicitó un préstamo concedido y aceptado por IDFINANCE a través de SMS. Durante el proceso de registro, la verificación de la identidad de usuario de la web de IDFINANCE se basó en la comparación, a través de una tercera empresa, de nombre y NIF de la reclamante con los existentes en el censo de la Agencia Tributaria y la recepción de una imagen del DNI por ambas caras. Siguiendo sus procedimientos internos en caso de impago, IDFINANCE envió diferentes SMS de notificación y reclamación de la deuda al número de teléfono aportado, dando así por comunicada la deuda, y avisada la inscripción en sistemas de información crediticia. La reclamante denunció ante la Policía Nacional haber recibido dos días antes en su buzón una carta de IDFINANCE, reclamando una deuda por un préstamo. En la denuncia manifiesta no reconocer la deuda y no haber realizado ninguna contratación con la mencionada empresa. IDFINANCE inscribió a la reclamante en ASNEF, y manifestaba contar con el consentimiento de la reclamante al tratamiento de sus datos personales y la autorización para su posible inscripción en sistemas de información crediticia basándose en el contrato (en el que no consta ninguna firmado por la reclamante); las comunicaciones mediante SMS (numeración de la cual la reclamante no es titular); las respuestas enviadas desde una dirección IP (sin acreditar su relación con la reclamante), y el certificado de titularidad de cuenta aportado, el cual se ha podido constar tras consultar a la entidad bancaria que no pertenece a la reclamante. De los hechos descritos, la AEPD entiende que se ha producido múltiples infracciones de la normativa: - Falta de legitimación del tratamiento: la actuación de la IDFINANCE ha sido negligente, pues los datos de la reclamante han sido incluidos en un fichero de solvencia de manera ilícita, pues no ha podido probarse que la reclamante hubiera contratado crédito alguno con IDFINANCE, por lo que el presupuesto que motivó el tratamiento de datos la reclamante y su inscripción en el fichero de solvencia patrimonial no ha quedado justificado. - Falta de atención reiterada del derecho de supresión: por parte de IDFINANCE, en relación con la primera solicitud de supresión realizada por FACUA en nombre de la reclamante no fue respondida, alegando que se debe a un “error involuntario”. En una segunda ocasión, se le contesta que no pueden suprimir los datos del fichero de solvencia patrimonial porque existe una deuda; y que, en caso de haber sido objeto de fraude, debería aportar denuncia policial, la cual ya aportó en la primera solicitud. La tercera y última solicitud, si bien fue atendida procediendo presuntamente al bloqueo de los datos, con posterioridad sus datos volvieron a incorporarse en el fichero de solvencia patrimonial, por lo que se considera que la solicitud no fue efectivamente satisfecha - No haber comunicado los datos del Delegado de Protección de Datos: Por último, IDFINANCE, como entidad financiera de crédito está obligada a disponer de un DPD. Sin embargo, durante el presente procedimiento, se observa que IDFINANCE no había comunicado el efectivo nombramiento de éste ni la comunicación formal de sus datos a la Agencia, poniendo de manifiesto una falta de diligencia por su parte. |
Procedimiento: |
Artículos afectados: |
Art. 6 RGPD (Licitud del tratamiento); Art. 17 RGPD (Derecho de supresión); Art. 37.7 RGPD (Designación DPD) |
Resolución: |
225.000 € en total [100.000 € (Art. 6 RGPD); 100.000 € (Art. 17 RGPD); 250.000 € (Art. 37.7 RGPD)]; 180.000 € por pago voluntario |
|
|
- Derecho de acceso y supresión– Videovigilancia - |
Multa de 140.000 € a El Corte Inglés por no facilitar y borrar las imágenes de videovigilancia de un accidente |
Denuncia la reclamante que su hija, menor de edad, sufrió una caída en la planta baja del centro comercial de El Corte Inglés (en adelante, ECI), golpeándose en la cara contra una plataforma cortante y con esquinas en pico, siendo asistida el establecimiento y posteriormente en un hospital. Con la finalidad de encontrar una solución por la vía amistosa, la reclamante remitió un primer correo electrónico a la dirección facilitada por el Servicio de Atención al Cliente de ECI, solicitando expresamente la conservación de las imágenes grabadas por las cámaras de seguridad de la caída de su hija, por si fuera necesario aportarlas como documentación en caso de acudir a la vía judicial, además de una indemnización por los daños ocasionados, adjuntando fotografías del lugar y la hija, e informe médico. ECI se limitó a responder que la documentación había sido remitida a su compañía de seguros, que sería la que le contactase. La aseguradora contactó comunicando a la reclamante que no podían hacerse cargo de las consecuencias económicas del siniestro al no existir responsabilidad de ECI, pues la caída se produce de forma fortuita, y no existe negligencia de ECI al encontrarse las instalaciones en perfecto estado de conservación. Al requerirle las imágenes, la aseguradora responde que no podía facilitar ninguna copia de las grabaciones de las cámaras de seguridad “en cumplimiento de la Ley de Protección de Datos”. Por ello, la reclamante solicita nuevamente a ECI las imágenes de las cámaras colindantes, respondiendo ECI que el periodo de conservación era de 15 días, por lo que ya se había borrado. La conducta de ECI es fuertemente criticada por la AEPD, recriminándole por un lado, que la solicitud inicial expresa todos los detalles del siniestro ocurrido, indicando lugar, hora, daños producidos y la reacción del personal de ECI al respecto; y por otro lado, que en la misma solicitud se expresa la finalidad pretendida con el ejercicio de este derecho, la de garantizar un posterior ejercicio del derecho de acceso a las imágenes en cuestión, el cual se anuncia en esta comunicación, para el caso de que posteriormente se entablaran acciones judiciales. Por ello, debía entenderse que la solicitud no se limitaba a la zona concreta en que se produjo el accidente, sino a cualquier otra relacionada con la caída, por lo que la petición de limitación de tratamiento afectaba a todas las imágenes que pudieran resultar de interés, incluyendo cualquier otra que permitiera acreditar los daños o la reacción de los responsables del centro. Por ello, ECI debería haber tomado las medidas adecuadas para evitar el borrado de las imágenes, sin embargo, su reacción frente a las solicitudes acceso y limitación fue nula. No solicitó información adicional ni respondió en forma alguna; actuaciones que debería de haber realizado antes de vencer el plazo de conservación de imágenes que ellos mismos habían implantado (15 días). En estos casos, en caso de existir un período de almacenamiento de datos por tiempo inferior al plazo para contestar la solicitud de ejercicio de derechos, el período de conservación o almacenamiento deberá considerarse al determinar el plazo de respuesta a las solicitudes de ejercicio de derechos. Si realmente la caída no puedo ser captada, el interés en conservar y facilitar las imágenes tomadas por cualquiera de las cámaras instaladas es aún mayor. Resulta irrelevante la solicitud de acceso formulada por la reclamante posteriormente, en la que alude expresamente a las grabaciones de las imágenes captadas por las cámaras cercanas al lugar del suceso, pues tales imágenes se entienden incluidas en las solicitudes iniciales. En definitiva, no puede considerarse, por tanto, que la parte reclamada atendiera el derecho a la limitación del tratamiento ejercido por la parte reclamante, por cuanto no se contestó adecuadamente a la petición de conservación de las grabaciones en cuestión, las cuales, además, debieron ser conservadas en atención a lo solicitado. Lo mismo puede decirse del derecho de acceso, que tampoco fue atendido, siendo borradas las imágenes de las cámaras. |
Procedimiento: |
Artículos afectados: |
Art. 15 RGPD (Derecho de acceso); Art. 18 (Derecho de limitación del tratamiento) |
Resolución: |
140.000 € en total (70.000 € cada infracción) |
|
|
- Potestades de investigación – Telecomunicaciones - |
La Agencia sanciona a VODAFONE con 200.000 € por obstaculizar la investigación y no facilitar la información solicitada |
Como consecuencia de reclamación presentada ante la AEPD contra VODAFONE ESPAÑA, S.A.U, se iniciaron actuaciones con número de expediente EXP202210932. En el marco de las actuaciones previas de investigación para el esclarecimiento de los hechos, y en virtud de los poderes de investigación otorgados a las autoridades de control, se remitieron a la parte reclamada tres requerimientos de información para que, en el plazo de diez días hábiles, presentase la información y documentación que en ellos se señalaba. Los requerimientos fueron registrados de salida en fechas 13 de febrero de 2023, 24 de marzo de 2023 y 12 de mayo de 2023. Sin embargo, por VODAFONE ESPAÑA no dio respuesta a la solicitud de información, que en concreto se refería a la confirmación del envío de un SMS de un número de teléfono a otro. VODAFONE argumenta, entre otras cuestiones, que no podía comunicar los datos solicitados a la AEPD sin autorización judicial, pues esta información se encuentra protegida para ofrecérsela única y exclusivamente a los agentes facultados mediante las solicitudes de información recibidas a través de requerimientos judiciales o policiales que impliquen la información de tráfico, por lo que no podría facilitar los datos solicitados sin, como resultado, acceder a dichos datos de tráfico. En este aspecto, la AEPD recuerda que la información solicitada se encuentra expresamente prevista en el artículo 52 LOPDGDD que recoge que, en el supuesto de que la conducta se hubiera realizado mediante la utilización de un servicio de telefonía fija o móvil, debe suministrarse información sobre “3.º La mera confirmación de que se ha realizado una llamada específica entre dos números en una determinada fecha y hora”. Por tanto, la mera confirmación de una información que ya tenía la AEPD, pues era conocedora del número llamante, así como de la hora y fecha concreta en que dicha llamada se produjo al número del reclamante. |
Procedimiento: |
Artículos afectados: |
Art. 58.1 RGPD (Obstaculización potestades investigación) |
Resolución: |
200.000 € |
|
|
- Legitimación – Redes Sociales - |
La AEPD se limita a apercibir a una tienda por tomar medidas adecuadas tras subir por error imágenes a Facebook |
La reclamante pone de manifiesto que, en la página de Facebook de una tienda de UBRIQUE D&A se habría publicado una imagen extraída del sistema de videovigilancia, dando a entender que la persona que aparece, hijo de la reclamante, de 12 años de edad habría robado en el citado comercio. Por parte de UBRIQUE D&A indica dicha publicación se realizó por un error humano, procediendo al borrado de las fotos con las imágenes del menor a requerimiento de la reclamante. Con motivo de los hechos, UBRIQUE D&A quiere señalar que ha procedido a la designación de la figura de un DPD a efectos de contar con un mejor asesoramiento en materia de Protección de Datos para evitar que se puedan repetir estas situaciones; y ha decidido que llevará a cabo auditorías periódicas de protección de datos acompañada de asesor especializado en la materia y que concluirá con la elaboración de los correspondientes informes de detección de posibles deficiencias y propuestas correctoras. En este caso, la AEPD considera probado que se han tratado los datos de terceras personas, en concreto de menores, al haber subido a la red social FACEBOOK imágenes obtenidas a través de las cámaras de video vigilancia del establecimiento, sin el consentimiento de los padres del menor, y sin que concurra alguna de las causas de licitud del tratamiento que exige el artículo 6.1 del RGPD. No obstante, la adopción de una serie de medidas en materia de protección de datos, como son: designar a un delegado de protección de datos para contar con un mejor asesoramiento y la realización de auditorías periódicas de protección de datos por un asesor especializado en la materia, con la elaboración de informes de detección de deficiencias y propuestas correctoras ameritan para que se dirija un apercibimiento a UBRIQUE D&A por la infracción del artículo 6.1 del RGPD. |
Procedimiento: |
Artículos afectados: |
Art. 6.1 RGPD (Licitud del tratamiento) |
Resolución: |
Apercibimiento |
|
|
- Legitimación – Redes Sociales - |
1.000 € a un particular por difundir datos personales de un tercero sin consentimiento |
El reclamante denuncia ante la AEPD que, por parte de B.B.B., concejal del Ayuntamiento, y haciendo uso de su condición, tras haber sido conocedor de una denuncia interpuesta y después sobreseimiento de la misma, publicó una nota de un pleno municipal adjuntando datos personales del reclamante y su mujer, con el propósito de crear indefensión y linchamiento público, habiéndolo publicado en su perfil personal de Facebook, así como en un grupo de 400 personas, muchas de ellas vecinos y vecinas del Municipio, con tal de crear un perjuicio de imagen tanto del reclamante de la mujer. En la publicación figuran datos sobre una querella interpuesta por la reclamante y su mujer contra el concejal del Ayuntamiento, así como los nombres y apellidos de estos. Por su parte, el reclamado, que reconoce haber realizado la publicación objeto de reclamación en su perfil particular, indica que se limitó a transcribir una convocatoria a Pleno del Ayuntamiento, siendo uno de los puntos a tratar en la nota del pleno municipal publicada la posibilidad de interponer acciones penales contra la parte reclamante y su mujer por denuncia falsa; por lo que considera que no figuran datos sensibles del reclamante y de su mujer, solo de carácter nominal, no pudiendo omitirse a fin de debatir sobre el asunto. Asimismo, alega que por el reclamante no se ha procedido en ningún momento a ejercer derecho alguno ante el Ayuntamiento por este asunto. Debe recordarse que, además del consentimiento, existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de contar con la autorización de su titular. No obstante, en el presente supuesto resulta evidente que el tratamiento de datos llevado a cabo por el reclamada no se ampara en ninguna de las causas legales que prevé la normativa, por lo que se considera que se ha vulnerado el art. 6.1. RGPD, debiéndose proceder a la eliminación del contenido publicado en el perfil particular de la red social Facebook del reclamado y en el grupo objeto de reclamación, además del abono de la correspondiente sanción. |
Procedimiento: |
Artículos afectados: |
Art. 6.1 RGPD (Licitud del tratamiento) |
Resolución: |
1.000 € (600 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Principio de transparencia – Entidades deportivas - |
El Tribunal Supremo anula la sanción impuesta a LaLiga por falta de transparencia en su App |
En fecha junio de 2018, se publicó en el Play Store una actualización de la aplicación oficial La Liga. La actualización en concreto permitía detectar explotaciones fraudulentas de los contenidos audiovisuales comercializados, haciendo uso de las funcionalidades del micrófono y geolocalización de los dispositivos móviles de los usuarios de la App, las cuales se activaban durante las franjas horarias de partidos en los que competían equipos de LaLiga. En las condiciones de la "Política de Privacidad" se facilitaba información sobre protección de datos, incluida la App oficial, indicando respecto de los tratamientos controvertidos "3. USO DEL MICROFONO: [...] solo en el caso de que aceptes la casilla habilitada al efecto, así como mediante la ventana emergente que aparece en la APP, LaLiga podrá activar el micrófono de tu dispositivo para conocer si estás viendo partidos de futbol. [...]" La controversia se centra en la interpretación del artículo 5.1 a) RGPD, a fin de determinar si cabe considerar suficientemente cumplido y adecuado el principio de transparencia en la instalación y funcionamiento de la App de La Liga, o si la AEPD podía imponer requisitos adicionales más allá de lo establecido en la normativa aplicable. En este caso, la información facilitada por LaLiga cuando se descarga por vez primera la app cumplía las exigencias previstas en el RGPD. Ahora bien, se trata de una aplicación que no solo recopila datos personales para su tratamiento en el momento en que se instala, momento en el que el usuario presta su consentimiento inicial, sino que las características de la app permitía una recopilación de datos personales del afectado de forma prolongada en el tiempo, y lo hace de manera aleatoria y sin previo aviso, de modo que conecta el micrófono del móvil sin requerir una nueva autorización de usuario captando el sonido ambiental existente en ese momento, cualquiera que sea el lugar en el que se encuentre. Una función que, aunque ha sido aceptada expresamente cuando se instala, al operar de forma autónoma y sin previo aviso, tiene un impacto prolongado en su privacidad, recopilando nuevos datos a lo largo del tiempo en que la aplicación está operativa, lo que puede exigir medidas adicionales de protección fuera de la información y advertencias iniciales al tiempo de instalarla. Aunque la normativa no exige volver a reiterar toda la información que ya se proporcionó al usuario en el momento inicial y que este aceptó expresamente, se pueden establecer medidas adicionales que recuerden al usuario que sus datos están siendo recopilados. La transparencia como principio inspirador de la actividad de tratamiento de datos no puede agotarse en una enumeración genérica y descriptiva de la información que ha de proporcionarse al afectado, sino que debe modularse en virtud de las circunstancias concretas del tratamiento de que se trate y corresponde a la autoridad establecer cómo ha de aplicarse y ajustarse ese principio. Por ello, la AEPD está facultada para establecer medidas adicionales que refuercen la transparencia en el tratamiento de los datos con la finalidad de salvaguardar los derechos de los usuarios; por ejemplo, mediante un aviso específico en su móvil cada vez que se activaba el micrófono, consiguiendo que el usuario tenga un control efectivo sobre sus datos personales. Dado que esta exigencia no estaba expresamente contemplada entre las obligaciones de información del RGPD y la LOPDGDD; sino que se trata de una medida adicional impuesta por la AEPD para integrar el principio de transparencia en atención a las circunstancias concretas de la aplicación de que se trata, no es posible sancionar dicha conducta, pues la potestad sancionadora se rige por el principio de previsibilidad. La imposición de una sanción, basándose en la integración que del principio de transparencia realiza el órgano de control con un alcance que no conocía previamente el infractor, ni era razonable que lo hiciese, ni es compatible con una correcta utilización de la potestad sancionadora; debiendo en su caso haber requerido previamente a la LaLiga para que acomodase su conducta las exigencias que consideraba necesarias |
Procedimiento: |
Artículos afectados: |
Art. 5.1a) RGPD (Licitud, lealtad y transparencia) |
Resolución: |
Estimación del recurso; anulación de la sanción de multa de 250.000 € |
Anotaciones: |
La resolución de la AEPD de la que trae causa puede consultarse aquí (PS-00326-2018) |
- Datos sensibles, EIPD y DPD – Administración Pública - |
Triple sanción al Ayuntamiento del Telde por implantar un sistema de control horario mediante reconocimiento facial sin hacer EIPD y sin que participara el DPD |
Por parte un empleado de la policía municipal del Ayuntamiento de Telde se solicita que analice la legalidad de la imposición del fichaje mediante el reconocimiento facial que se establece como método de control de la jornada laboral para los empleados municipales del Ayuntamiento. Indica que por parte del Ayuntamiento, se establecieron 3 posibles vías de fichaje de la jornada laboral: fichaje el reconocimiento facial, el fichaje a través de la web (para empleados que se encontrasen en modalidad de trabajo no presencial), y el fichaje a través del móvil con geolocalización. El empleado solicitó cambiar el sistema asignado de reconocimiento facial al fichaje a través del móvil con geolocalización, petición que fue denegada, indicando que el sistema de fichaje no es elección del empleado, sino que forma parte de la potestad organizativa del Ayuntamiento. Durante las actuaciones de investigación, la AEPD requiere para que se aporte informe del DPD sobre dicho sistema, indicando el Ayuntamiento que no solicitaron dicho informe al DPD, ni se llevó a cabo Evaluación de Impacto, indicando que solamente disponen un informe de fecha 24/011/2020, referente a la idoneidad de la implantación del fichaje mediante reconocimiento facial durante la situación de la pandemia. En este sentido, la AEPD recuerda que la decisión de optar por un tratamiento basado en métodos biométricos como la huella dactilar o el reconocimiento facial o métodos que traten datos de localización de las personas físicas no es baladí. Este tratamiento puede ser realmente intrusivo y requiere de un debate ético y jurídico sosegado antes de decidir su implantación, toda vez que recoger la huella dactilar, sacar un patrón/vector facial o recoger las coordenadas de localización del personal puede tener efectos muy adversos en los derechos fundamentales y la libertad e integridad humana de estos empleados que no se producen con otros métodos de control de jornada. En el presente supuesto, no cabe duda de que era obligatorio realizar y superar una previa EIPD, dado que era y es probable que el tratamiento de control de horario que implantó el Ayuntamiento entrañase un alto riesgo para los derechos y libertades de los empleados públicos que utilizasen los sistemas de fichaje biométrico y de fichaje a través de APP en el móvil con geolocalización. No haber realizado y superado la preceptiva EIPD en este supuesto supone, entre otras cosas, que el Ayuntamiento inició las operaciones de tratamiento del nuevo sistema de control de horario sin realizar previamente el juicio sobre su necesidad, idoneidad y proporcionalidad, infringiendo con ello el art. 35 RGPD. Respecto a la licitud para el tratamiento de datos sensibles, tampoco se ha acreditado la concurrencia de ninguna de las excepciones previstas en el artículo 9.2 del RGPD que permita levantar la prohibición general de tratamiento de datos biométricos, lo que supone que la implantación del sistema de fichaje biométrico incurra en una infracción del art. 9.2 RGPD. Por último, tampoco consta que el DPD participara de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales que suscitó el nuevo sistema de control horario. El Ayuntamiento reconoce que no solicitó dicho informe, pero que disponía de un informe PRODAT sobre su idoneidad durante la situación de pandemia, el cual no tiene pie de firma ni identifica a la persona u órgano emisor. Con dicho documento no puede entenderse acreditado que dicho Informe fuera emitido por el DPD del Ayuntamiento, careciendo los documentos sin firma de validez jurídica. Con ello, el Responsable ha infringido el deber de garantizar que el DPD participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. |
Procedimiento: |
Artículos afectados: |
Art. 38.1 RGPD (Participación del DPD); Art. 9 RGPD (Datos sensibles); Art. 35 RGPD (Evaluación de impacto) |
Resolución: |
Apercibimiento (Art. 77 LOPDGDD) |
Anotaciones: |
En el caso del Estado español, se ha optado por publicar una lista no exhaustiva, en la que se determina que “será necesario realizar una EIPD, en la mayoría de los casos, en los que dicho tratamiento cumpla con dos o más criterios de la lista” (criterios 4 y 5 en el caso de los datos biométricos para control de jornada o asistencia). No obstante, ello no excluye a otros tratamientos que no cumplan con estos criterios, pero a la luz de su naturaleza, alcance, contexto y fines exista probabilidad de que entrañen un alto riesgo a los efectos previstos en el artículo 35.1 del RGPD, tal y como sucede con el tratamiento de los datos de localización que son necesarios para arbitrar el sistema de fichaje de la jornada laboral a través de APP en el móvil con geolocalización. [...] Por lo que respecta a los datos de localización, el Dictamen 5/2005 sobre el uso de los datos de localización con vistas a prestar servicios con valor añadido del GT 29 del CEPD, previno ya, en el año 2005, que el tratamiento de estos datos para efectuar simplemente un control laboral de su jornada se considera “excesivo” a los efectos del Principio de minimización de datos: «El tratamiento de los datos de localización puede estar justificado si se lleva a cabo formando parte del control del transporte de personas o bienes o de la mejora de la distribución de los recursos para servicios en puntos remotos (por ejemplo, la planificación de operaciones en tiempo real) o cuando se trate de lograr un objetivo de seguridad en relación con el propio empleado o con los bienes o vehículos a su cargo. Por el contrario, el Grupo considera que el tratamiento de datos es excesivo en el caso de que los empleados puedan organizar libremente sus planes de viaje o cuando se lleve a cabo con el único fin de controlar el trabajo de un empleado, siempre que pueda hacerse por otros medios». |
- Confidencialidad – Laboral - |
450.000 € de multa por enviar por error todas las nóminas a un trabajador |
Por la reclamante se denuncia que prestaba servicios en UNIQLO EUROPE, LTD, manifiesta que con fecha 8 de agosto de 2022, tras solicitar su nómina a la entidad, recibió un correo electrónico con un documento PDF adjunto que incluía su nómina y la de 446 trabajadores más de la plantilla. Junto con la reclamación aporta el documento PDF que contiene las nóminas de 447 trabajadores de la entidad reclamada, constando nombre y apellidos, DNI, número de afiliación de la SS y número de cuenta bancaria, entre otros datos. Con posterioridad, se interpone una segunda reclamación a partir de recibir la comunicación informativa de la brecha, enviada por UNIQLO a los empleados afectados mediante correo electrónico; por quien manifiesta pertenecer al Comité de Empresa, aportando captura de pantalla del correo recibido el 4 de mayo de 2023. El objeto causante de la brecha sería un archivo PDF que contendría la información de toda la plantilla de UNIQLO relativa a las nóminas del mes de julio. Dicho archivo ha sido aportado por la reclamante y se ha procedido a contrastar la información contenida en él, así como la causa de que fuera enviado indebidamente a una persona no autorizada. Por su parte, UNIQLO admite los hechos: Con motivo de la terminación del contrato laboral de la reclamante, esta solicitó su nómina de julio de 2022 al departamento de recursos humanos. Manifiestan que, en el contexto del intercambio de información por correo electrónico, su departamento de recursos humanos envió por error el archivo indicado, con la información de toda la plantilla. Atribuyen este hecho a un error humano, que no siguió el proceso interno, indicando que el Empleado de RRHH remitió un archivo que, por error, contenía las nóminas del mes de julio de todos los trabajadores de Uniqlo y los siguientes datos personales: nombre, apellido, número de DNI/NIE, número de la Seguridad Social, número de cuenta bancaria y retribución percibida. En relación a los hechos, la AEPD solicita explicaciones sobre por qué no se ha notificado la brecha de seguridad; indicando UNIQLO que el empleado de RRHH – en un flagrante incumplimiento de las políticas internas de Uniqlo – no informó en ningún momento a su superior jerárquico ni a la dirección de Uniqlo del incidente, motivo por el que la compañía no pudo conocer en tiempo y forma que éste se había producido y, por consiguiente, tampoco pudo noticiar a la AEPD de conformidad con las exigencias del RGPD. A raíz de los hechos descritos, la AEPD considera que se ha producido una quiebra evidente de la confidencialidad e integridad de datos de carácter personal de sus trabajadores, habiéndose producido filtraciones de datos no consentidas por los titulares de los mismos; todo ello derivado de la falta de medidas apropiadas para garantizar un nivel de seguridad adecuado. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
450.000 € en total [300.000 € (Art. 5.1.f. RGPD); 150.000 € (Art. 32 RGPD); 270.000 € por pago voluntario y reconocimiento de responsabilidad] |
|
|
- Conservación y Confidencialidad – Laboral - |
2.000 € a una empresa por conservar los datos de un trabajador más tiempo del necesario y divulgarlos posteriormente por correo |
La reclamante denuncia que SISTEMAS TUBULARES DE INGENIERÍA CANARIAS, S.L, con quien mantuvo en el pasado una relación laboral, se ha servido de sus datos personales para poner una denuncia por la presunta sustracción de material de una obra, para posteriormente enviarlo a diferentes empresas del sector. En concreto, se denuncia que la Administradora de SISTEMAS TUBULARES, formuló contra ella una denuncia policial y, ese mismo día, desde su correo corporativo, envió un mensaje a seis destinatarios con el mismo dominio corporativo con el que anexó una copia de la denuncia policial presentada contra ella. Al día siguiente, uno de los destinatarios envió, a través la cuenta de correo corporativo de SISTEMAS TUBULARES un mensaje a la cuenta corporativa de ochos personas físicas pertenecientes a otro dominio, anexando una copia de la denuncia policial. Cabe destacar que los hechos sobre los que versó la denuncia policial que la Administradora de SISTEMAS TUBULARES presentó contra la reclamante ocurrieron al margen de la relación laboral que las partes mantuvieron en el pasado, pues la conducta denunciada en la Policía tuvo lugar cuando hacía casi veinte meses después a la finalización de la relación contractual, cuando la reclamante trabajaba como empleada en otra empresa del sector. Los datos facilitados en la denuncia fueron recogidos en su día como Responsable del tratamiento con una finalidad específica: el desarrollo y ejecución de la relación laboral que ambas mantuvieron. Finalizada la relación laboral, los datos de la reclamante dejaron de ser necesarios para el fin para el que se habían recabado, sin que conste que, una vez finalizada la relación laboral, existiera alguna obligación pendiente de cumplimiento o de que SISTEMAS TUBULARES debiera depurar aún alguna responsabilidad laboral frente a la reclamante. Como consecuencia de lo anterior, SISTEMAS TUBULARES conservó durante más tiempo del necesario los datos de la reclamante, lo cual se evidencia atendiendo al intervalo de tiempo transcurrido entre la fecha en la que terminó la relación laboral que vinculó a ambas partes y el momento en el que SISTEMAS TUBULARES trató los datos personales de la reclamante para una finalidad distinta de aquella para la cual se recogieron: para identificarla en la Policía como presunta autora de una sustracción de su material de obra, vulnerando con ello el principio de conservación de datos. Por otra parte, SISTEMAS TUBULARES envió a diversos destinatarios copia de la denuncia policial presentada por una presunta sustracción de material. En la denuncia policial consta identificada a la reclamada con numerosos datos, incluyendo el nombre, apellidos, número de móvil, NIF y su dirección postal completa. En el segundo de los correos enviados el propio texto del mensaje facilitaba a sus destinatarios los datos de identidad de la parte reclamante -el nombre y los dos apellidos y el nombre de la empresa para la cual trabajaba, atribuyéndole una infracción penal. Aun cuando se pudiera considerar la existencia de un interés legítimo en informar a la empresa cliente que se vio afectada por la sustracción del material, la información debería haberse limitado a comunicar, únicamente a la persona designada como interlocutor en el contrato el hecho mismo de la presentación de la denuncia. Sin embargo, SISTEMAS TUBULARES difunde indebidamente datos cuya confidencialidad está obligada a mantener cuando envía, no a un interlocutor, sino a ocho personas físicas, a sus respectivos correos corporativos, un mensaje en el que, sin necesidad de abrir el documento anexo, la copia de la denuncia proporciona el nombre, los dos apellidos y la empresa en la que trabaja la persona frente a quien se presentó la denuncia policial. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.e RGPD (Conservación de datos); Art. 5.1.f RGPD (Confidencialidad) |
Resolución: |
2.000 € en total (1.000 € cada infracción) |
|
|
- Confidencialidad – Servicios de Mensajería - |
La AEPD archiva varios procedimientos contra CORREOS EXPRESS que entregó paquetes a terceros |
Por diversos reclamantes se han presentado reclamaciones dirigidas contra CORREO EXPRESS, todos ellos por hechos similares: - AI-00301-2024: Se denuncia que se entregó sin su consentimiento un pedido a una vecina (a la que no conoce) pese a que se encontraba en su domicilio en el momento en el que fue entregado. Según afirma, no ha dado su consentimiento para que se entregue ese paquete a ningún vecino. Aporta en su reclamación el justificante de entrega en el que constan los datos de la reclamante y los de la persona que recepcionó el pedido. - AI-00302-2024: Manifiesta que el repartidor encargado de la entrega de dicho paquete, en el que figuraban sus datos postales, depositó el mismo en un establecimiento público cercano a la vivienda de la reclamante, sin contar con autorización previa para ello, aporta albarán de entrega del paquete del que era destinataria la reclamante. - AI-00303-2024: Tras haber hecho una compra online en la entidad PEPE JEANS, el envío se realizó por CORREOS EXPRESS, si bien, el mismo no fue entregado en su domicilio, sino en un establecimiento cercano a su vivienda, concretamente en el bar del pueblo, sin mediar su consentimiento para ello, lo que supone la exposición de los datos personales contenidos en la etiqueta de envío del paquete, a terceros. - AI-00304-2024: Realizó la compra de una serie de productos a la entidad PROMOFARMA a través de su web, siendo CORREOS EXPRESS la encargada de la gestión de la entrega del paquete con dichos productos; si bien, el referido paquete no fue entregado en su domicilio. Al reclamar a PROMOFARMA, le indican que dicho paquete se había entregado a un tercero, sin mediar su consentimiento. Todos estos procedimientos son archivados por la AEPD, al considerar que no se ha producido una vulneración de la normativa de protección de datos: En los casos en los que se ha entregado a vecinos, la Agencia argumenta que la confidencialidad solo se verá afectada cuando se posibilite el acceso por parte de un tercero a datos personales que no sean públicos o que no fueran conocidos previamente por dicho tercero. Así, la entrega de un paquete a una persona que realiza las funciones de portería en el mismo edificio o a un vecino, cuando en el envío postal no figure ningún dato adicional a los estrictamente necesarios para realizar la entrega (nombre y dirección), la confidencialidad de los datos personales del destinatario no se ve comprometida, al no ponerse en conocimiento del receptor del envío datos personales de la reclamante que no conociese. Por otro lado, en aquellos casos en los que se ha entregado en establecimientos públicos, la AEPD estima que por parte de CORREOS se adoptaron medidas suficientes, en uno de los casos habiendo remitido una comunicación al proveedor encargado del reparto indicando como deben efectuarse las entregas (AI-00303-2024); y en el otro habiendo comunicado a los trabajadores como efectuar las entregas; procediendo al archivo directamente. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.a) rgpd (Confidencialidad) |
Resolución: |
Archivo del procedimiento |
Anotaciones: |
Resulta, cuanto mínimo, cuestionable que se haya procedido al archivo en todos procedimientos seguidos contra Correos Express (bien podría haber quedado en un apercibimiento) cuando por hechos similares, la AEPD ha llegado a imponer sanciones bastante nada desdeñables, tales como PS-00272-2023 (70.000 € a Envialia por entregar un paquete a un tercero, que decía ser un vecino); PS-00075-2023 (140.000 € a GLS por permitir en su local la retirada de paquetes a terceros que no eran los destinatarios); o PS-00637-2022 (140.000 € a UPS por entregar un paquete en un local comercial cercano, al no poder entregarlo al destinatario). Si bien cada procedimiento puede tener sus propios matices, los hechos son esencialmente los mismos: la entrega de un paquete a un tercero distinto del destinatario sin contar con autorización expresa para ello, permitiendo el acceso a los datos que figuran en el exterior del paquete, y potencialmente al contenido del mismo. El argumento esgrimido de que "la confidencialidad de los datos personales del destinatario no se ve comprometida, al no ponerse en conocimiento del receptor del envío datos personales de la parte reclamante que no conociese" es poco sólido ya que por el mero hecho de ser vecino no tiene por qué saber necesariamente quien vive en un domicilio concreto (de hecho, no es utilizado en los procedimientos en los que los paquetes se han dirigido a locales comerciales) |
- Lealtad y Responsabilidad Proactiva – Sector energético - |
La AEPD sanciona con 5.000.000 € a Enérgya-VM por la captación irregular de clientes |
Con motivo de varias denuncias, por accesos y uso fraudulento de bases de datos personales, la AEPD llevó a cabo actuaciones de investigación en relación con la entidad NIVALCO, que posteriormente desemboca en la investigación de la entidad reclamada Enérgya-VM. Enérgya-VM contrató a NIVALCO para realizar acciones de "fuerza de venta" y captar clientes. NIVALCO disponía de una base de datos de personas físicas y jurídicas que utilizaba para promover servicios de terceros, incluyendo los de Enérgya-VM. Durante la campaña de captación se proporcionó información confusa, insuficiente o engañosa a sus nuevos clientes, haciendose pasar por personal de dicha empresa, y haciendo creer que se ofrecían descuentos inexistentes. Sobre el Responsable del tratamiento: Enérgya-VM argumenta que, desde la perspectiva de protección de datos, la relación con los consumidores a los que NIVALCO se dirigía fue, en todo momento, ajena a Enérgya-VM en la primera fase de la captación, por lo que no se puede considerar que Enérgya-VM sea Responsable. Indica que nunca dieron instrucciones de cómo tratar los datos, sino que dieron indicaciones sobre como realizar el servicio de promoción, las cuales se recogen en un Script de venta elaborado por Enérgya-VM; siendo en todo caso NIVALCO quien decidía que datos tratar, el público objetivo, que tratamientos realizar... La AEPD recuerda que los conceptos de Responsable y Encargado son funcionales, y no formales, y en este caso es Enérgya-VM la que determinó que se llevara a cabo la acción publicitaria con la finalidad de difundir su oferta comercial, dirigida a obtener la contratación de sus servicios, así como determinó las categorías de datos que debían ser utilizados en la acción comercial, y que esta publicidad se realizara a través del contacto telefónico con potenciales clientes, usuarios de energía eléctrica o de gas natural, o de ambos tipos de energía, que no fueran clientes de Enérgya-VM, lo que supone el tratamiento de datos con una finalidad concreta y de un modo determinado por Enérgya-VM, recogiendo las instrucciones en el Script de venta. De otro lado, se alega que NIVALCO habría mutado a Responsable, pues no siguió las indicaciones recogidas en el citado documento, debiendo ser quien respondiera por las infracciones. Aun cuando fuera NIVALCO quien realizó materialmente los tratamientos contrarios al RGPD, la campaña de captación permitió benefició directamente a Enérgya-VM quien veía incrementado el número de clientes, sin que tratara de evitarlo a pesar de las auditorías realizadas en las que se detectaron anomalías e ilicitudes en el origen de los datos utilizados para la campaña en la que participaba NIVALCO. Infracción
del principio de licitud, lealtad y transparencia: Analizado el Script de
ventas, se observa que no se presenta al interesado una información clara
sobre la naturaleza publicitaria de la llamada ni sobre su finalidad, que no
es otra que la contratación con Enérgya-VM y el cambio de empresa
comercializadora. Analizada las grabaciones, se observa que al realizar el
primer contacto con los usuarios ya conocen algunos datos como nombre y datos
relativos al suministro eléctrico, generando confianza en ellos, y les
facilitan información engañosa sobre el cambio de responsable: en los
procesos de contratación, indicando que la comercializadora cambia cada año o
que es necesario cambiar para poder continuar disfrutando de descuentos. De
esta forma, obtienen la información necesaria para la celebración del nuevo
contrato con Enérgya-VM, indicando que necesitan conocer estos datos para
“verificarlos” o incluso “por el tema de la protección de datos”; todo ello,
sin informarles claramente de que se a realizar una contratación que supone
un cambio de comercializadora y que para ello tienen que consentir dicho
cambio. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.a) RGPD (Licitud, lealtad y transparencia); Art. 5.2 RGPD (Responsabilidad proactiva) |
Resolución: |
5.000.000 € en total (2.500.000 € por infracción) |
|
|
- Legitimación e información – Redes Sociales - |
La AEPD sanciona a una Asociación por publicar datos de un tercero en las reseñas de Google |
La reclamante A.A.A. denuncia a la Asociación Escuela Nacional de Equitación (Asociación ENE), indicando que, sin haber facilitado dato personal alguno a la citada Asociación, la Asociación ha expuesto, sin mediar consentimiento previo, sus datos identificativos, tales como nombre y apellido, en respuestas realizadas por dicha entidad a reseñas que otras personas dejaron en el perfil de Google de la misma. Manifiesta que en dicha reseña se alude a una sentencia de un procedimiento entablado entre la Asociación Proyecto Eduka contra la reclamante, por lo que entiende que se han comunicado datos entre dichas asociaciones, sin su consentimiento. No obstante, la reclamante no aporta evidencias sobre esta comunicación de datos entre asociaciones, que acrediten que dicha sentencia fue facilitada por la Asociación Proyecto Eduka a la Asociación ENE, ni que sea esta la sentencia aludida en las reseñas en cuestión. Consta que en el perfil de Google de la entidad Asociación ENE publicó en su perfil de Google, sin ninguna restricción de acceso, varias contestaciones a comentarios negativos respecto a Asociación ENE que le dejan otras personas en dicho perfil, con un texto similar al siguiente: “Hola… (nombre y apellido de la persona a la que se responde), emprendemos acciones legales ante aquellas personas que difamen el nombre de la empresa. Cuando alguien faltando a la verdad y por supuesto sin argumentos por escrito calumnia el buen nombre de una institución, ésta se ve obligada a tomar acciones legales para proteger su imagen, como hemos venido haciendo en casos donde ya hay sentencia condenatoria firme contra A.A.A. (...), por ejemplo, y otras personas encausadas por este mismo asunto. Si quieres conocerlo a título particular, somos transparentes y te enviamos la copia de la sentencia, y cuanta documentación necesites para demostrarte nuestro buen proceder. Te exigimos una rectificación inmediata, ante de interponer la correspondiente querella criminal por calumnias. Un saludo.” En el presente caso, se considera que por parte de la Asociación ENE se han difundido a través de su perfil de Google datos personales de la parte reclamante, tales como nombre y apellidos, sin mediar consentimiento previo ni ninguna otra base de licitud, lo cual implica un tratamiento de datos personales por la parte reclamada pese a carecer de la legitimación necesaria para ello. Dicha conducta confirma que la Asociación dispone de los datos de la reclamante, sin que conste que aquella haya aportado evidencia alguna sobre la recogida de tales datos directamente de la reclamante, la cual, por otra parte, ha negado haber mantenido contacto alguno con la Asociación. Siendo así, la Asociación debió informar a la reclamante una vez obtuvo sus datos personales de un tercero, en el sentido expresado en el citado artículo 14 del RGPD. |
Procedimiento: |
Artículos afectados: |
Art. 6 RGPD (Licitud del tratamiento); Art. 14 RGPD (Información al interesado) |
Resolución: |
4.000 € en total (2.000 € cada infracción) |
|
|
- Confidencialidad – Laboral - |
El Juzgado de lo Social de Burgos estima que se ha producido un tratamiento ilícito de datos por difundir su condición de afiliado de UGT |
El demandante (Sr. Justino), afiliado a UGT, denunció que durante las elecciones a representantes de los trabajadores en la empresa FERROLI ESPAÑA, el sindicato SOI presentó su candidatura, figurando el Sr. Justino como candidato. Los representantes de UGT mantuvieron una reunión con el Sr. Justino, indicándole que su conducta podría ser objeto de expulsión del sindicato UGT y le pidieron que retirara su candidatura, a lo que el Sr. Justino no accedió. Ante dicha negativa, el Sindicato UGT remitió por mail a todos los afiliados un documento en el que narraban los hechos, indicando que la actuación del demandante era considerada falta muy grave, por lo que se había procedido a instar un procedimiento urgente para su expulsión de UGT. El Sr. Justino entiende que por el sindicato UGT se ha vulnerado su derecho a la libertad sindical al haber utilizado sus datos particulares y privados para fines contrarios y distintos a la libertad sindical, en un intento de limitar y obstaculizar su candidatura y solicita una indemnización por daños y perjuicios. Por su parte, el Sindicato UGT se opuso a la demanda porque entiende que su conducta ha sido conforme a derecho, de manera que la información que se facilitó a los afiliados a UGT de la empresa fue conforme a un interés legítimo y respetando la legalidad. Pues bien, en el presente caso ha de ponderarse un doble interés, de un lado el derecho a libertad sindical del trabajador demandante y de otro lado del derecho a la libertad sindical del sindicato demandado en su vertiente colectiva. A tal efecto conviene poner de manifiesto que el artículo 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en artículo 5 dispone: "1. Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679. Considera el Juzgado que, valorando en conjunto la prueba practicada y de la relación de hecho probados resulta que la difusión del carácter de afiliado al sindicato UGT del demandante lo que realmente pretendía era obstaculizar su candidatura por el sindicato SOI. Se debe recordar que el Sr. Justino se presentaba en dicha candidatura como número NUM001, candidatura publicada el 25 de mayo de 2023, de manera que por todos los trabajadores de la empresa podían conocer este hecho, de manera que es difícilmente comprensible de qué manera el trabajador podría hacer campaña a favor del sindicato SOI indicando que seguiría defendiendo los intereses de UGT, hecho que por otro lado tampoco resulta acreditado. UGT indica que el trabajador hacía campaña entre los afiliados a UGT, pero es que efectuar campaña entre los trabajadores, con independencia de su afiliación, forma parte de las funciones propias que puede y debe realizar un candidato a las elecciones. Además, si toda la plantilla de Ferroli, o al menos todos los afiliados a UGT, conocían la condición de afiliado a UGT del Sr. Justino, como indicó la empresa en su demanda, no se alcanza a comprender de qué manera la difusión de su condición de afiliado podría satisfacer un interés legítimo alegado. No procede valorar si la conducta del Sr. Justino fue o no conforme a los estatutos confederales, pero lo que sí queda claro es que la libertad de afiliación a uno u otro sindicato, y la libertad de elección entre uno u otro en diferentes momentos temporales, al margen de reproches morales que exceden del presente pronunciamiento judicial, forman parte del derecho fundamental del trabajador demandante. De manera que la conducta del sindicato demandante única y exclusivamente tenía por objeto y finalidad coartar la libertad de afiliación del demandante y obstaculizar su candidatura por un sindicato diferente y en consecuencia se ha vulnerado su derecho fundamental. |
Procedimiento: |
Artículos afectados: |
Art. 6.1.f) RGPD (Interés legítimo - Licitud del tratamiento); Art. 5.1.f RGPD (Confidencialidad) |
Resolución: |
Estimación parcial de la demanda; 1.000 € de indemnización |
|
|
- Minimización de datos y Cartelería – Videovigilancia - |
La AEPD vuelve a sancionar a un mismo local por mantener las cámaras enfocando a la vía pública y no disponer de cartelería informativa |
Se denuncia por parte de la Guardia Civil - Puesto de Guadalajara a la entidad EXPLOTACIONES HOSTELERAS Y DE OCIO ALBACETEÑAS, por un incumplimiento de la normativa de protección de datos. En el Acta Denuncia aportada de fecha 4 de febrero de 2023 en el que se indican que, pese a haber sido objeto de anterior sanción, analizado en el expediente EXP202206754, la denunciada no ha adoptado medidas correctoras y mantiene un sistema de videovigilancia que captaría imágenes de vía pública, sin contar con autorización administrativa previa para ello y sin encontrarse señalizadas mediante carteles de zona videovigilada. Se aportan al procedimiento informes realizados por las FFCCSE y reportaje fotográfico, acreditando la existencia de un sistema de videovigilancia que capta imágenes de la vía pública y no se encuentra señalizado mediante carteles de zona videovigilada. Por parte del reclamado, no se presentan alegaciones en el plazo estipulado para ello, por lo que el acuerdo de inicio es considerado propuesta de resolución, ordenando la AEPD para que proceda a la retirada o reorientación del sistema de cámaras o videocámaras del lugar actual, evitando la captación de la vía pública; así como proceda a colocar dispositivo informativo en las zonas videovigiladas y tener a disposición de los afectados la información a la que se refieren los artículos 13 y 14 del RGPD. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado) |
Resolución: |
2.000 € (1.000 € cada infracción) |
Anotaciones: |
El procedimiento del que trae causa puede consultarse aquí PS-00536-2022 |