Noticias \ RSM20211007 - Resoluciones Relevantes



Derecho de acceso, Datos relativos a una condena, Destrucción, Comunicación de datos, Protección del menor, Derecho de supresión, GPS, No disponer de DPD, Política de Privacidad 15/1999...

«De conformidad con el art. 72.1 letra k), se considera como infracción muy grave “el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679”. La clave está en considerar en qué momento se produce la no atención, si por la mera falta de contestación, o por no atender al posterior requerimiento de la AEPD. En este sentido, entiendo que debería ser el primero de los supuestos, por cuanto el incumplimiento de las resoluciones de la AEPD se contemplaría en la letra m del mismo artículo.
No sería descabellado que por parte de la AEPD se iniciara un procedimiento sancionador por esta misma causa»

ABL

RESOLUCIONES

#01 La AEPD estima el derecho de acceso al titular de la alarma a todos los logs que se hayan podido producir

PROCEDIMIENTO

TD-00167-2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

La parte reclamante ejerció su derecho de acceso y, la respuesta de la compañía fue proveer un listado de logs (registros), asociados a dicho sistema de alarma, respuesta que el reclamante considera incompleta por cuanto se han filtrado/reducido por a los logs que la compañía considera datos personales, sin indicar si esos otros logs no existen o no se da acceso por considerar que no son registros de datos personales. Dado que el reclamado no atiende la totalidad de lo solicitado puntualizando el motivo, la AEPD considera que el derecho solo se atiende parcialmente, estimando la reclamación

Art. 15 RGPD (derecho de acceso)

Estimación del derecho de acceso

 

 

#02 Protección de datos vs Libertad de expresión: publicación en una web datos relativos a procesos judiciales y una condena penal

PROCEDIMIENTO

TD-00182-2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

La parte reclamada reporta un suceso que convierte en polémico o criticable a título personal. La relevancia pública, por tanto, no existe pues únicamente responde al interés y motivación personal de la parte reclamada, como responsable del tratamiento, y a los efectos de promocionar sus servicios profesionales en internet. En este caso, la finalidad no es la divulgación al público de información, opiniones o ideas.

Destaca por otra parte la AEPD que no se trata de un personaje de relevancia pública, en el sentido de que tal relevancia como empleado público sea suficiente para entender que supone, ex lege, una desposesión de su derecho fundamental a la protección de sus datos personales, ni los hechos son “de relevancia pública”, en el sentido de que se revelen como “necesarios” para la exposición de la ideas u opiniones de interés público.

Además, se hace referencia a una publicación del año 2017 (sobre la que se ha ejercido el derecho de supresión); publicación que se encuentra totalmente desligada en su momento de un acontecimiento actual derivado de los hechos ilícitos o de la condena de la parte reclamante.

Art. 17 RGPD (derecho de supresión)

Estimación del derecho de supresión

Entiende la AEPD que se estaría infringiendo el art. 5.1.c) del RGPD, resultando ser un dato totalmente impertinente y excesivo, actuando la reclamada en claro abuso de derecho, ya que, en el ejercicio de su derecho subjetivo, aparentemente legítimo, está excediendo los límites del mismo y generando un perjuicio para un tercero y ningún beneficio para su titular.

 

#03 Antiguos archivos de contabilidad con facturas y datos personales al descubierto en un depósito de residuos

PROCEDIMIENTO

PS-00365-2020

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

Por la patrulla de Seguridad Ciudadana, se observa un depósito de residuos en la zona de servidumbre del río, en el que se encuentran diversos residuos entre ellos archivos de contabilidad, conformado por albaranes de cobro, facturas de proveedores… correspondientes a los años 93 a 96 donde se pueden ver de forma clara datos personales correspondientes a nombre y apellidos, DNI y domicilio de 341 clientes.

Pese a haber transcurrido un considerable espacio de tiempo desde la emisión de los documentos encontrados en la vía pública, de acuerdo con la fecha de las facturas, la reclamada sigue siendo la responsable de los mismos y mantiene la obligación de custodiarlos. Considerando las fechas de los documentos hallados y el cese del negocio, contando con los efectos de conservación documental por el periodo de posible exigencia de responsabilidad, sería posible proceder a su destrucción, en cuyo caso deberá documentar lo siguiente: documentos que se destruyen, que tipo de datos personales contienen y de qué periodo temporal.

Art. 32 RGPD (medidas de seguridad)

Apercibimiento

Probablemente, la RESOLUCIÓN de apercibimiento se deba a dos causas:

- De una parte, la antigüedad de las facturas.

- El cese del negocio.

Lo que sí es notorio es que se haya puesto una sanción al titular de la empresa de manera particular: las facturas y toda la documentación estaba a nombre de una empresa que, muy probablemente, a día de hoy, no exista. Sin embargo, en lugar de archivar el procedimiento porque el Responsable (que es la empresa) no existe, han optado por sancionar a la persona física que era la titular de dicha empresa.

 

#04 Un centro médico privado es sancionado por comunicar datos médicos que habían obtenido previamente a la Mutua

PROCEDIMIENTO

PS-00262-2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

“El 9 de julio del 2020 me realizo una resonancia magnética (RM) de forma privada e individual.” ”El día 9 de noviembre del 2020 me dirijo a mi Mutua laboral por accidente laboral encontrando mi informe privado en tal despacho y vulnerando mi privacidad produciendo el efecto de denegar la baja laboral por haber tenido acceso al informe” La mención a datos de salud previos procedentes de la asistencia en régimen privado del reclamante en la prueba que se practica después a instancia de la Mutua, colaboradora con la Seguridad Social en la gestión de las contingencias de accidente de trabajo y la enfermedad profesional del personal a su servicio, prestada en régimen público de asistencia

5.1 f) RGPD

(integridad y confiden-cialidad)

30.000 euros

(18.000 euros por pago voluntario)

 

 

#05 Notificación de Hackeo a la base de datos de una entidad dedicada a crear dispositivos inteligentes para menores

PROCEDIMIENTO

E-00734-2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

Un hacker remite un correo electrónico a la entidad SOYMOMO S.L. explicando como accedió a su base de datos. La entidad detecta que logró descifrar la clave de cliente de los dispositivos móviles y la URL del servidor y con ello consiguió descargar información de la base de datos. Se estima que se hayan visto afectados alrededor de 10.400 menores, y 14.200 usuarios de aplicación parental. Entre los datos afectados se incluyen nombres de usuarios, número de teléfono, contactos, descargas, localización GPS, fechas de registro, cumpleaños y de última conexión del dispositivo, fotografías y capturas realizadas con los dispositivos; y en algunos casos número de pasos del menor en el smartwatch, altura y peso.

La entidad manifiesta que se tiene conocimiento de la identidad e intención del actuar del hacker. Se hizo un pago para la no divulgación de la información y la destrucción; y se firma un acuerdo de confidencialidad con el hacker

Art. 32 RGPD

(Seguridad del tratamiento)

Art. 33 y 34 RGPD

(Notificación de la brecha a autoridad de control y a los interesados)

Archivo de actuaciones

El problema principal fue no haber utilizado una lista de control de acceso (ACL) para la separación de privilegios dentro de la configuración de los datos del servidor y permitió que el Hacker una vez descifrados las claves de cliente ocultas en la aplicación de Padres, pudo acceder y obtener los datos de muchos usuarios.

 

#06 LA AEPD ampara en el derecho de acceso a un padre para acceder a los exámenes realizados por el hijo en el colegio

PROCEDIMIENTO

TD-00140-2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

Concretamente solicita, el acceso a la copia de los exámenes de las asignaturas de Inglés, Francés, Cultura Clásica, Música, Geografía e Historia y Matemáticas, realizados por su hija durante la primera evaluación. Así también, solicita copia de los demás documentos e instrumentos de evaluación (exposiciones orales, cuaderno...) que sirvan para evaluar el aprendizaje, incluidas las ANOTACIONES del profesor. Y, solicita copia de las evaluaciones iniciales de dichas asignaturas.

Hay que añadir a modo informativo que, no entrarían dentro del derecho de acceso las valoraciones subjetivas que pueda hacer un profesional ni la copia de documentos.

Art. 15 RGPD (derecho de acceso)

Estimación del derecho de acceso

La consejería afirmaba que el centro ha puesto explícitamente a disposición de la reclamante los servicios de consulta y entrevista con los profesores y tutores de su hija, en la carta a ella dirigida el 5 de febrero de 2021 (registro de salida de 5 de febrero), incluyendo como obliga la normativa educativa sectorial de Castilla y León, el acceso a cuantos documentos exámenes y evaluaciones realice el centro para valorar el rendimiento académico de la alumna objeto de la reclamación.

 

#07 El derecho de supresión no supone una eliminación inmediata de los datos y no puede limitar el ejercicio de otros derechos

PROCEDIMIENTO

TD-00165-2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

la entidad ha manifestado que, como procedieron a la supresión de los datos, no es posible atender el derecho de acceso, al no disponen de estos en el fichero. cuando se ejercitan el derecho de acceso y supresión, procede atender ambos derechos, no cabe aceptar que, con la realización de la supresión de los datos personales, amparándose en la normativa, se pretenda dejar sin respuesta a otro derecho ejercitado. La supresión debe llevarse a cabo mediante el bloqueo, por lo tanto, la supresión de los datos personales al haber dejado de ser necesarios para la finalidad que justificó su tratamiento, dicha supresión se ha de realizar mediante la modalidad de bloqueo de los datos de carácter personal sometidos a tratamiento que, salvo en las circunstancias recogidas en el citado artículo 17.3 b) y e), no implicará automáticamente su borrado físico.

Art. 15 RGPD (derecho de acceso)

 

Art. 17 RGPD (derecho de supresión)

Estimación del derecho de acceso

 

 

#08 Múltiples solicitudes del derecho de acceso sin atención por parte del responsable

PROCEDIMIENTO

TD-00205-2021 TD-00198-2021 TD-00198-2021 TD-00206-2021 TD-00164-2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

Ha de señalarse cómo en el último mes (solamente desde el 31 de agosto de 2021) la clínica DENTOESTETIC ha sido objeto de 5 resoluciones por los mismos motivos por parte de la AEPD, sin que en ningún caso se haya planteado la posibilidad de realizar alguna investigación o inicio de procedimiento sancionador por parte de la AEPD. En todas ellas, trascurrido el plazo establecido en las normas antes señaladas, la solicitud no obtiene la respuesta legalmente exigible. La entidad reclamada no ha atendido la solicitud de la parte reclamante ni los requerimientos que le han sido remitidos por la Agencia.

Art. 15 RGPD (derecho de acceso)

Estimación del derecho de acceso

De conformidad con el art. 72.1 letra k), se considera como infracción muy grave “el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679”. La clave está en considerar en qué momento se produce la no atención, si por la mera falta de contestación, o por no atender al posterior requerimiento de la AEPD. En este sentido, entiendo que debería ser el primero de los supuestos, por cuanto el incumplimiento de las resoluciones de la AEPD se contemplaría en la letra m del mismo artículo.

No sería descabellado que por parte de la AEPD se iniciara un procedimiento sancionador por esta misma causa

 

#09 Sanción por política de privacidad 15/99 y mala implementación de cookies

PROCEDIMIENTO

PS/00381/2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

Al entrar en la página principal y sin realizar ninguna acción sobre la misma y sin aceptar las cookies, se utilizaban cookies no necesarias.

No se identifican las finalidades para las que se utilizarán las cookies y si éstas son propias o también de terceros

En el banner de la primera capa no existe la opción de rechazar todas las cookies ni tampoco existe la opción de redirigir al usuario al panel de control para poder gestionar las cookies de forma granular.

En la información sobre cookies que se proporciona en la segunda capa de la web, no se proporciona la identificación de las cookies que se utilizan, si estás son propias o de terceros, ni del tiempo que estarán activas en el equipo terminal.

13 RGPD (información sobre el tratamiento)

Y

22.2 LSSI (Consentimiento de las cookies)

Apercibimiento

Y

1.000 euros (600 euros por pago voluntario)

 

 

#10 Sanción por no disponer de DPO siendo obligatorio

PROCEDIMIENTO

PS/00231/2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

Se presenta una reclamación por no haber atendido el derecho de supresión en el plazo legalmente establecido y que no tiene nombrado a un Delegado de Protección de Datos (en adelante, DPD) al que dirigir las reclamaciones. comprobó que en la lista de Delegados de Protección de Datos de la AEPD no consta registrado el de la reclamada, a pesar de que en la Política de Privacidad de su página web (www.aconcaguapoker.es) se hace referencia al Delegado de Protección de Datos. Esta Agencia ha constatado que la conducta de la reclamada no es acorde a la normativa de protección de datos, ya que la falta de designación de DPD, al dedicarse a los juegos online, como bien indica en su página web (www.aconcaguapoker.es), da lugar a la vulneración del artículo 37.1 b) del RGPD en relación con el artículo 34.1 n) de la LOPDGDD.

Arts. 37 RGPD y 34.1 n) LOPDGDD (Designación de DPO)

10.000 euros

 

 

#11 Multa por difundir un video de una cámara de seguridad

PROCEDIMIENTO

PS/00236/2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

Las imágenes obtenidas del sistema de video-vigilancia instalado en el establecimiento hostelero fueron utilizadas por el principal responsable para trasladar un hecho puntual acontecido en el interior del mismo, que nada tiene que ver con la finalidad a la que obedecen este tipo de dispositivos: seguridad del establecimiento. Las grabaciones (con los datos de afectado) son utilizadas para difundir un acontecimiento ocurrido en el interior del establecimiento, que nada tiene que ver con presuntas conductas delictivas, a través de un Grupo de Whatsapp, así como por otros medios de difusión de carácter público. Los hechos conocidos son constitutivos de una infracción, imputable al reclamado, por vulneración del contenido del art. 5.1 b) RGPD

Art. 5.1 b) RGPD (limitación de la finalidad)

3.000 euros

 

 

#12 Apercibimiento por reproducir una fotografía ya publicada en redes sociales sin consentimiento

PROCEDIMIENTO

PS/00299/2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

En la red social Facebook, se han publicado y difundido por el reclamado, los datos personales de la reclamante, entre los que se encuentran una imagen suya. El reclamado presenta alegaciones al acuerdo de inicio manifestando que la imagen publicada, aunque no fue facilitada por la reclamante, es de carácter público, pues es la que aparece en el perfil público de la reclamante en Facebook.

El reclamado ha publicado y difundido datos personales incluyendo una fotografía del reclamante, concluye que se ha llevado a cabo un tratamiento de datos sin legitimación, pues no se ha acreditado por el reclamado lo contrario, y por lo tanto se considera que ha incurrido en una infracción del artículo 6 del RGPD.

Art. 6 RGPD (base de legitimación del tratamiento)

Apercibimiento

Debe hacerse hincapié en la necesidad de recabar el consentimiento para la publicación de imágenes. Como indica la sentencia reseñada, que “el titular del perfil haya ‘subido’ una fotografía suya que sea accesible al público en general, no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular porque tal actuación no puede considerarse una consecuencia natural del carácter accesible de los datos e imágenes de un perfil público en una red social en Internet”.

 

#13 Cesión de datos ilícita de un trabajador a una tercera empresa

PROCEDIMIENTO

PS/00204/2021

ARTS. AFECTADOS

RESOLUCIÓN

ANOTACIONES

Los motivos en que basa la reclamación son que el reclamante al solicitar informe de vida laboral ha tenido conocimiento de que si bien su relación de trabajo fue inicialmente concertada con la empresa XXXXXX el día 04/08/2020, esta empresa cursó su baja en la seguridad social sin su conocimiento el día 07/08/2020 y fue dado de alta de nuevo el 10/08/2020 en la empresa YYYYYYY, sin que hubiese dado consentimiento alguno el reclamante a XXXXXX para la cesión de sus datos personales, a dicha empresa.

Art. 6.1 RGPD (Bases de legitimación)

5.000 euros

 

 

 

 

 



DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857