\ RSM20211007 - Resoluciones Relevantes
|
Derecho de acceso, Datos relativos a
una condena, Destrucción, Comunicación de datos, Protección del menor,
Derecho de supresión, GPS, No disponer de DPD, Política de Privacidad
15/1999... |
|||||||
|
«De conformidad con el art. 72.1 letra k), se considera como infracción
muy grave “el impedimento o la obstaculización o la no atención
reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22
del Reglamento (UE) 2016/679”. La clave está en considerar en qué
momento se produce la no atención, si por la mera falta de contestación,
o por no atender al posterior requerimiento de la AEPD. En este sentido,
entiendo que debería ser el primero de los supuestos, por cuanto el
incumplimiento de las resoluciones de la AEPD se contemplaría en la letra m del
mismo artículo. ABL |
|||||||
|
RESOLUCIONES |
|||||||
|
#01 La AEPD estima el derecho de acceso al
titular de la alarma a todos los logs que se hayan podido producir |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
La parte reclamante ejerció su
derecho de acceso y, la respuesta de la compañía fue proveer un listado de logs
(registros), asociados a dicho sistema de alarma, respuesta que el reclamante
considera incompleta por cuanto se han filtrado/reducido por a los logs que
la compañía considera datos personales, sin indicar si esos otros logs no
existen o no se da acceso por considerar que no son registros de datos
personales. Dado que el reclamado no atiende la totalidad de lo solicitado
puntualizando el motivo, la AEPD considera que el derecho solo se atiende
parcialmente, estimando la reclamación |
Art. 15
RGPD (derecho de acceso) |
|
|||||
|
|
|||||||
|
#02 Protección de datos vs Libertad de expresión: publicación
en una web datos relativos a procesos judiciales y una condena penal |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
La parte reclamada reporta un
suceso que convierte en polémico o criticable a título personal. La
relevancia pública, por tanto, no existe pues únicamente responde al interés
y motivación personal de la parte reclamada, como responsable del
tratamiento, y a los efectos de promocionar sus servicios profesionales en
internet. En este caso, la finalidad no es la divulgación al público de información,
opiniones o ideas. Destaca por otra parte la AEPD
que no se trata de un personaje de relevancia pública, en el sentido de que
tal relevancia como empleado público sea suficiente para entender que supone,
ex lege, una desposesión de su derecho fundamental a la protección de sus
datos personales, ni los hechos son “de relevancia pública”, en el sentido de
que se revelen como “necesarios” para la exposición de la ideas u opiniones
de interés público. Además, se hace referencia a
una publicación del año 2017 (sobre la que se ha ejercido el derecho de
supresión); publicación que se encuentra totalmente desligada en su momento
de un acontecimiento actual derivado de los hechos ilícitos o de la condena
de la parte reclamante. |
Art. 17
RGPD (derecho de supresión) |
Entiende la AEPD que se estaría infringiendo el art. 5.1.c)
del RGPD, resultando ser un dato totalmente impertinente y excesivo, actuando
la reclamada en claro abuso de derecho, ya que, en el ejercicio de su derecho
subjetivo, aparentemente legítimo, está excediendo los límites del mismo y
generando un perjuicio para un tercero y ningún beneficio para su titular. |
|||||
|
|
|||||||
|
#03 Antiguos archivos de contabilidad con facturas y datos personales
al descubierto en un depósito de residuos |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
Por la patrulla de Seguridad
Ciudadana, se observa un depósito de residuos en la zona de servidumbre del
río, en el que se encuentran diversos residuos entre ellos archivos de
contabilidad, conformado por albaranes de cobro, facturas de proveedores…
correspondientes a los años 93 a 96 donde se pueden ver de forma clara datos
personales correspondientes a nombre y apellidos, DNI y domicilio de 341
clientes. Pese a haber transcurrido un
considerable espacio de tiempo desde la emisión de los documentos encontrados
en la vía pública, de acuerdo con la fecha de las facturas, la reclamada
sigue siendo la responsable de los mismos y mantiene la obligación de
custodiarlos. Considerando las fechas de los documentos hallados y el cese
del negocio, contando con los efectos de conservación documental por el
periodo de posible exigencia de responsabilidad, sería posible proceder a su
destrucción, en cuyo caso deberá documentar lo siguiente: documentos que se
destruyen, que tipo de datos personales contienen y de qué periodo temporal. |
Art. 32
RGPD (medidas de seguridad) |
Probablemente, la RESOLUCIÓN de apercibimiento se deba a dos
causas: - De una parte, la antigüedad de las facturas. - El cese del negocio. Lo que sí es notorio es que se haya puesto una sanción al
titular de la empresa de manera particular: las facturas y toda la
documentación estaba a nombre de una empresa que, muy probablemente, a día de
hoy, no exista. Sin embargo, en lugar de archivar el procedimiento porque el
Responsable (que es la empresa) no existe, han optado por sancionar a la
persona física que era la titular de dicha empresa. |
|||||
|
|
|||||||
|
#04 Un centro médico privado es sancionado por comunicar datos
médicos que habían obtenido previamente a la Mutua |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
“El 9 de julio del 2020 me
realizo una resonancia magnética (RM) de forma privada e individual.” ”El día
9 de noviembre del 2020 me dirijo a mi Mutua laboral por accidente laboral
encontrando mi informe privado en tal despacho y vulnerando mi privacidad
produciendo el efecto de denegar la baja laboral por haber tenido acceso al
informe” La mención a datos de salud previos procedentes de la asistencia en
régimen privado del reclamante en la prueba que se practica después a
instancia de la Mutua, colaboradora con la Seguridad Social en la gestión de
las contingencias de accidente de trabajo y la enfermedad profesional del
personal a su servicio, prestada en régimen público de asistencia |
5.1 f)
RGPD (integridad
y confiden-cialidad) |
(18.000
euros por pago voluntario) |
|
||||
|
|
|||||||
|
#05 Notificación de Hackeo a la base de datos de una entidad
dedicada a crear dispositivos inteligentes para menores |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
Un hacker remite un correo
electrónico a la entidad SOYMOMO S.L. explicando como accedió a su base de
datos. La entidad detecta que logró descifrar la clave de cliente de los
dispositivos móviles y la URL del servidor y con ello consiguió descargar
información de la base de datos. Se estima que se hayan visto afectados
alrededor de 10.400 menores, y 14.200 usuarios de aplicación parental. Entre
los datos afectados se incluyen nombres de usuarios, número de teléfono,
contactos, descargas, localización GPS, fechas de registro, cumpleaños y de
última conexión del dispositivo, fotografías y capturas realizadas con los
dispositivos; y en algunos casos número de pasos del menor en el smartwatch,
altura y peso. La entidad manifiesta que se
tiene conocimiento de la identidad e intención del actuar del hacker. Se hizo
un pago para la no divulgación de la información y la destrucción; y se firma
un acuerdo de confidencialidad con el hacker |
Art. 32
RGPD (Seguridad
del tratamiento) Art. 33
y 34 RGPD (Notificación
de la brecha a autoridad de control y a los interesados) |
El problema principal fue no haber utilizado una lista de
control de acceso (ACL) para la separación de privilegios dentro de la
configuración de los datos del servidor y permitió que el Hacker una vez
descifrados las claves de cliente ocultas en la aplicación de Padres, pudo
acceder y obtener los datos de muchos usuarios. |
|||||
|
|
|||||||
|
#06 LA AEPD ampara en el derecho de acceso a un padre para
acceder a los exámenes realizados por el hijo en el colegio |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
Concretamente solicita, el
acceso a la copia de los exámenes de las asignaturas de Inglés, Francés,
Cultura Clásica, Música, Geografía e Historia y Matemáticas, realizados por
su hija durante la primera evaluación. Así también, solicita copia de los
demás documentos e instrumentos de evaluación (exposiciones orales,
cuaderno...) que sirvan para evaluar el aprendizaje, incluidas las ANOTACIONES
del profesor. Y, solicita copia de las evaluaciones iniciales de dichas
asignaturas. Hay que añadir a modo informativo
que, no entrarían dentro del derecho de acceso las valoraciones subjetivas
que pueda hacer un profesional ni la copia de documentos. |
Art. 15
RGPD (derecho de acceso) |
La consejería afirmaba que el centro ha puesto explícitamente
a disposición de la reclamante los servicios de consulta y entrevista con los
profesores y tutores de su hija, en la carta a ella dirigida el 5 de febrero
de 2021 (registro de salida de 5 de febrero), incluyendo como obliga la normativa
educativa sectorial de Castilla y León, el acceso a cuantos documentos
exámenes y evaluaciones realice el centro para valorar el rendimiento
académico de la alumna objeto de la reclamación. |
|||||
|
|
|||||||
|
#07 El derecho de supresión no supone una eliminación
inmediata de los datos y no puede limitar el ejercicio de otros derechos |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
la entidad ha manifestado que,
como procedieron a la supresión de los datos, no es posible atender el
derecho de acceso, al no disponen de estos en el fichero. cuando se ejercitan
el derecho de acceso y supresión, procede atender ambos derechos, no cabe
aceptar que, con la realización de la supresión de los datos personales,
amparándose en la normativa, se pretenda dejar sin respuesta a otro derecho
ejercitado. La supresión debe llevarse a cabo mediante el bloqueo, por lo
tanto, la supresión de los datos personales al haber dejado de ser necesarios
para la finalidad que justificó su tratamiento, dicha supresión se ha de
realizar mediante la modalidad de bloqueo de los datos de carácter personal
sometidos a tratamiento que, salvo en las circunstancias recogidas en el citado
artículo 17.3 b) y e), no implicará automáticamente su borrado físico. |
Art. 15
RGPD (derecho de acceso)
Art. 17
RGPD (derecho de supresión) |
|
|||||
|
|
|||||||
|
#08 Múltiples solicitudes del derecho de acceso sin atención
por parte del responsable |
|||||||
|
PROCEDIMIENTO |
TD-00205-2021 TD-00198-2021 TD-00198-2021 TD-00206-2021 TD-00164-2021 |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
|||
|
Ha de señalarse cómo en el
último mes (solamente desde el 31 de agosto de 2021) la clínica DENTOESTETIC
ha sido objeto de 5 resoluciones por los mismos motivos por parte de la AEPD,
sin que en ningún caso se haya planteado la posibilidad de realizar alguna
investigación o inicio de procedimiento sancionador por parte de la AEPD. En
todas ellas, trascurrido el plazo establecido en las normas antes señaladas,
la solicitud no obtiene la respuesta legalmente exigible. La entidad
reclamada no ha atendido la solicitud de la parte reclamante ni los
requerimientos que le han sido remitidos por la Agencia. |
Art. 15
RGPD (derecho de acceso) |
De conformidad con el art. 72.1 letra k), se considera como
infracción muy grave “el impedimento o la obstaculización o la no atención
reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22
del Reglamento (UE) 2016/679”. La clave está en considerar en qué momento se
produce la no atención, si por la mera falta de contestación, o por no
atender al posterior requerimiento de la AEPD. En este sentido, entiendo que
debería ser el primero de los supuestos, por cuanto el incumplimiento de las
resoluciones de la AEPD se contemplaría en la letra m del mismo artículo. No sería descabellado que por parte de la AEPD se iniciara un
procedimiento sancionador por esta misma causa |
|||||
|
|
|||||||
|
#09 Sanción por política de privacidad 15/99 y mala
implementación de cookies |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
Al entrar en la página
principal y sin realizar ninguna acción sobre la misma y sin aceptar las
cookies, se utilizaban cookies no necesarias. No se identifican las
finalidades para las que se utilizarán las cookies y si éstas son propias o
también de terceros En el banner de la primera capa
no existe la opción de rechazar todas las cookies ni tampoco existe la opción
de redirigir al usuario al panel de control para poder gestionar las cookies
de forma granular. En la información sobre cookies
que se proporciona en la segunda capa de la web, no se proporciona la
identificación de las cookies que se utilizan, si estás son propias o de
terceros, ni del tiempo que estarán activas en el equipo terminal. |
13 RGPD (información sobre el
tratamiento) Y 22.2 LSSI (Consentimiento de las
cookies) |
Apercibimiento 1.000 euros (600 euros por pago
voluntario) |
|
||||
|
|
|||||||
|
#10 Sanción por no disponer de DPO siendo obligatorio |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
Se presenta una reclamación por
no haber atendido el derecho de supresión en el plazo legalmente establecido
y que no tiene nombrado a un Delegado de Protección de Datos (en adelante,
DPD) al que dirigir las reclamaciones. comprobó que en la lista de Delegados
de Protección de Datos de la AEPD no consta registrado el de la reclamada, a
pesar de que en la Política de Privacidad de su página web
(www.aconcaguapoker.es) se hace referencia al Delegado de Protección de
Datos. Esta Agencia ha constatado que la conducta de la reclamada no es acorde
a la normativa de protección de datos, ya que la falta de designación de DPD,
al dedicarse a los juegos online, como bien indica en su página web
(www.aconcaguapoker.es), da lugar a la vulneración del artículo 37.1 b) del
RGPD en relación con el artículo 34.1 n) de la LOPDGDD. |
Arts. 37 RGPD y 34.1 n) LOPDGDD
(Designación de DPO) |
|
|||||
|
|
|||||||
|
#11 Multa por difundir un video de una cámara de seguridad |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
Las imágenes obtenidas del
sistema de video-vigilancia instalado en el establecimiento hostelero fueron
utilizadas por el principal responsable para trasladar un hecho puntual
acontecido en el interior del mismo, que nada tiene que ver con la finalidad
a la que obedecen este tipo de dispositivos: seguridad del establecimiento.
Las grabaciones (con los datos de afectado) son utilizadas para difundir un
acontecimiento ocurrido en el interior del establecimiento, que nada tiene
que ver con presuntas conductas delictivas, a través de un Grupo de Whatsapp,
así como por otros medios de difusión de carácter público. Los hechos
conocidos son constitutivos de una infracción, imputable al reclamado, por
vulneración del contenido del art. 5.1 b) RGPD |
3.000 euros |
|
|||||
|
|
|||||||
|
#12 Apercibimiento por reproducir una fotografía ya publicada
en redes sociales sin consentimiento |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
En la red social Facebook, se
han publicado y difundido por el reclamado, los datos personales de la
reclamante, entre los que se encuentran una imagen suya. El reclamado
presenta alegaciones al acuerdo de inicio manifestando que la imagen
publicada, aunque no fue facilitada por la reclamante, es de carácter
público, pues es la que aparece en el perfil público de la reclamante en Facebook. El reclamado ha publicado y
difundido datos personales incluyendo una fotografía del reclamante, concluye
que se ha llevado a cabo un tratamiento de datos sin legitimación, pues no se
ha acreditado por el reclamado lo contrario, y por lo tanto se considera que
ha incurrido en una infracción del artículo 6 del RGPD. |
Apercibimiento |
Debe hacerse hincapié en la necesidad de recabar el
consentimiento para la publicación de imágenes. Como indica la sentencia
reseñada, que “el titular del perfil haya ‘subido’ una fotografía suya que
sea accesible al público en general, no autoriza a un tercero a reproducirla
en un medio de comunicación sin el consentimiento del titular porque tal
actuación no puede considerarse una consecuencia natural del carácter
accesible de los datos e imágenes de un perfil público en una red social en
Internet”. |
|||||
|
|
|||||||
|
#13 Cesión de datos ilícita de un trabajador a una tercera
empresa |
|||||||
|
PROCEDIMIENTO |
ARTS. AFECTADOS |
RESOLUCIÓN |
ANOTACIONES |
||||
|
Los motivos en que basa la
reclamación son que el reclamante al solicitar informe de vida laboral ha
tenido conocimiento de que si bien su relación de trabajo fue inicialmente
concertada con la empresa XXXXXX el día 04/08/2020, esta empresa cursó su
baja en la seguridad social sin su conocimiento el día 07/08/2020 y fue dado
de alta de nuevo el 10/08/2020 en la empresa YYYYYYY, sin que hubiese dado
consentimiento alguno el reclamante a XXXXXX para la cesión de sus datos
personales, a dicha empresa. |
Art. 6.1 RGPD (Bases de legitimación) |
5.000 euros |
|
||||
|
|
|
|
|
||||