\ RSM20211112 - Resoluciones Relevantes
|
Videovigilancia,
Administración Pública, Publicación de imágenes, Brecha de seguridad, Envíos
de publicidad, Requerimientos de la AEPD... |
||||
|
RESOLUCIONES |
||||
|
- Videovigilancia - #01 Sanción por grabar con cámaras de seguridad
un control policial y publicarlo en redes |
||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
Anotaciones |
|
|
Un establecimiento tiene
instalado una cámara de videovigilancia en el exterior del mismo enfocando de
forma permanente hacia la vía pública con el que ha grabado un control
operativo de la policía local, alertando con ello de la existencia de un
control al compartirlo a través de las redes sociales. |
Art.
5.1 c) RGPD (Minimización de datos) |
2.000
euros |
|
|
|
|
||||
|
- Internet – Publicación de Imágenes - #02 10.000 € por colgar un video en la página web sin
consentimiento de los dos padres |
||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
Anotaciones |
|
|
Un club
de esquí ha publicado un vídeo en el que aparece la hija menor de la
reclamante en su sitio web. La afectada manifiesta que no ha dado su
consentimiento para ello y que se opone a dicho tratamiento, como así ha
trasladado al responsable sin recibir respuesta. Fue el padre el que
consintió dicha publicación, estando ambos divorciados. Asimismo, la política
de privacidad del club prevé que para inscribirse hay que aceptar tal
documento, y la aceptación de este implica que se consiente el tratamiento de
imágenes, sin posibilidad de rechazar dicho tratamiento. |
Art. 7.2 RGPD (Consentimiento libre) Y Art. 7 RGPD (Condiciones para el
consentimiento) |
5.000 euros Y 5.000 euros |
En este caso, uno de los artículos 7
se debería haber basado en el art. 8.1 RGPD “Si el niño es menor de 16
años, tal tratamiento únicamente se considerará lícito si el consentimiento
lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y
solo en la medida en que se dio o autorizó.” |
|
|
|
||||
|
- Videovigilancia – Administración Pública - #03 Apercibimiento por disponer solo de un
cartel de videovigilancia en blanco |
||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
Anotaciones |
|
|
Los hechos iniciales se
concretaron en la presencia de dispositivos de videovigilancia que pudieran
grabar las conversaciones (audio/video) en el interior de las dependencias
municipales, sin estar el sistema debidamente informado a tal efecto. Junto
con la reclamación aporta prueba documental que acredita la presencia de cartel,
si bien no está rellenado en sus aspectos esenciales. Los carteles instalados
denotan que los mismos están incompletos en cuanto a la información
requerida, lo que supone una afectación al art. 13 RGPD. Se constata también
la presencia de una webcam en el mostrador de la recepción con posibilidad de
audio (video) sin que se haya informado al respecto sobre la finalidad (es)
del mismo. Se recuerda que cualquier medida de control laboral debe ser
puesta en conocimiento de los representantes legales del conjunto de
empleados públicos del ente citado, debiendo ser conocedores de la finalidad
(es) de las imágenes que se obtengan con el mismo, ponderando en todo caso la
preservación de la intimidad de las conversaciones que pudieran tener lugar
en horario de trabajo sin más consideraciones adicionales.
|
Art. 5.1 c) RGPD (minimización de
datos) Y Art. 13
RGPD (Información sobre el tratamiento) |
Apercibimiento + Ordenar
que se proceda a: -
Colocar carteles adecuados -
Informar a los trabajadores - Reorientar
las cámaras y desactivar el audio |
|
|
|
|
||||
|
- Ejercicio de derechos – Comunicaciones comerciales - #04 70.000 euros a Vodafone por publicidad no deseada y
no dar de baja al solicitante |
||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
Anotaciones |
|
|
El reclamante recibió una
comunicación comercial por correo electrónico sin que previamente la hubiera
solicitado o expresamente autorizado, y sin existir una relación contractual
previa. Ejerció su derecho de oposición ante Vodafone, que contestó la
solicitud, pero a pesar de ello, ha continuado enviando comunicaciones
comerciales. Respecto a la infracción del
envío de comunicaciones comerciales Vodafone alega que la campaña
publicitaria no fue autorizada por la entidad. La entidad que ha llevado a
cabo dicha campaña (Cablanol) es una entidad subcontratada por Vesaleads, la
cual pertenece al Grupo Solivesa para la comercialización de servicios de
Vodafone en el segmento microempresas, la cual ha realizado, por su cuenta y
riesgo, dicha campaña utilizando el dominio de Vodafone contra las
instrucciones que constan en su contrato, convirtiéndose en la responsable de
dicho tratamiento. La AEPD recuerda que el responsable del tratamiento datos
no pierde esta consideración en ningún momento y continúa siendo responsable
último, y que para considerar que la distribuidora de los correos comerciales
sea responsable única del tratamiento deberá, en su propio nombre y sin que
consten que actúe por cuenta de otro establecer relaciones con los afectados.
Sin embargo, envió varios correos electrónicos publicitarios haciendo
referencia a determinadas ofertas de la operadora VODAFONE, actuando conforme
a las directrices encomendadas por la operadora, por mandato y promocionando
servicios de ésta. La denuncia realizada por VODAFONE indicando que Cablanol
ha incumplido el contrato actuado por su cuenta no entra dentro de las
competencias de la AEPD, y deberá resolverse vía judicial. Respecto a la infracción del
derecho de oposición Vodafone indica que ha
contestado en tiempo y forma al derecho de oposición, y que no han enviado
con posterioridad comunicaciones comerciales siendo esas comunicaciones
realizadas por la otra entidad. Sin embargo la AEPD entiende que, como ha
quedado constatado, Cablanol SL. envió varios correos electrónicos
publicitarios haciendo referencia a determinadas ofertas de la operadora
VODAFONE, por lo que, a todos los efectos, la operadora VODAFONE debe ser
considerada el responsable del tratamiento de los datos personales realizado
en su nombre por la entidad Cablanol SL. Por lo tanto, al haber seguido
recibiendo correos comerciales, VODAFONE ha incumplido su obligación en la
gestión del derecho de oposición del interesado |
Art. 21 RGPD (Derecho de oposición) Y Art.
21.2 LSSI (Envío de comunicaciones comerciales) |
50.000
euros (por no gestionar correctamente el derecho de oposición) Y 20.000
euros (envío de comunicaciones comerciales sin consentimiento) |
|
|
|
|
||||
|
- Página Web - #05 Sanción web en mantenimiento sin política de
privacidad y que permitía suscribirse |
||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
Anotaciones |
|
|
Respecto de la política de
privacidad Consultada la página web, ésta
carece de política de privacidad al encontrarse inactiva, facilitando un
correo de contacto para que antiguos clientes que tengan algún tipo de
problema o incidencia puedan contactar con la entidad. Sin embargo, se
observó que se podían obtener datos personales, a través de la opción <submit>,
introduciendo la dirección de correo electrónico para darse de alta. La
entidad entiende que el mero correo electrónico, cuando no lleva un nombre y
apellidos u otro dato asociados que permita identificar claramente al titular
no debe ser considerado dato personal. La AEPD, por el contrario expresa que
“la dirección de correo electrónico es considerada a todos los efectos
como un dato de carácter personal, pues se forma por un conjunto de signos o
palabras libremente elegidos por el interesado con la única limitación de que
dicha dirección no coincida con la de otra persona quedando, por tanto,
totalmente identificada del resto de las personas”. Respecto de la política de
cookies Al entrar en la web sin aceptar
cookies ni realizar ninguna acción sobre la web, se comprueba que se utilizan
cookies no necesarias. Existe un banner en la página principal con la
siguiente información: “Usamos cookies para mejorar la experiencia de
navegación, si continúas navegando, aceptas esto.” -- <>, pero no
consta ningún enlace que redirija a la “Política de Cookies”. Con
posterioridad al inicio de actuaciones, la página web ya no existía. Como
consecuencia, la AEPD recurre a la Sentencia Audiencia Nacional, Sala de lo
Contencioso-Administrativo, Sección Primera de 29/11/2013, número de recurso 455/2011,
la cual interpreta o liga un apercibimiento con el requerimiento de una
actuación para subsanar la infracción, de manera que si no existe tal
requerimiento, por haberse eliminado la página web, no sería apercibimiento,
sino archivo de actuaciones. |
Art. 13
RGPD (Información sobre el tratamiento) Y Art.
22.2 de la LSSI (Consentimiento de cookies) |
2.000
euros Y Archivo
de actuaciones por haber eliminado la web |
|
|
|
|
||||
|
- Entidad Bancaria – Perfilado usuarios - #06 Sanción de 3.000.000 € al CAIXABANK: tratar datos
sin el consentimiento adecuado |
||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
Anotaciones |
|
|
La AEPD estima que la filial de
CaixaBank ha cometido una infracción muy grave por los
procesos que emplea para recabar de sus clientes del servicio el
consentimiento para realizar perfiles con fines de tipo comercial y que
pueden terminar compartiendo todas y cada una de las filiales del conjunto.
El consentimiento que solicita a sus clientes del servicio CaixaBank para el
tratamiento de sus datos no es concreto para el empleo que se le pretende
dar, pues este es solicitado a fin de que todas y cada una de las filiales
del conjunto puedan compartirlos; sin que ese consentimiento esté
adecuadamente informado, al no precisar si la entidad efectuará consultas a
registros de solvencia o bien la Central de Información de Peligros del Banco
de España para terminar ofreciéndole productos comerciales. Por esta razón,
la AEPD estima que el consentimiento otorgado por los clientes del servicio
de manera directa no es válido y por ende, el tratamiento de dichos datos es
ilegal.
|
Art.
6.1 a) RGPD (Licitud del tratamiento en base al consentimiento)
|
Sanción
de 3.000.000 de euros
|
|
|
|
|
||||
|
- Procedimiento Sancionador - #07 Sanción por no haber contestado a un requerimiento
de información de la AEPD |
||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
Anotaciones |
|
|
En el
marco de las actuaciones de investigación, se remitió a la parte reclamada un
requerimiento de información, relativo a una reclamación presentada ante la
AEPD, para que en plazo presentase la información y documentación que en él
se señalaba. El requerimiento de fue notificado electrónicamente, con arreglo
a lo dispuesto en el artículo 43 de la LPACAP, y una copia del mismo fue
entregada fehacientemente por vía postal. La parte reclamada no ha respondido
al requerimiento de información efectuado por la Agencia en el plazo otorgado
para ello. Se
imputa a la parte reclamada la comisión de una infracción al no haber
procurado a la Agencia Española de Protección de Datos la información que se
le requirió. |
Art. 58.1 GPD (poderes de
investigación de las autoridades de control)
|
3.000 euros
|
La sanción se ampara concretamente en el apartado a)
del citado artículo que recoge la posibilidad de ordenar al responsable y al
encargado del tratamiento y, en su caso, al representante del responsable o
del encargado, que faciliten cualquier información que requiera para el
desempeño de sus funciones |
|
|
|
||||
|
- Administración Pública – DPD - #08 Apercibimiento por carecer de un Delegado de
Protección de Datos |
||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
Anotaciones |
|
|
Los
hechos denunciados se materializan en que el reclamado carece de DPD. La
persona que ejercía el cargo y funciones de DPD le fueron atribuidas de forma
temporal y desde hace más de un año no se han venido realizando estas
funciones produciéndose vulneración de derechos. Se nombró mediante
Resolución el 04/06/2018, atribuyendo temporalmente sus funciones, por plazo
máximo de un año prorrogable por otro, por disponer de los requisitos,
conocimientos y habilidades necesarias para el buen desempeño de dichas
funciones. No obstante, en 26/11/2019 la persona que ostentaba temporalmente
las funciones de DPD se jubiló, sin que se haya procedido al nombramiento de
uno nuevo.
|
Art. 37
RGPD-EU |
Apercibimiento |
|
|
|
|
||||
|
- Telecomunicaciones - #09 Múltiples sanciones a Vodafone por contratación de
servicios fraudulentos |
||||
|
PROCEDIMIENTO |
PS-00194-2021 | PS-00195-2021 | PS-00242-2021 | PS-00249-2021 |
Arts. afectados |
Resolución |
Anotaciones |
|
Se han
publicado múltiples resoluciones sancionadoras a Vodafone, todas ellos por
unos hechos similares, y que consiste en la contratación fraudulentas de
servicios o modificación de los mismos por personas distintas al interesado,
lo que conlleva un tratamiento de datos que carece de base de legitimación.
Cada supuesto se puede resumir en los siguientes hechos: -
Cambio de tarifa no reconocido por el reclamante -
Facturas pendientes de servicios con datos parciales equivalentes a los del
reclamante y no contratados por este -
Reclamación de deuda por servicios dados de alta en Vodafone y no reconocidos
por el reclamante -
Reclamación de deuda improcedente, figurando al haber dado de alta líneas de
teléfono sin su autorización |
Art. 6.1 RGPD (Licitud del tratamiento)
|
50.000 euros (40.000 por pago
voluntario)
50.000 euros (40.000 por pago
voluntario)
50.000 euros (40.000 por pago
voluntario)
80.000
euros (64.000 euros por pago voluntario) |
No es la primera vez que sancionan a Vodafone por
tales hechos, ya que en el mes de septiembre de 2021 salieron otras 5
resoluciones similares PS/00189/2021, PS/00190/2021, PS/00191/2021 , PS/00192/2021, PS/00193/2021 |
|