\ RSM20220114 - Resoluciones Relevantes
|
Comunicaciones comerciales,
redes sociales, página web, comunidades de vecinos, cámaras simuladas... |
||||||||
|
“El tratamiento de datos que puedan considerarse ficticios, si coinciden con los de una persona real, conlleva un tratamiento de datos, aun cuando el Responsable lo desconociera...”
(ABL) |
||||||||
|
RESOLUCIONES |
||||||||
|
- Minimización de Datos –
Procedimiento Administrativo - |
||||||||
|
#01 |
50.000
euros por comunicar datos de salud sin ser necesarios |
|||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
La entidad reclamada fue
requerida por la Entidad Pública Empresarial de Vivienda-Donostiako
Etxegintza, para que les facilitase información relativa a las denuncias
interpuestas por el reclamante el 14 de julio y 9 de septiembre de 2020 por
falta de adscripción de medios humanos y materiales. La entidad reclamada dio
respuesta a tal requerimiento aportando información personal (correo
electrónico personal del reclamante, así como fechas de bajas médicas, las
causas de estas, y permisos). El reclamante manifiesta que revelaron sus
datos de salud a otra empresa, así como su dirección de correo personal, y
todo ello sin su consentimiento. Aunque se reconoce legitimación
para remitir los datos necesarios para defenderse de un procedimiento
sancionador o de las penalidades que se le pudieran imponer derivadas del
incumplimiento de un contrato administrativo, los datos cedidos son excesivos
en relación con la finalidad, pues no se ha justificado la necesidad de
explicitar todas las vacaciones, permisos y, especialmente por ser datos de
salud, las bajas con sus causas para procurar su defensa. Todo ello redunda
en una utilización excesiva de datos personales por parte de la entidad
reclamada, ya que pese a que la normativa de protección de datos exige que el
tratamiento de los datos personales sea adecuado, pertinente y limitado a lo
estrictamente necesario en relación con los fines para los que son tratados,
como consecuencia de la denuncia presentada por el reclamante contra la
entidad reclamada ante la Entidad Pública Empresarial de Vivienda-Donostiako
Etxegintza por falta de adscripción de medios humanos y materiales, la
entidad reclamada ha vulnerado el principio de minimización de datos, al
facilitar a dicha entidad pública empresarial para su defensa, datos de salud
y el correo electrónico personal del reclamante, |
Art 5.1 c RGPD (Minimización de datos) |
50.000 euros |
||||||
|
Anotaciones:
Aunque ciertamente el considerando 52 del RGPD in fine establece respecto
de esa excepción que “debe autorizarse asimismo a título excepcional el
tratamiento de dichos datos personales cuando sea necesario para la
formulación, el ejercicio o la defensa de reclamaciones, ya sea por un
procedimiento judicial o un procedimiento administrativo o extrajudicial”;
sin embargo, ha de tenerse en cuenta que el uso de datos de salud, aún cuando
se cuente con esta excepción, no queda amparado si violenta el artículo 5.1.c)
del RGPD y los datos cedidos son excesivos en relación con la finalidad |
||||||||
|
|
||||||||
|
- Oposición – Comunicaciones
Comerciales - |
||||||||
|
Sanción
por seguir enviado comunicaciones comerciales a una empresa, pese a su
solicitud de oposición |
||||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
En el presente caso, la parte
reclamante indica que, tras solicitar a la entidad reclamada que no volviesen
a enviar correos electrónicos publicitarios, dos meses después volvió a
recibir otro correo electrónico publicitario de la misma entidad. Por su parte,
la parte reclamada indica en sus escritos, que: “(…) entendemos que no
procede un ejercicio de derechos sobre los datos personales, puesto que en
ningún momento se trataron datos sobre una persona física identificada o
identificable Todos los datos asociados a la cuenta info@xca.es, donde
se enviaron las comunicaciones, son datos de una entidad jurídica (…). No
obstante, en este caso se debe tener en cuenta la regulación en materia de
comunicaciones comerciales electrónicas recogida en la LSSI, donde el envío
de correos electrónicos publicitarios sin legitimación para ello es
sancionable tanto si el destinatario es una persona física cuanto si es una
persona jurídica. |
Art. 21 LSSI (Envío de comunicaciones
comerciales) |
2.000 euros (1.200 euros por pago
voluntario y reconocimiento de responsabilidad) |
||||||
|
|
||||||||
|
- Base de legitimación – Entidades
Bancarias - |
||||||||
|
#03 |
60.000
euros a BBVA por usar un número de teléfono real para una herramienta de
pruebas |
|||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
En el
presente procedimiento el reclamante alega estar recibiendo en el número de
teléfono móvil de su titularidad, SMS constantes del BBVA, sobre impagos,
citas, etcétera, motivo por el cual solicitó la supresión de dicho número de
móvil de la base de datos de la entidad reclamada. En respuesta a dicha
solicitud del reclamante, el BBVA respondió que no podría proceder a la
supresión de dicho número pues no le constaba ningún cliente en su base de
datos, con el número de móvil que mencionaba en su solicitud. Con
posterioridad, se comprueba que los mensajes que ha recibido el reclamante
son notificaciones ficticias de convocatorias o reuniones en oficinas de la
entidad reclamada que el BBVA envió al número de teléfono creyendo, de manera
equivocada, que dicho número no existía ni estaba operativo y por tanto nadie
iba a recibir dichos avisos ficticios. Debemos aclarar que no se trata de
mensajes publicitarios sino de emplazamientos ficticios para realizar
gestiones en oficinas de la entidad reclamada y que se enviaron por error en
el entorno de pruebas de la herramienta. |
Art. 6 RGPD (Base de legitimación) |
100.000 euros (60.000 por pago
voluntario y reconocimiento de responsabilidad) |
||||||
|
Anotaciones: De
esta resolución se puede entender que, el tratamiento de datos que puedan
considerarse ficticios, si coinciden con los de una persona real, conlleva un
tratamiento de datos, aun cuando el Responsable lo desconociera. Por otro
lado, llaman la atención los agravantes aplicados por la AEPD: - Acción negligente sobre datos
significativos que permiten la identificación de una persona (artículo 83.2
b). - Se encuentran afectados
identificadores personales básicos (nombre, un número de identificación, el
identificador de línea) (artículo 83.2 g). - Apartado k), en relación con el
artículo 76.2 de la Ley Orgánica 3/2018, en el que se encuadra como agravante
el carácter continuado de la infracción atribuida a la reclamada. - La evidente vinculación entre la
actividad empresarial de la reclamada y el tratamiento de datos personales de
clientes o de terceros (artículo 83.2 K, del RGPD en relación con el artículo
76.2 b, de la LOPDGDD). |
||||||||
|
|
||||||||
|
- Base de Legitimación – Internet - |
||||||||
|
Denuncia
una compra realizada por Ebay y que llega al usuario por Amazon |
||||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
El
reclamante compró un producto a través de eBay a la tienda MCB-SHOP,
realizando el pago vía Paypal. Cuando recibió el pedido en su casa le llegó
desde Amazon, motivo por el cual entiende que la vendedora utilizó los datos
personales del reclamado para realizar la compra del producto que él había
formalizado con ella en Amazon. Se considera que, los hechos denunciados, es
decir, utilizar los datos personales del reclamado para realizar la compra de
un producto en Amazon, sin contar con el consentimiento del reclamante para
el tratamiento de sus datos personales, ni ninguna otra causa de legitimación
del tratamiento |
Art. 6 RGPD (Licitud del tratamiento) |
2.000 euros |
||||||
|
Anotaciones: Se
considera que procede graduar la sanción a imponer de acuerdo con los
siguientes criterios que establece el artículo 83.2 del RGPD, considerando
como agravante la acción intencionada del reclamado de utilizar los datos del
reclamante para realizar la compra con Amazon (artículo 83.2 b) |
||||||||
|
|
||||||||
|
- Videovigilancia – Comunidades de
vecinos - |
||||||||
|
Videovigilancia
en una vivienda familiar |
||||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
Los
hechos traen causa, al margen de otras implicaciones en su caso penales, de
la instalación de un sistema de cámaras de video-vigilancia en vivienda
familiar de la que dispone la reclamante transitoriamente el usufructo, que
pudiera afectar a derechos de la reclamante, existiendo indicios acreditados
de una irregular orientación de la misma hacia zona de tránsito público. En
las pruebas documentales aportadas se observa la presencia de dos cámaras,
una de tipo domo que le permite un control de toda la acera pública situada
enfrente de la vivienda. La instalación de cámaras de videovigilancia en la
calle corresponde única y exclusivamente a las Fuerzas y Cuerpos de Seguridad
del Estado en el cumplimiento de funciones de seguridad. |
Art. 5.1.c RGPD (Minimización de
datos) |
2.000 euros Y Regularización del sistema de
videovigilancia |
||||||
|
|
||||||||
|
- Consentimiento e Información –
Redes Sociales - |
||||||||
|
#06 |
Sanción
por no disponer de un consentimiento válido para la cesión de imágenes de los
asociados |
|||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
El Club
Deportivo Ritmo de Andalucía dispone de un documento de inscripción en el que
se impone un consentimiento general para la cesión de imágenes de los
asociados, junto a otros tratamientos de datos, señalando asimismo que se
exponen datos de menores en redes sociales. En el formulario de inscripción
de deportistas en el club aportado en la reclamación, la única información
que se proporciona sobre las finalidades del tratamiento de los datos
personales obtenidos de los deportistas es donde pueden visualizar dichos
contenidos. Por lo tanto, se produce una doble vulneración: · falta de información que se
proporciona a los interesados sobre el tratamiento de sus datos personales. · inexistencia de un mecanismo que
posibilite dar el consentimiento libre y voluntario para cada uno de fines a
los que se dedicará el tratamiento de los datos |
Art. 13 RGPD (Información al
interesado) Y Art. 7 RGPD (Condiciones para el
consentimiento) |
2.000 euros y 2.000 euros |
||||||
|
Anotaciones: el
tratamiento de datos personales requiere la existencia de una base legal que
lo legitime, como es, en este caso, la relación contractual existente entre
la deportista y sus padres con el club deportivo a través de la ficha de
inscripción en el club. Pero si, además, la entidad desea realizar un
tratamiento de los datos personales, en este caso, las imágenes grabadas de
los deportistas para otros fines ajenos, como es, su publicación en redes
sociales deberá recabar su consentimiento prestado válidamente y de forma
expresa para cada uno de esos fines diferentes. No es válido, por tanto,
marcar obligatoriamente la casilla de aceptación en el formulario de
inscripción sin dar la opción al usuario a dar el consentimiento libre e
individualizado para cada una de las finalidades ajenas a la principal, esto
es, ajenas a la inscripción en el club deportivo y si es el caso la
inscripción en la Federación correspondiente. |
||||||||
|
|
||||||||
|
- Información y consentimientos –
Páginas web - |
||||||||
|
Sanción
por no tener adecuada la política de privacidad y utilizar formularios sin consentimientos
diferenciado |
||||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
El motivo en que basa la
reclamación es que la entidad reclamada, ha creado grupos de WhatsApp y de
Instagram del Master, donde se visualizan los datos de los participantes. Se
ha accedido a la política de privacidad de la entidad reclamada a través del enlace
ubicado en el sitio web donde se ha constatado que la entidad reclamada no
tiene su política de privacidad actualizada ya que hace alusión a la LOPD
15/1999. Como consecuencia de ello, se ha constatado que siguiendo el enlace,
y accediendo al formulario para la inscripción en cursos de formación de la
entidad reclamada, no existe casilla donde otorgar o no consentimiento
expreso para el tratamiento de datos de carácter personal, ni se proporciona
la información exigida en materia de protección de datos. Igualmente, se ha
constatado que en la página web citada, el consentimiento para el tratamiento
de los datos, no se recoge de forma diferenciada, al no existir casilla de
aceptación al pie del formulario |
Art. 13 RGPD (información al interesado) y Art. 7 RGPD (Condiciones para el
consentimiento) |
2.000 euros (1.200 euros por pago
voluntario y reconocimiento de culpa) y 2.000 euros (1.200 euros por pago
voluntario y reconocimiento de culpa) |
||||||
|
|
||||||||
|
- Videovigilancia – Cámaras
simuladas - |
||||||||
|
Archivo
de actuaciones por la instalación de cámaras no operativas con fines
disuasorias |
||||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
Los hechos se limitan a la
presencia de un sistema de cámaras de videovigilancia que según manifestación
del reclamante puede estar mal instalado y sin señalizar, afectando a
derechos de terceros sin causa justificada. Recuerda la Agencia que no
está prohibida la instalación de dispositivos de carácter simulado, con fines
de carácter disuasorio, si bien es recomendable que los mismos estén orientados
hacia la zona exclusiva que se pretende proteger (vgr. puertas o escaparates
del local, ventanas de acceso, etc), evitando en la medida de lo posible
intimidar con los mismos a terceros ajenos que pueden creer que están siendo
grabados en sus actividades cotidianas, con las consiguientes consecuencias
al respecto. Las mismas, al no estar operativas no necesitan contar con
cartel informativo, indicando el responsable del tratamiento o la finalidad
del tratamiento, si bien en la línea expuesta deben estar orientadas hacia su
propiedad particular, no estando prohibido la colocación de un cartel
(s) informativo que dote de mayor verosimilitud al sistema instalado. |
Art. 13 RGPD (Información al
interesado) |
Archivo de actuaciones |
||||||
|
|
||||||||
|
- Videovigilancia – Comunidades de
vecinos - |
||||||||
|
1.500
euros por disponer de cámaras que captaban la zona de entrada del vecino |
||||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
El motivo de la reclamación es
la presencia de cámaras de videovigilancia hacia espacio público sin causa
justificada, adjunta como prueba documental fotografías que acreditan la
presencia de las mismas y la presunta orientación hacia camino rural
adyacente. Se considera que la parte reclamada dispone de un sistema de
videovigilancia mal orientado hacia camino público adyacente. La cámara
numerada como 1 capta de manera excesiva espacio ajeno a su titularidad
afectando a la zona de entrada del vecino próximo a la misma. |
Art. 5.1.c RGPD (Minimización de
datos) |
1.500 euros (900 euros por pago
voluntario y reconocimiento de culpa) |
||||||
|
|
||||||||
|
- Recogida de datos – Locutorios - |
||||||||
|
#10 |
Multa a
locutorio que realizaba currículums sin informar del tratamiento de datos a
los interesados |
|||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
En el presente caso, la Guardia Urbana
informa que, personados en el establecimiento (locutorio), comprueban que la
persona reclamada está recopilando datos de las personas interesadas,
haciéndoles un currículum y recogiendo fotocopias de su documentación
personal a cambio de un euro para luego, según la reclamada, dárselo a una
empresa de trabajo temporal. No obstante, los agentes, puestos en contacto
con la empresa de trabajo temporal, son informados de que no tienen
conocimiento de tales currículums ni conocen a la reclamante. Ante esta
situación, se requiere por parte de la AEPD información a la reclamada,
manifestando que en el momento de la inspección en el establecimiento ella
estaba como mera cliente y no tenía nada que ver con el dueño |
Art. 13 RGPD (información al
interesado) |
2.000 euros |
||||||
|
Anotaciones: Se
aplican por la AEPD los siguientes criterios agravantes: - La forma en que la autoridad de
control tuvo conocimiento de la infracción, ya que esta Agencia tuvo
conocimiento a través de la Guardia Urbana, que se personó en el lugar de los
hechos tras una denuncia previa y después de la realización de varias pesquisas
para aclarar los mismos, realizados, ante la persona reclamada y ante la
empresa que supuestamente recogía los currículums, (apartado h). - La falta de colaboración o
impedimento puesto de manifiesto por la persona reclamada, en el
esclarecimiento de los hechos, pues en las alegaciones que presentó ante esta
Agencia aseguraba que era una siempre cliente del establecimiento y que no
tenía nada que ver con la recogida de datos personales de los usuarios.
(apartado k). |
||||||||
|
|
||||||||
|
- Política de privacidad y cookies –
Páginas Web - |
||||||||
|
#11 |
Sanción
por inexistencia de información del tratamiento política de privacidad y de
cookies |
|||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
Según se indica en la reclamación, la
web: https://www.arreglalotu.es no cumple con los textos legales de obligado
cumplimiento tales como "Política de cookies", "Aviso
legal" o, "Política de privacidad" tal como dispone el RGPD. - Sobre el tratamiento de los datos
personales y la “Política de Privacidad” de la web: A través del enlace
existe en la parte superior e inferior de la página, la web reclamada
redirige al usuario a una nueva página donde se pueden introducir datos
personales como el correo electrónico. También existe la posibilidad de
introducir datos personales (correo electrónico) a través de otro enlace
existente en la parte inferior de la página. Pero no existe ningún banner o
enlace que redirija al usuario a la “Política de Privacidad” de la página
web. - Infracción en la Política de
Cookies: Las deficiencias observadas en la página web respecto de la
política de cookies, suponen por parte de la entidad reclamada la comisión de
una infracción del artículo 22.2 de la LSSI, respecto de la inexistencia de
política de cookies en la página web en cuestión y la utilización de cookies
no necesarias sin el consentimiento preceptivo. |
Art. 13 RGPD (información al
interesado) Y Art. 22.2 LSSI (consentimiento de
cookies) |
2.000 euros Y 2.000 euros |
||||||
|
|
||||||||
|
- Difusión – Redes Sociales - |
||||||||
|
#12 |
Multa a
un club por publicar en página web y redes sociales sentencia con datos
personales del afectado |
|||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
El afectado reclama contra el Club por
figurar expuesta en abierto en formato pdf, en su página web y en su Facebook
una sentencia que contiene sus datos personales, manifestando además, que
había sido recurrida. La sentencia resuelve a instancia del Club el recurso
sobre la sanción de suspensión de la Condición de tres años con que había
sido impuesta por el Club. El reclamante fue durante un periodo ***PUESTO.1
del Club reclamado, y la sanción se origina porque la nueva (...) surgida de
las elecciones detecta una serie de irregularidades que acaban en la sanción
impuesta al reclamado. La sentencia repasa las actuaciones del reclamante en
distintos asuntos relacionados con la gestión del Club, su repercusión con el
Club, y si aparece justificada la sanción. Aduce en el traslado de la reclamación
que hubo en su día, como base legitimadora, el artículo 6.1.f) del RGPD al
considerar que debe prevalecer su derecho de información y tiene interés
legítimo en comunicar al público en general los hechos, añadiendo que días
antes varios medios de comunicación escrita se habían hecho eco de la noticia
identificando al reclamante con los hechos. Destaca la AEPD que la relevancia del
cargo y responsabilidad del reclamante no es de carácter público, pues se
trata de una asociación privada, de hecho la noticia es ofrecida en diarios
locales, ni tampoco es un asunto penal, sino civil que atañe a los socios del
Club, debiendo cuestionar si dicha finalidad de informar puede ser factible
sin exponer datos personales contenidos en una sentencia en la que se ha sido
parte reclamada y al mismo tiempo instructor del disciplinario. |
Art. 6.1 RGPD (Licitud del
tratamiento) |
6.000 euros |
||||||
|
Anotaciones: No
se trata de expresar información o comunicar unos hechos que no se discuten
sean reales, sino un documento, la sentencia integra en abierto, con todos
los detalles, no aspectos o comentarios de la misma, que se exponen fuera del
círculo de los socios del Club, a los que les son aplicables los Estatutos, y
en formato pdf que supone más versatilidad en el envío, descargas y reenvío.
Tampoco se discute que puede tener importancia y que son los socios los que
han de estar informado y podrían haber tenido conocimiento, si bien se podía
y se debía haber limitado el ámbito de exposición, conocimiento, solo a los
asociados, no existiendo necesidad de divulgación universal de la misma, en
el citado formato. Además, que las actuaciones judiciales sean públicas, no justifica
que esos datos fueran revelados en un ámbito distinto al proceso judicial, y
que se expongan además de una forma completa fuera de dicho ámbito. |
||||||||
|
|
||||||||
|
- Política de privacidad y cookies –
Páginas Web - |
||||||||
|
#13 |
No
adecuar correctamente las cookies de la página web e instalar cookies no
necesarias sin consentimiento |
|||||||
|
PROCEDIMIENTO |
Arts. afectados |
Resolución |
||||||
|
Se presenta reclamación por parte de
la OCU denunciando de manera genérica y amplía el incumplimiento de la
normativa de protección de datos por parte de MyHeritage LTD, se iniciaron
actuaciones previas de investigación consistente en solicitar información a
la parte reclamada ubicada en Israel. A no tener datos de ningún reclamante,
la investigación realizada es genérica y no se ha podido incidir en
cuestiones más concretas. La información recogida en la política de
privacidad, que ha sido actualizada y ampliada, no responde a todas las
exigencias recogidas en el artículo 13 del RGPD. Se constata que no se
informa de la posibilidad de ejercer el derecho de portabilidad y el derecho
de limitación del tratamiento. Asimismo, no se indica el derecho de los interesados
de presentar una reclamación ante la autoridad de control. Deficiencias en la utilización e
información de cookies: Esta Agencia ha
podido comprobar que, al entrar en la página inicial de la web, (primera
capa), sin realizar ninguna acción sobre la misma y sin rechazar las cookies,
la web utiliza cookies no necesarias, tanto propias como de terceros. Además,
en la página inicial el banner no informa bien; en la política de cookies no
se identifican las cookies que utilizan. |
Art. 13 RGPD (Información al
interesado) Y Art. 22.2 LSSI (Consentimiento de
cookies) |
Apercibimiento y 20.000 euros (16.000 por pago
voluntario) |
||||||