\ RSM20220812 - Resoluciones Relevantes
|
Desistimiento, publicidad, delegado de protección de datos, videovigilancia, recogida de información, páginas web, drones... |
|||
|
“(...)
la regulación de la Unión Postal Universal (UPU), conformada por el Convenio
UPU y el Reglamento del Convenio UPU (...) establecen la posibilidad de
sujetar las declaraciones de aduanas en el exterior del envío dentro de un
sobre transparente” |
|||
|
RESOLUCIONES 27/06/22 - 29/07/22 |
|||
|
- Licitud del tratamiento – Sector Telecomunicaciones |
|||
|
#01 |
15.000 € a Telefónica por llevar a cabo una contratación pese al desistimiento del usuario |
||
|
PROCEDIMIENTO |
|
||
|
La parte reclamante manifiesta que se ha celebrado un contrato a su nombre con la parte reclamada de manera fraudulenta y sin su consentimiento, hecho del que tiene conocimiento tras recibir facturas asociadas al mismo en su domicilio y cursarse el pago en su cuenta bancaria. Consta en los sistemas de la parte reclamada que el 13 de noviembre de 2020 solicitó la parte reclamante la portabilidad de la línea para contratar Fusión de dicha línea con línea móvil. Finalmente el reclamante desiste de la portabilidad solicitada, y confirma la anulación. No obstante, y debido a un error administrativo, el gestor anula el pedido de la línea fija, pero no desactiva la nueva línea móvil vinculada al mismo pedido. La parte reclamada reconoce que, a raíz del requerimiento de información de esta Agencia, tras analizar los registros en sistemas y la falta de uso de la línea sobre la que cursa la reclamación, descarta la posibilidad de suplantación, atribuyendo la incidencia a un error administrativo al no dar de baja la línea móvil generada para el contrato FUSIÓN una vez que la reclamante desistió de dicho contrato, reconociendo el propio operador que no disponía de base de legitimación para tratamiento alguno más allá de la baja contractual. |
|||
|
Arts. afectados: |
Art. 6.1 RGPD (Licitud del tratamiento) |
||
|
Resolución: |
15.000 € |
||
|
|
|
||
|
- Confidencialidad – Laboral - |
|||
|
#02 |
Sanción por comunicar al Comité de empresa información personal excesiva |
||
|
PROCEDIMIENTO |
|
||
|
Se
denuncia por la Unión Sindical Obrera que la empresa EFS comunica situaciones
laborales suyas al Comité de Empresa sin justificación alguna y con el ánimo
de perjudicarla. Junto a la reclamación aporta copia del escrito de remisión
por parte de EFS al Comité de Empresa, al que se adjunta copia de la carta
entregada a la RECLAMANTE relacionada con la solicitud de horas sindicales,
donde se refleja que no formuló adecuadamente la petición y el servicio se
vio afectado y en la que se le requiere que cuando formule las solicitudes de
crédito horario verifique si efectivamente lo solicitado se corresponde con
lo realmente necesitado. En la carta remitida al Comité de Empresa aparecen
el nombre, apellidos y nº de DNI de la RECLAMANTE, así como información relativa
a solicitud de créditos horarios y a turnos de trabajo no cumplidos. EFS
responde que la comunicación se ha realizado de conformidad con el art. 64
del Estatuto |
|||
|
Arts. afectados: |
Art. 5.1.f) RGPD (Confidencialidad) |
||
|
Resolución: |
1.000 € (800 por pago voluntario) |
||
|
|
|
||
|
- Consentimiento – Comunicaciones comerciales - |
|||
|
#03 |
Sanción por remitir publicidad por correo electrónico sin el consentimiento del afectado |
||
|
PROCEDIMIENTO |
|
||
|
La
recepción de una comunicación comercial no consentida a través de correo
electrónico el día el 22 de diciembre de 2021 a las 12:06 horas, recibido en
su dirección electrónica de correo. El reclamante manifiesta que jamás ha
existido un contacto previo con la empresa reclamada y que tras indicarles
por correo electrónico su oposición a la recepción de spam, recibe un nuevo
correo pocas horas después, el 22 de diciembre de 2021 a las 16:44 horas, en
el que alguien que se identifica como B.B.B., le informa que es consultor
energético responsable de su zona en Thunder Hunter y que está contactando
con las principales empresas de su sector para presentarles la mejor manera
de optimizar sus facturas de luz y gas. |
|||
|
Arts. afectados: |
Art. 21.1 LSSI (Consentimiento comunicaciones comerciales) |
||
|
Resolución: |
1.000 € (600 € por pago voluntario y reconocimiento de responsabilidad) |
||
|
|
|
||
|
- Delegado de Protección de Datos – Administración Pública - |
|||
|
#04 |
Sanción a Ayuntamiento por seguir sin nombrar un DPO pese a los requerimientos de la AEPD |
||
|
PROCEDIMIENTO |
|
||
|
Con fecha 25 de junio de 2021, por la Directora de la AEPD se dictó resolución en el procedimiento sancionador número PS/00079/2021, seguido contra el AYUNTAMIENTO DE MONESTERIO en la que se le requiere para que proceda a nombrar un Delegado de Protección de Datos. Tras el transcurso del plazo indicado sin que en esta Agencia se hubiera recibido escrito alguno sobre las medidas implementadas, se remitieron a la parte reclamada dos requerimientos de información para que, en el plazo de un mes, acreditaran ante esta Agencia haber adoptado las medidas correctoras oportunas. No obstante, no se han tenido noticias del nombramiento ni la reclamada ha presentado alegaciones, por lo que se tiene por incumplido el anterior mandato. |
|||
|
Arts. afectados: |
Art. 58.2.d) RGPD (Incumplimiento de mandatos) |
||
|
Resolución: |
Apercibimiento (Art. 77 LOPDGDD) |
||
|
|
|
||
|
- Confidencialidad – Comunidad de Propietarios - |
|||
|
#05 |
5.000 € a comunidad de propietarios por publicar nombre de vecinos en página web de acceso público |
||
|
PROCEDIMIENTO |
|
||
|
El
motivo en que basa la reclamación es la publicación por parte del Presidente
de la Comunidad de Propietarios en la página Web ***URL.1, informaciones que
contienen los datos personales de varios propietarios, entre los que se
encuentran los de la reclamante (nombre, apellidos, piso), uniéndose con
posterioridad otros vecinos a la reclamación. Junto a las reclamaciones se
aportan copias de las publicaciones realizadas en la página web mencionada en
las que constan los datos personales de los reclamantes, así como los
requerimientos al Presidente de la Comunidad de Propietarios solicitando la
eliminación de dichas publicaciones. Dichas publicaciones no se hacen en la
sección restringida de la página web a la que únicamente pueden acceder los
propietarios. |
|||
|
Arts. afectados: |
Art.
5.1.f) RGPD (Confidencialidad) |
||
|
Resolución: |
2.500 €
cada infracción |
||
|
|
|
||
|
- Derecho de Oposición – Comunicaciones Comerciales - |
|||
|
#06 |
5.000 € a una clínica por enviar publicidad por SMS y no tramitar las bajas solicitadas |
||
|
PROCEDIMIENTO |
|
||
|
La
reclamante recibía SMS con publicidad de la clínica CARTERA VIVANTA, en los
cuales, se indicaba que para ejercer el derecho de oposición debía escribir
un correo al DPD de la entidad, rgpd@vivanta.es, al cual escribió el 22/07/21
solicitando la baja de los sistemas de la clínica para recibir nuevos SMS
publicitarios. En un primer momento respondieron que procedían a gestionar la
baja, pero siguió recibiendo publicidad vía SMS días más tarde; tras lo que
volvió a escribir al DPD el mismo día, sin recibir respuesta alguna. Semanas
más tarde, volvió a recibir un nuevo SMS publicitario, tras lo cual, volvió a
enviar un correo electrónico al DPD de la clínica denunciando que seguía
recibiendo SMS publicitarios sin su consentimiento, sin recibir tampoco ningún
tipo de respuesta por parte de la entidad, volviendo a recibir dos nuevos SMS
publicitarios. Alega la reclamada que, debido a un fallo técnico, que ya fue
solventado, el número de teléfono de la reclamante se quedó grabado en la
memoria “caché” del CRM y éste continuó enviando alguna comunicación
comercial los días siguientes. |
|||
|
Arts. afectados: |
Art. 21 LSSI (Envío de comunicaciones comerciales) |
||
|
Resolución: |
5.000 € |
||
|
|
|
||
|
- Confidencialidad – Laboral - |
|||
|
#07 |
5.000 € de multa por asignar a un nuevo trabajador el mismo correo de un antiguo empleado |
||
|
PROCEDIMIENTO |
|
||
|
La
reclamante fue contratada para sustituir a la tutora de unos cursos que
imparte la entidad CEUPE -ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L. Para
desarrollar esta actividad le facilitaron una cuenta de correo electrónico
corporativa, la cual pertenecía a la persona a la que sustituía. La
reclamante manifiesta que a través de la cuenta asignada podía acceder a
todos los correos remitidos y recibidos por la anterior trabajadora,
constando entre ellos los datos tributarios y de facturación a terceros con
todos sus datos personales, teléfonos dirección, cuenta bancaria. El centro,
por su parte, señala que el correo electrónico es de uso exclusivamente
profesional, y que se les entrega cuando se les asigna un grupo de alumnos a
los que formar. Esta cuenta de correo electrónico está asignada a este grupo
de alumnos exclusivamente y cuando se cambia de tutor lo único que se procede
es a dar de baja al anterior tutor y de alta al nuevo, pero manteniendo esta
misma cuenta de correo electrónico. Este procedimiento debe de ser así ya que
el nuevo tutor debe de poder acceder a todas las consultas de los alumnos que
han realizado al anterior tutor. Se tratan de correos “corporativos”
propiedad de CEUPE, y por tanto no son de ningún tercero, habiendo sido
utilizado en todo momento para el uso y ámbito laboral y de la actividad de
la empresa, y que la irregularidad en su uso es responsabilidad de cada
propio usuario. |
|||
|
Arts. afectados: |
Art.
5.1.f) RGPD (Confidencialidad) |
||
|
Resolución: |
3.000 €
(Art. 5.1.f RGPD) |
||
|
|
|
||
|
- Minimización de datos - Videovigilancia - |
|||
|
#08 |
Archivo de procedimiento contra particular con cámaras de videovigilancia con máscara de privacidad |
||
|
PROCEDIMIENTO |
|
||
|
La reclamante pone de manifiesto la instalación de, al menos, cinco cámaras de videovigilancia en lo que sería una serventía de acceso, captando así imágenes de esta y de zonas exteriores. No obstante, se aporta por el reclamado escrito indicando que no se encuentra captando imágenes desproporcionadas, por cuanto se circunscribe al ámbito privado”, aportando como prueba de ello la impresión de pantalla de lo que captan las cámaras, donde se puede observar que enfocan a espacio privativo del reclamado, estando dos de ellas están enmascaradas, lo que impide la captación de imágenes de las fincas colindantes. Por lo tanto, concluye la AEPD que está demostrado documentalmente que las cámaras de videovigilancia no solo están instaladas en terrenos de su propiedad, sino que, además, están direccionadas a su espacio privativo y disponen de máscaras de privacidad que hacen imposible captar imágenes de las fincas colindantes. |
|||
|
Arts. afectados: |
Art. 5.1.c) RGPD (Minimización de datos) |
||
|
Resolución: |
Archivo de actuaciones |
||
|
|
|
||
|
- Confidencialidad - Servicios de Mensajería - |
|||
|
#09 |
Archivo de procedimiento contra una farmacia que adjunta la factura en el exterior del paquete |
||
|
PROCEDIMIENTO |
|
||
|
La reclamante pone de manifiesto la adquisición a la entidad MIFARMA una serie de productos sanitarios, entre ellos test de embarazo y ovulación. De dicha compra se adjunta por la entidad factura con sus datos identificativos y compra, pedido que posteriormente fue remitido a través del Servicio de Correos mediante paquete postal, adhiriendo la factura del pedido al exterior del paquete, en un sobre transparente, con la información contenida en la misma visible, exponiéndolos según indica la reclamada, a todas aquellas personas que hayan participado en el envío. No obstante, para el presente caso, todas las personas intervinientes que acceden a la información correspondiente al envío en cuestión, entre la que figura la factura que ha motivado la reclamación, pertenecen a la entidad encargada de aquellas tareas, como empresa transportista y como operador ante la Agencia Tributaria Canaria. Todas estas personas, empleadas del Servicio de Correos, están sometidas al deber de confidencialidad, que es una obligación complementaria del deber de secreto profesional, la cual incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento, y que tiene como finalidad evitar que se realicen filtraciones de los datos personales no consentidas por sus titulares. |
|||
|
Arts. afectados: |
Art. 5.1.f) RGPD (Confidencialidad) |
||
|
Resolución: |
Archivo de actuaciones |
||
|
Anotaciones |
Esta forma de operar para los envíos realizados a las Islas Canarias es la adecuada conforme a las normas relativas a la formalización de los trámites aduaneros en envíos de bajo valor y se ajusta a las instrucciones del Servicio de Correos, según la regulación de la Unión Postal Universal (UPU), conformada por el Convenio UPU y el Reglamento del Convenio UPU, que establecen la posibilidad de sujetar las declaraciones de aduanas en el exterior del envío dentro de un sobre transparente, así como la obligación de detallar el contenido del envío en esas declaraciones y la obligación de los operadores designados de informar a sus clientes sobre la manera de llevar a cabo las formalidades aduaneras. |
||
|
- Minimización de datos – Videovigilancia - |
|||
|
#10 |
500 € por tener instalada una cámara particular enfocando a otra plaza de garaje |
||
|
PROCEDIMIENTO |
|
||
|
En el presente caso, existiendo se denuncia por el reclamante la instalación de una cámara de vigilancia camuflada entre la celosía de la fachada de la vivienda propiedad del Sr. B.B.B. que está enfocando a las zonas comunes y en dirección al parking propiedad del reclamado. Dado que el reclamado no ha presentado alegaciones ni pruebas que contradigan los hechos denunciados, se considera probado que el reclamado tiene instalada una cámara de videovigilancia en uno de los huecos de la celosía de su garaje, con la que estaría captando imágenes de las zonas comunes de la urbanización, así como del parking propiedad de la reclamante. En este caso, habida cuenta que el reclamado ya había sido objeto de sanción en el PS/00019/2020, por los mismos hechos, se considera oportuno la imposición de una sanción económica, y no un apercibimiento. |
|||
|
Arts. afectados: |
Art. 5.1.c) RGPD (Minimización de datos) |
||
|
Resolución: |
500 € |
||
|
|
|
||
|
- Recogida de datos - Locutorios - |
|||
|
#11 |
Sanción de 1.000 € por no informar del tratamiento de datos al recoger la información de los interesados |
||
|
PROCEDIMIENTO |
|
||
|
Denuncia la Jefatura Superior de Policía del País Vasco que los clientes de un locutorio se vieron forzados a facilitar sus datos personales (tanto de manera escrita como aportando copia de su documentación identificativa) para que pudiesen reservarles cita previa para la tramitación de documentación de la Policía Nacional. Se indica que el locutorio reclamado incumplió el principio de transparencia de la información o el derecho de información del afectado al no facilitar a sus clientes toda la información exigida por los artículos 13 y 14 del Reglamento General de Protección de Datos. |
|||
|
Arts. afectados: |
Art. 13 RGPD (Información al interesado) |
||
|
Resolución: |
1.000 € |
||
|
|
|
||
|
- Política de privacidad y cookies – Página Web - |
|||
|
#12 |
Siguen las infracciones por mala adaptación de la normativa de protección de datos en páginas web |
||
|
PROCEDIMIENTO |
|
||
|
a). -
Sobre la obtención de los datos personales de los usuarios: En el
formulario de contacto de la web se recogen datos personales. Para enviar el
formulario, el usuario solo debe cliquear la opción <<enviar>>.
No existe ningún tipo de posibilidad de proporcionar el consentimiento
necesario para el tratamiento de los datos personales ofrecidos y ni la
posibilidad de leer y aceptar su política de privacidad. |
|||
|
Arts. afectados: |
Art. 6.1
RGPD (Licitud del tratamiento) |
||
|
Resolución: |
3.000 € (1.000 € por infracción), 1.800 € en total por pago voluntario y reconocimiento de culpa |
||
|
|
|
||
|
- Licitud del tratamiento – Grabación - |
|||
|
#13 |
3.000 € a empresa de drones por grabar partidos sin contar con legitimación para ello |
||
|
PROCEDIMIENTO |
|
||
|
La
conducta presuntamente infractora atribuida al reclamado se concretan en el
tratamiento sin legitimación de menores de edad, jugadoras federadas
pertenecientes a categoría infantil de futbol 7, entre las que se encuentra
la hija del reclamante, mediante la grabación a través de tecnología dron y
la visualización posterior por los usuarios registrados a través de la
aplicación propiedad del reclamado de las imágenes sin contar con el
consentimiento para su tratamiento ni ninguna otra habilitación que lo legitime.
Se aporta por el reclamado un contrato suscrito con la Real Federación de
Fútbol de Madrid, en el que se especifica que, dada la naturaleza del
contrato, ninguna de las partes será considerada encargada del tratamiento. |
|||
|
Arts. afectados: |
Art. 6.1 RGPD (Licitud del tratamiento) |
||
|
Resolución: |
3.000 € |
||
|
|
|
||
|
- Administración Pública - Transparencia - |
|||
|
#14 |
Sancionado el Ministerio de Justicia por publicar la lista de admitidos/no sin seudonimizar los datos |
||
|
PROCEDIMIENTO |
|
||
|
El 18 de febrero de 2019, se publicó en el portal web del Ministerio de Justicia el listado de aspirantes admitidos y excluidos para realizar la primera prueba de evaluación de aptitud profesional para el ejercicio de la abogacía para el año 2019, cuya publicación incluyó el DNI completo de los interesados, entre ellos el del reclamante. Advertida dicha circunstancia, la parte reclamada, el 1 de marzo de 2019, retiró la referida publicación del portal de dicho Ministerio, procedió a la notificación del incidente a la Agencia Española de Protección de Datos, y se sustituyó en la página web el listado publicado por otro sin los datos de identidad completos. Si bien inicialmente el procedimiento fue archivado por falta de pruebas, con posterioridad se presentó sentencia de la Audiencia Nacional sobre reclamación de cantidad por el funcionamiento anormal de los servicios públicos contra el Ministerio de Justicia, en la que se condena a ese Ministerio al pago de 5000 € a la parte reclamada |
|||
|
Arts. afectados: |
Artículo 5.1.f) del RGPD |
||
|
Resolución: |
Apercibimiento (Art. 77 LOPDGDD) |
||
|
Anotaciones: |
La
referida sentencia es la SAN 1385/2021, y puede localizarse a través del
siguiente enlace https://www.poderjudicial.es/search/AN/openDocument/3f9689124ddf04fb/20210512
|
||
|
- Minimización de datos y Cartelería - Videovigilancia - |
|||
|
#15 |
Continúan sanciones en videovigilancia por enfocar a la vía pública y no disponer de cartel informativo |
||
|
PROCEDIMIENTO |
|
||
|
Se denuncia por parte de la Guardia Civil de Villablanca que el reclamado es responsable de un sistema de videovigilancia con cámaras orientadas a la vía pública, y que éste no tiene debidamente señalizados mediante los preceptivos carteles informativos de zona videovigilada. Aporta informe en el que se pone de manifiesto que esos mismos incumplimientos ya fueron detectados con anterioridad, denunciados ante esta Agencia, y que les consta escrito de la AEPD en el que se comunicaba a la Guardia Civil que se había informado al denunciado de sus obligaciones en lo relativo a la protección de datos personales sin que el ahora denunciado haya procedido a corregir dichos incumplimientos. Dado que el reclamado no ha presentado alegaciones ni pruebas que contradigan los hechos denunciados en el plazo dado para ello, se considera que es responsable de un sistema de videovigilancia con cámaras orientadas a la vía pública, y que éste no tiene debidamente señalizados mediante los preceptivos carteles informativos de zona videovigilada, lo que conlleva una doble infracción de la normativa vigente de protección de datos. |
|||
|
Arts. afectados: |
Art. 5.1
c) RGPD (Minimización de datos) |
||
|
Resolución: |
300 €
cada infracción |
||
|
|
|
||
|
- Minimización de datos y Cartelería - Videovigilancia - |
|||
|
#16 |
600 € a particular por tener cámaras enfocando a una servidumbre de paso y con el cartel incompleto |
||
|
PROCEDIMIENTO |
|
||
|
D. A.A.A. formula reclamación contra Dª B.B.B., por la instalación de un sistema de videovigilancia instalado con cámaras orientadas hacia el camino de acceso que comparten las propiedades de las partes. El reclamante manifiesta que su vivienda se encuentra ubicada en una zona residencial donde el acceso a la misma se lleva a cabo a través de una servidumbre de paso, siendo el predio sirviente de la reclamada, la cual ha instalado cámaras de videovigilancia en su finca, orientadas a dicha servidumbre de paso, y a la vivienda del reclamante, sin que, por otro lado, haya instalado carteles de zona videovigilada en los que se precise quién es el responsable del tratamiento y cómo ejercitar los correspondientes derechos en materia de protección de datos. |
|||
|
Arts. afectados: |
Art. 5.1
c) RGPD (Minimización de datos) |
||
|
Resolución: |
300 €
cada infracción |
||
|
|
|
||
|
- Confidencialidad y brechas de seguridad - Aseguradoras - |
|||
|
#17 |
220.000 € a una aseguradora por remitir autorizaciones de pruebas médicas a terceros |
||
|
PROCEDIMIENTO |
|
||
|
Se
denuncia por la reclamante la recepción en su dirección de correo
electrónico, en numerosas ocasiones, autorizaciones de pruebas médicas de
terceros que no conoce. En algunos casos se incluye el tipo de prueba
diagnóstica. Cada vez que ha recibido una autorización lo ha comunicado,
reenviando el correo a la entidad (autorizaciones y atención al cliente). No
se ha solventado y sigue recibiendo autorizaciones que no le corresponden.
Junto a la reclamación aporta copia de los correos electrónicos recibidos
correspondientes a otras personas e intercambios de correos con el reclamado
poniendo de manifiesto la situación. De estos hechos, se detectan múltiples
incumplimientos de la normativa de protección de datos: |
|||
|
Arts. afectados: |
Art.
5.1.f RGPD (Confidencialidad) |
||
|
Resolución: |
100.000
€ (Art. 5.1.f RGPD) |
||
|
|
|
||
|
- Videovigilancia – Particulares - |
|||
|
#18 |
Sanción por tener una cámara ubicada en un árbol enfocando a la vía pública |
||
|
PROCEDIMIENTO |
|
||
|
Se denuncia por parte del reclamante que un vecino dispone de un dispositivo (cámara de video-vigilancia) instalado en un árbol con palmaria mala orientación hacia zona de tránsito, afectando a derechos de terceros sin causa justificada. Las pruebas aportadas, y la falta de alegaciones por parte del reclamado, permiten constatar la presencia de un dispositivo camuflado en la copa de un árbol con palmaria mala orientación y sin la debida señalización al menos de forma aparente en zona visible o sin informar de la “operatividad” o no de la misma frente a terceros. |
|||
|
Arts. afectados: |
Art. 5.1.c) RGPD (Minimización de datos) |
||
|
Resolución: |
300 € |
||
|
|
|
||
|
- Licitud del tratamiento – Encuestas - |
|||
|
#19 |
6.000 € de sanción por recoger datos personales mediante encuestas y usarlos para otros fines |
||
|
PROCEDIMIENTO |
|
||
|
La
reclamación versa sobre la recogida de datos personales que la parte
reclamada lleva a cabo a través de supuestas encuestas y sobre la información
que ofrece a los interesados acerca del tratamiento de sus datos. La entidad
ECOZONO, a través de terceros que actúan como encuestadores y con quienes le vincula
un contrato mercantil, recoge datos de personas que acceden a contestar una
encuesta cuando el verdadero propósito de la recogida de sus datos es
contactar con ellas posteriormente para venderles sus productos. Añade que
también les solicitan datos de terceras personas con la promesa de obtener un
premio a cambio. |
|||
|
Arts. afectados: |
Art. 6.1.a RGPD (Consentimiento como base de legitimación) |
||
|
Resolución: |
6.000 € (3.600 por pago voluntario y reconocimiento de responsabilidad) |
||
|
|
|
||
|
- Legitimación del tratamiento – Certificado COVID - |
|||
|
#20 |
Archivo de procedimiento contra un bar por solicitar el certificado COVID durante las navidades |
||
|
PROCEDIMIENTO |
|
||
|
El reclamante expone que en fecha 30 de diciembre de 2021, al intentar acceder junto a su hijo de 10 años al establecimiento del que es responsable la entidad LOCALES CABEZA Y GARCÍA, S.L., les solicitaron la presentación de certificado de vacunación contra la COVID19 como condición para permitir el acceso, entendiendo el reclamante que dicha solicitud es contraria a la normativa de protección de datos. El día 19 de diciembre de 2021 se publica en el Boletín Oficial de la Junta de Andalucía (Boletín nº 93), Resolución de 19 de diciembre de 2021, de la Secretaría General Técnica, por la que se da publicidad a la Orden de la Consejería de Salud y Familias de 16 de diciembre de 2021, por la que se establece la medida preventiva de salud pública relativa al Certificado COVID-19 o prueba diagnóstica para el acceso de las personas usuarias al espacio interior de establecimientos de hostelería, ocio y esparcimiento. Dicha Orden, ratificada judicialmente por el Tribunal Superior de Justicia de Andalucía de Granada, Sala de lo Contencioso-administrativo, Sección 1ª, Auto de 15 Dic. 2021, Rec. 2260/2021. En consecuencia, no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la AEPD, al tratarse el local al que la parte reclamante quería acceder de una cervecería y serle de aplicación, lo dispuesto en la Orden citada |
|||
|
Arts. afectados: |
Art. 6
RGPD (Licitud del tratamiento) |
||
|
Resolución: |
Archivo de actuaciones |
||
|
|
|
||
|
- Confidencialidad – Entidades Bancarias - |
|||
|
#21 |
70.000 € a BANKINTER por remitir a la expareja el Informe Mensual de Cartera de Inversiones |
||
|
PROCEDIMIENTO |
|
||
|
En
fecha 5 de octubre de 2020, la reclamante tuvo conocimiento, tras la
celebración de la audiencia previa de un procedimiento judicial, de que su
expareja había aportado en dicho acto un documento emitido por la parte
reclamada, de fecha 30 de abril de 2.019, en el que se le informaba de todas
las posiciones bancarias que en esa entidad bancaria tenía la reclamante
junto con su madre y hermanos y donde ella no era titular salvo en una cuenta
corriente (en la que es cotitular). Considera que no debería haber recibido
este informe que contiene información sensible y confidencial de cuentas y
posiciones de las que nunca ha sido autorizada, divulgando estos datos de
extrema importancia, lo que supone una vulneración de la normativa de
protección de datos. |
|||
|
Arts. afectados: |
Art. 5.1.f) RGPD (Confidencialidad) |
||
|
Resolución: |
70.000 € (56.000 por pago voluntario) |
||
|
|
|
||
|
- Comunicaciones no solicitadas – Telecomunicaciones - |
|||
|
#22 |
15.000 € por realizar llamadas comerciales a un número inscrito en la Lista Robinson |
||
|
PROCEDIMIENTO |
|
||
|
Se
denuncia por el reclamante la recepción de llamadas comerciales diarias,
varias veces al día y en diferentes horarios. Dicho número de teléfono estaba
inscrito en la lista interna de números a los que no se deben realizar
llamadas comerciales de Vodafone, sin embargo, sigue recibiendo llamadas.
Vodafone identifica la llamada, correspondiéndose con la agencia colaboradora
CASMAR, con la cual había firmado un contrato de agencia con VODAFONE para
comercializar los servicios de VODAFONE, en el que se especifica que CASMAR
tenía la responsabilidad de filtrar con la Lista Robinson de ADIGITAL las
llamadas a potenciales clientes. Por su parte, CASMAR indica que VODAFONE
obliga a todos los colaboradores que tienen la consideración de Call Center a
suscribir un contrato con la empresa OASIP que es la suministradora de las
soluciones de Voz IP y filtrado a través de los ficheros de exclusión
publicitaria. Sin dicho contrato la compañía telefónica no autoriza la
subcontratación de los tratamientos de televenta. |
|||
|
Arts. afectados: |
48.1.b) LGT (Comunicaciones no solicitadas) |
||
|
Resolución: |
15.000 € |
||
|
|
|
||
|
- Consentimiento – Fotografías - |
|||
|
#23 |
Sanción a una academia por no solicitar consentimiento separado para la toma de fotografías |
||
|
PROCEDIMIENTO |
|
||
|
La reclamada A.A.A. lleva a cabo una actividad de verano dirigida a menores organizada e impartida por la mencionada academia. En el contrato de actividades de verano de menores que lleva a cabo esta última, los padres de dichos menores han de firmar un contrato que no desvincula el consentimiento para la realización de dichas actividades de verano objeto del contrato, del consentimiento o no para la toma de fotografías de los menores y utilizarlas como publicidad. La reclamada manifiesta que los contratantes en todo momento se encuentran facultados para aprobar o declinar la utilización de las citadas imágenes sin encontrarse condicionados a la contratación del servicio, y que las citadas imágenes serán únicamente publicadas en sitios y redes sociales de la academia y no por ningún otro medio. Sin embargo, la AEPD considera que se lleva a cabo tratamiento ilícito de datos personales, ya que la captación y publicación de imágenes de los menores requiere de un consentimiento diferenciado, tanto de la toma de fotografías como de la posible publicidad, por lo tanto, de los hechos señalados debería de haber al menos tres solicitudes de consentimiento claramente diferenciados a lo largo del contrato para cumplir con la normativa de protección de datos de carácter personal: primero para la formalización del contrato, segundo para la toma de fotografías, y tercero sobre la finalidad publicitaria de las mismas. |
|||
|
Arts. afectados: |
Art. 7 RGPD (Condiciones del consentimiento) |
||
|
Resolución: |
500 € (300 € por pago voluntario y reconocimiento de responsabilidad) |
||
|
|
|
||
|
- Incumplimiento medidas – Locutorio - |
|||
|
#24 |
600 € a locutorio que había sido apercibido por no acreditar haber adoptado las medidas a la AEPD |
||
|
PROCEDIMIENTO |
|
||
|
Con
fecha 1 de septiembre de 2021, la Directora de la AEPD dictó resolución en el
procedimiento sancionador número PS/00230/2021, seguido contra A.A.A por
recoger datos de las personas físicas que acuden a su locutorio a pedir cita
para trámites administrativos, sin facilitar la información precisa a los
interesados de conformidad con la normativa vigente en materia de protección
de |
|||
|
Arts. afectados: |
Art. 72.1 m) LOPDGDD (Incumplimiento de resoluciones de la Autoridad de Control) |
||
|
Resolución: |
600 € |
||
|
Anotaciones: |
La presente sanción trae causa de la resolución PS/00230/2021 |
||
|
- Confidencialidad – Sector Sanitario - |
|||
|
#25 |
Sanción a un psicoterapeuta por remitir erróneamente facturas de pacientes a un tercero |
||
|
PROCEDIMIENTO |
|
||
|
Manifiesta
el reclamante que la reclamada le ha remitido un informe de su hija, menor de
edad, desde el correo electrónico de una papelería-librería, lo que a su
criterio vulnera el deber de confidencialidad. Posteriormente, desde su
dirección personal, envía de nuevo el informe y facturas solicitadas,
remitiendo algunas con datos personales de terceros (nombre y apellidos, DNI,
dirección postal y periodo de tratamiento). Consta que los datos personales
de los afectados, obrantes en la base de datos de la parte reclamada, fueron
indebidamente expuestos a un tercero, ya |
|||
|
Arts. afectados: |
Art.
5.1.f) RGPD (Confidencialidad) |
||
|
Resolución: |
3.000 €
(Art. 5.1.f RGPD) |
||
|
Anotaciones: |
Es
importante recalcar en este procedimiento lo indicado por la AEPD respecto de
las facturas a clientes de un psicoterapeuta, señalando que son datos de
salud: |
||
|
- Videovigilancia y finalidad – Sector hostelero - |
|||
|
#26 |
Sanción por compartir en redes imágenes de una caída obtenidas con cámaras de videovigilancia |
||
|
PROCEDIMIENTO |
|
||
|
Los
hechos se concretan en la utilización de imágenes extraídas del sistema de
video-vigilancia del establecimiento-Bar Felipe I-, sin causa legítima para
ello, siendo difundidas públicamente tanto en Redes sociales, como en medios
de comunicación de carácter público. Consta aportada Acta Notarial por la que
se protocoliza las páginas de Internet que permiten el acceso a la
reproducción del video obtenido de las cámaras del establecimiento Bar Felipe
I, dónde se visualiza la imagen del reclamante. Consta acreditado que el
establecimiento hostelero Bar ***BAR.1 dispone de un sistema de cámaras de
video-vigilancia que permite obtener imágenes del interior del mismo, contando
con el preceptivo cartel (es) informando que se trata de una zona
video-vigilada. |
|||
|
Arts. afectados: |
Art. 5.1b) RGPD (Limitación de la finalidad) |
||
|
Resolución: |
5.000 € |
||
|
|
|
||
|
- Información – Política de privacidad - |
|||
|
#27 |
Multa por no tener política de privacidad con toda la información necesaria |
||
|
PROCEDIMIENTO |
|
||
|
El reclamante manifiesta que la entidad reclamada cuenta en su página web con un formulario que recoge datos personales para el acceso a una clase gratis en sus instalaciones y señala que, en la Información sobre el tratamiento de datos que facilita la entidad reclamada, no se incluye toda la información requerida por la normativa de protección de datos, puesto que no consta el plazo durante el cual se conservarán los datos personales aportados por los clientes. Dado que no se presentaron alegaciones, se considera que la parte reclamada ha vulnerado el art. 13 del RGPD puesto que el formulario que debe rellenar para el acceso a una clase gratis en sus instalaciones no informa debidamente del plazo durante el cual se conservarán los datos personales aportados. |
|||
|
Arts. afectados: |
Art. 13.2 RGPD (Información al interesado) |
||
|
Resolución: |
500 € |
||
|
|
|
||
|
- Encargo de tratamiento – Telecomunicaciones - |
|||
|
#28 |
40.000 € por seguir llamando pese a ejercicio del derecho de supresión e inscripción en la lista Robinson |
||
|
PROCEDIMIENTO |
|
||
|
ESVETEL,
S.L. realizó una llamada publicitaria al número de teléfono ***TELÉFONO.2,
titularidad de la parte reclamante, número inscrito en el canal de llamadas
telefónicas de ADIGITAL, oponiéndose a recibir llamadas La entidad ESVETEL,
S.L., en calidad de subencargada del tratamiento ahora imputado, consistente
en realizar llamadas comerciales en nombre de Vodafone España, S.A.U., al
menos a una numeración incluida en los listados de exclusión publicitaria
Robinson y sin haber tenido la debida diligencia a la que está obligada por
la contratación en |
|||
|
Arts. afectados: |
Art.
48.1.b)LGT (Oposición a llamadas con fines de comerciales) |
||
|
Resolución: |
20.000 €
cada infracción |
||
|
|
|
||