|
Noticias
|
|
RESOLUCIONES RELEVANTES 07/11/2022 - 02/12/2022
|
|
Minimización
de datos, Confidencialidad, Legitimación, Cookies, Derecho de supresión,
Consentimiento, Comunicaciones comerciales, Requerimiento AEPD,...
|
|
*
|
|
“(...) Indica la AEPD que para una comprensión cabal del
concepto de dato de salud, hay que acudir para su interpretación a las normas
internacionales, según especifica el artículo 10 de la Constitución Española.
La Organización Mundial de la Salud en su Carta Magna definió el término la
"salud" como "el estado de completo bienestar físico, mental o
social, y no solamente la ausencia de afecciones o enfermedades".
Por su parte, el Convenio 108 del Consejo de Europa indica que
su concepto abarca "las informaciones concernientes a la salud pasada,
presente y futura, física o mental, de un individuo", "pudiendo
tratarse de informaciones sobre un individuo de buena salud, enfermo o
fallecido", añadiendo que "debe entenderse que estos datos comprenden
igualmente las informaciones relativas al abuso del alcohol o al consumo de
drogas"
(ABL)
|
|
**********
|
|
-
Minimización de datos – Comunidad de vecinos -
|
|
Sancionada
una comunidad por tener cámaras captando en exceso la vía pública
|
|
PROCEDIMIENTO
|
PS/00256/2022
|
««««
|
|
La reclamación se basa en la presunta ilicitud de la
instalación por la reclamada de varias cámaras de videovigilancia en
distintos puntos de la finca sin contar con la debida autorización de la
Junta de Propietarios. El reclamante aportó reportaje fotográfico en el que
se observa la existencia de cámaras de videovigilancia instaladas en los
cuartos de basura de los diferentes portales, en las inmediaciones de un
portal y en el interior del gimnasio y de la pista de pádel. La reclamada
reconoce que el edificio consta de 57 dispositivos, y aporta certificado
emitido por el secretario de la Comunidad de Propietarios donde declara que
en la Junta General Ordinaria de 24/04/2017se acordó "la ampliación de
la instalación de cámaras de vigilancia a garajes y otros". Además,
aporta Fotografía del monitor donde se observa las cámaras, contrato de
encargo de tratamiento con empresa de seguridad, y cláusula informativa de
tratamiento de datos remitida a los vecinos. No obstante, en las fotografías
del monitor de las imágenes capturadas se observa que las cámaras
perimetrales captan de manera excesiva y no proporcional la vía pública, a
pesar de que alguna dispone de máscara de privacidad.
|
|
Arts. afectados:
|
Art.
5.1.c RGPD (Minimización de datos)
|
|
Resolución:
|
1500
euros (900 euros por pago voluntario y reconocimiento de responsabilidad)
|
|
|
|
|
**********
|
|
-
Confidencialidad – Entidades Bancarias -
|
|
Más
sanciones por remitir por error contratos de terceros: 80.000 euros a BBVA
|
|
PROCEDIMIENTO
|
PS/00419/2022
|
««««
|
|
El reclamante manifiesta que solicitó a la entidad BBVA un
certificado de titularidad de su cuenta, a través de la APP de dicha entidad,
recibiendo, por la misma vía copia de un contrato de terceras personas. Tras
comunicar a la entidad la incidencia y su preocupación por la protección de
sus datos, recibe respuesta indicando lo siguiente: "Me disculpo en
nombre de mi compañera, ha sido un error operacional. Sus datos están
protegidos." El reclamante traslada a BBVA que sigue teniendo acceso al
documento con datos de terceros, el cual sigue disponible a través del chat
de contacto con BBVA y manifiesta que dicha entidad le indica que,
informáticamente, no es posible la eliminación de dicho documento.
Considera la AEPD que se ha producido una brecha de seguridad
de datos personales en las circunstancias arriba indicadas, categorizada como
una brecha de confidencialidad, al haberse facilitado a la parte reclamante un
contrato en el que constan datos personales de una tercera persona.
|
|
Arts. afectados:
|
Art.
5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de Seguridad)
|
|
Resolución:
|
50.000
(Art. 5.1.f RGPD); 30.000 (Art. 32 RGPD); 80.000 euros en total (48.000 euros
por pago voluntario y reconocimiento de responsabilidad))
|
|
|
|
|
**********
|
|
-
Legitimación y Cookies – Página Web -
|
|
3.000
euros por no tener adecuada la página web a la normativa vigente
|
|
PROCEDIMIENTO
|
PS/00227/2022
|
««««
|
|
Se denuncia por el reclamante que, por error, introdujo su
email en la web, la cual no dispone de ninguna información del tipo de aviso
legal, política sobre cookies, pop up de aceptación de cookies, política de
privacidad, cláusulas informativas RGPD. Adjunto el e-mail que recibió tras
el registro, donde también carece de cualquier tipo de información sobre
derechos ARCO.
a).- Sobre la obtención de los datos personales de los
usuarios: A través del enlace <<contacto>>, la web
redirige a una nueva página donde se pueden introducir datos personales de
los usuarios como, el nombre, la dirección de correo electrónico y el asunto.
Para enviar el formulario, el usuario solo debe cliquear la opción
<<enviar>>
b).- Sobre la “Política de Privacidad”: No
existe “Política de Privacidad” en la página web. La única información sobre
cookies proporcionada por la web es a través del enlace <<cookies
settings>> existente en el banner de la primera capa, pero éste
desaparece cuando se aceptan las cookies o se cliquea en la opción
<<save settings>> del panel de control, no existiendo ninguna
posibilidad de acceder posteriormente a su política de privacidad.
c).- Sobre la Política de Cookies: Al entrar en
la web por primera vez, una vez limpiado el equipo terminal de historial de
navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna
acción sobre la página web. No existe “Política de Cookies”. La única
información sobre cookies proporcionada por la web es a través del enlace
<<cookies settings>> existente en el banner de la primera capa,
pero éste desaparece cuando se aceptan las cookies o se cliquea en la opción
<<save settings>> del panel de control, no existiendo ninguna
posibilidad de acceder posteriormente a su política de cookies.
|
|
Arts. afectados:
|
Art. 6.1
RGPD (Legitimación); Art. 13 RGPD (Información al interesado); Art. 22.2 LSSI
(Consentimiento de cookies)
|
|
Resolución:
|
1.000
euros por infracción; 3.000 euros en total (1.800 por pago voluntario y
reconocimiento de responsabilidad)
|
|
|
|
|
**********
|
|
-
Derecho de supresión – Página Web -
|
|
2.000
euros por no atender la supresión de datos de un profesional publicados en
una página web
|
|
PROCEDIMIENTO
|
PS/00420/2022
|
««««
|
|
La reclamante abogada denuncia la publicación de sus datos
vinculados a su despacho profesional en el sitio web OKDIVORCIO.COM. Les
remitió un correo electrónico a la dirección que consta en la política de
privacidad, para solicitar que los suprimieran (aportando copia del mensaje),
sin que haya obtenido respuesta al respecto. En el presente caso, la
infracción del derecho de supresión trae causa porque de la documentación
aportada se evidencia que el reclamante ejercitó el citado derecho ante el
reclamado y sin que conste acreditada respuesta alguna.
|
|
Arts. afectados:
|
Art. 17
RGPD (Derecho de supresión)
|
|
Resolución:
|
2.000
euros (1.200 euros por pago voluntario y reconocimiento de responsabilidad)
|
|
|
|
|
**********
|
|
-
Minimización de datos – Página Web -
|
|
5.000
euros por publicar sentencias en su página web y sin anonimizar correctamente
|
|
PROCEDIMIENTO
|
PS/00117/2022
|
««««
|
|
El reclamante, en su propio nombre y en el de otros cuatro
reclamantes, se dirige contra B.B.B. y APEDANICA (Asociación para la
prevención y estudio de delitos, abusos y negligencias en informática y
comunicaciones avanzadas). Se expone en la reclamación que tras haber
accedido los reclamados por Ley de Transparencia a resoluciones dictadas por
la AEPD, se han expuesto datos de los reclamantes de una u otra forma en los
58 links que aporta.
La conducta que consiste en hacer referencia en una página web,
exponiendo datos personales del reclamante, constituye un tratamiento de
datos automatizado. El motivo de apertura del procedimiento no es otro que la
constancia del dato del DNI de reclamante expuesto en una demanda judicial,
publicada en el dominio del que es titular B.B.B. Las páginas en las que
realiza B.B.B los tratamientos se caracterizan por la expresión de la opinión
del negocio del borrado de datos por TEBORRAMOS y la faceta profesional de
las personas conectadas, entre ella el reclamante. En la reclamación se vio
que contenía parte de sus datos (su DNI) en una demanda que se interpuso a
B.B.B. y que, a los pocos días, expuso en su dominio, a través de la URL, en
su “pretendido derecho a la defensa”, y a dar información veraz. Con el fin
de expresar sus opiniones y divulgar al público la información, publica
documentos íntegros de la contraparte que en ocasiones figuran con datos como
número de teléfonos, dirección, DNI, referencias de terceros... En este caso,
se trataba de una demanda presentada contra él, figurando algunos datos
tachados, no así otros.
Si en este caso el objeto es informar del borrado de datos,
como actividad que a juicio del reclamado viola otros derechos, no es
necesario ni pertinente que se expongan ciertos datos, siendo el DNI uno de
ellos. Que B.B.B exponga un documento -como es la demanda judicial- que le es
entregado por la Administración de Justicia, y en el que figura dicho DNI,
que es expuesto en una web de la que es titular del dominio como parte de
contenido que vierte sobre TEBORRAMOS y las personas relacionadas, en este
caso de reclamante. Respecto del DNI, con independencia de que corresponda a
una persona de carácter público o una persona de carácter privado, o
profesional, se entiende que el conocimiento de este dato no es relevante a
los efectos de la finalidad del tratamiento de B.B.B., toda vez que sin el
mismo se cumple la finalidad del mismo. En este caso, se impone la
anonimización de dicho dato. La firma de un documento como el que es objeto
de difusión, un escrito privado de reclamante no precisa de asociar el DNI de
su titular por más que vaya asociado o incluido en la firma electrónica de
este, ya que suficiente es la información e identificación por el nombre y
apellidos que en otros muchos escritos ya figuran del mismo.
|
|
Arts. afectados:
|
Art.
5.1.c) RGPD (Minimización de datos)
|
|
Resolución:
|
5.000
euros
|
|
|
|
|
**********
|
|
-
Consentimiento – Telecomunicaciones -
|
|
5.000
euros por realizar llamadas comerciales no consentidas y no poder probar el
origen de los datos
|
|
PROCEDIMIENTO
|
PS/00152/2022
|
««««
|
|
El denunciante indica que ha recibido una llamada telefónica
comercial no consentida de la compañía Vodafone. No obstante, desde la
compañía Vodafone se manifiesta que, no consta en sus bases de datos de
números asociados a los colaboradores que realizan las llamadas de captación
de clientes en nombre de Vodafone, el número de teléfono desde donde
realizaron la llamada comercial en su nombre.
Localizado el número de teléfono desde donde realizaron la
llamada telefónica comercial pertenece a la compañía TECNOCUBE MARKETING S.L
y puesto en contacto con ella para que informara sobre el contenido de la
reclamación TECNOCUBE manifestó que no tiene relación contractual directa con
VODAFONE, pero sí son colaboradores de otras sociedades que si son
colaboradores de Vodafone, aunque no identifica ninguna de ellas y sin
aportar la documentación contractual necesaria que lo avale. Manifiestan que
la lista de teléfonos fue adquirida a una tercera compañía que se dedica a la
venta de bases de datos y que los adquieren “ya filtrados”, pero sin
identificar la compañía a la que adquirieron los datos personales de la
reclamante ni aportan ningún tipo de documentación contractual que corrobore
este hecho. También indican que, dichos datos son comprados “ya filtrados”
pero sin especificar a que tipo de filtros se refiere. Respecto a la relación
de llamadas realizadas al número de teléfono de la reclamante solamente
aportan las grabaciones realizadas, en las que se detallan la finalidad de
cada una de ellas, pero no aportan ningún tipo de información o documentación
que pueda identificar el origen de los datos personales de la reclamante.
|
|
Arts. afectados:
|
Art.
48.1.b) LGT (Consentimiento comunicaciones comerciales)
|
|
Resolución:
|
5.000
euros
|
|
|
|
|
**********
|
|
-
Confidencialidad – Entidades bancarias -
|
|
100.000
euros a Bankinter por un error en su web que permitió a un cliente ver los
movimientos de un tercero
|
|
PROCEDIMIENTO
|
PS/00634/2021
|
««««
|
|
Se presenta reclamación contra BANKINTER, S.A, porque al
acceder al área personal en la web de la entidad reclamada, en el apartado
correspondiente a extracto mensual, no solo figuran los movimientos de su
cuenta sino también los movimientos de otra perteneciente a un tercero. Como
consecuencia de ello, se presenta reclamación ante el Servicio de Atención al
Cliente de dicha entidad y recibe respuesta, informando del inicio de las
actuaciones oportunas sin que haya vuelto a recibir noticias al respecto,
además de no haberse subsanado la incidencia. Alega la entidad que la
incidencia fue provocada por un error a la hora de gestionar el cambio de
titularidad de la otra cuenta de la que en el pasado fue cotitular, no
actualizándose correctamente la información que aparecía en el documento de
“extracto mensual” del reclamante, para excluir aquella relativa a la otra
cuenta.
Considera la AEPD que se vulneró el deber de confidencialidad,
al posibilitar la visualización en su extracto mensual bancario, no solo los
movimientos propios de su cuenta, sino también los relativos a una tercera
persona, así como la obligación de disponer de medidas de seguridad
necesarias al producirse un incidente de seguridad que permitió dicho acceso
|
|
Arts. afectados:
|
Art.
5.1.f) RGPD (Confidencialidad); Art. 32.1. RGPD (Medidas de
seguridad)
|
|
Resolución:
|
60.000
(Art. 5.1.f RGPD); 40.000 (Art. 32.1 RGPD); 100.000 euros en total
|
|
|
|
|
**********
|
|
-
Cookies – Página Web -
|
|
Más
sanciones por mala implementación de cookies que las instala sin
consentimiento del usuario
|
|
PROCEDIMIENTO
|
PS/00213/2022
|
««««
|
|
Se denuncia por un particular el incumplimiento de la
normativa de cookies por parte de la entidad YEGUADA SENILLOSA. Si bien la
entidad indica que las deficiencias encontradas fueron subsanadas por el
proveedor de los servicios informáticos, adjuntando certificado acreditativo
del proveedor, tras investigación por parte de la AEPD, sigue observando
múltiples deficiencias en la web:
1.- Al entrar en la web por primera vez, una vez limpiado el
equipo terminal de historial de navegación y de cookies, sin aceptar cookies
ni realizar ninguna acción sobre la página web se comprueba que se utilizan
las siguientes cookies de terceros (de Google), que no son técnicas o
necesarias: 1P_JAR NID AEC CONSENT y SOCS.
2.- Existe un banner de información sobre cookies que permite
configurar las cookies. No obstante, Si se desea rechazar todas las cookies a
través de la opción <<Rechazar>>, se comprueba como la web sigue
utilizando las mismas cookies de terceros (de Google), mostradas bajo el
dominio de yeguadasenillosa.com, que no son técnicas o necesarias.
3.- Si se accede al panel de control de cookies a través del
enlace <<Ajustes>>, la web despliega una página o panel de
control comprobando que las cookies se encuentran en la opción
“desactivadas”, pero si se cliquea en la opción <<Rechazar todas>>
se comprueba como la web sigue utilizando las mismas cookies de terceros (de
Google) que no son técnicas o necesarias.
|
|
Arts. afectados:
|
Art.
22.2 LSSI (Consentimiento Cookies)
|
|
Resolución:
|
2.000
euros
|
|
|
|
|
**********
|
|
-
Información al interesado – Página Web -
|
|
2.000
euros por no informar de la política de privacidad en distintos formularios
de la página web
|
|
PROCEDIMIENTO
|
PS/00211/2022
|
««««
|
|
El reclamante manifiesta que MintServicesle está reclamando
una deuda de la parte reclamada, sobre la que obtuvo una resolución favorable
del Juzgado, en la que se declara la deuda pagada, además de condenar a la
entidad al abono de una cantidad a la parte reclamante. Meses después,
reciben de parte de la entidad MintService, representando a RapidoFinance,
requiriendo el pago de dicha deuda. En consecuencia, del presente supuesto se
desprende la falta de diligencia desplegada por la entidad en el cumplimiento
de las obligaciones impuestas por la normativa de protección de datos de
carácter personal, toda vez que trató los datos personales del reclamante sin
legitimación para ello.
|
|
Arts. afectados:
|
Art. 6.1
RPGD (Licitud del tratamiento)
|
|
Resolución:
|
2.000
euros
|
|
|
|
|
**********
|
|
-
Comunicaciones comerciales – Lista Robinson -
|
|
15.000
euros a un agente comercial por no consultar la Lista Robinson y realizar
llamadas comerciales
|
|
PROCEDIMIENTO
|
PS/00359/2022
|
««««
|
|
El reclamante denuncia la recepción de una llamada comercial
de la entidad reclamada al reclamante ofreciendo descuentos en la factura de
la luz, a pesar de estar registrada en la Lista Robinson. Asimismo, se
constata un tratamiento irregular en el tratamiento de datos personales por
parte de la entidad reclamada al tener ésta acceso a determinados datos del
reclamante que le identifican como titular del suministro, como son: nombre y
apellidos, DNI, factura, consumo y distribuidora del punto de suministro.
Junto con el escrito de reclamación aporta una grabación en la que la
interlocutora se identifica como ENERGY POWER, gestora energética de BUSINESS
POWER CONSULTORES, S.L. poniéndose de manifiesto el tratamiento de datos muy
detallados del reclamante.
Examinado el contrato de agencia suscrito con FACTOR ENERGÍA,
dentro de las obligaciones contractuales a cargo del agente se encuentra la
prohibición de realizar comunicaciones a los sujetos que consten inscritos en
un fichero actualizado de exclusión de envío de comunicaciones comerciales
(“Lista Robinson”) de acuerdo a la normativa vigente en materia de Protección
de Datos Personales, declarando el AGENTE cumplir con dicha obligación. Dado
que el AGENTE no ha podido acreditar el consentimiento del interesado en la
cesión de tales datos personales, o un interés legítimo que permita su
tratamiento, se considera un tratamiento ilegítimo de los datos, además de
una infracción por realizar llamada comercial no consentida en una línea
inscrita en una lista de exclusión publicitaria.
|
|
Arts. afectados:
|
Art. 6
RGPD (Licitud del tratamiento); Art. 48.1 b) LGT (Consentimiento
comunicaciones comerciales)
|
|
Resolución:
|
10.000
euros (Art. 6 RGPD); 5.000 euros (Art. 48.1 b LGT); 15.000 euros en total
|
|
|
|
|
**********
|
|
-
Licitud del tratamiento y DPD – Federación deportiva -
|
|
6.000
euros por publicar resoluciones sin anonimizar y no disponer de un Delegado
de Protección de Datos
|
|
PROCEDIMIENTO
|
PS/00522/2021
|
««««
|
|
El primero de los reclamantes, denuncia que la Federación
Andaluza de Esgrima ha publicado en su web varios documentos del Tribunal
Administrativo del Deporte de Andalucía (TADA) en materia de proceso
electoral. Indica el enlace y el nombre de los documentos, constatándose que
en la URL lleva a la página web de la reclamada, sección “proceso electoral”
y en “resoluciones TADA”, se aprecia la existencia de un documento en pdf,
clicando sobre ella se obtiene el documento completo en pdf. También añade
que no dispone de DPD. Se constata que figura en la web, al menos una de las
resoluciones que contiene datos de la reclamante que, aunque tachados, son
visibles al trasluz y además se mencionan en la siguiente página.
El segundo reclamante indica que la Federación Andaluza de
Esgrima publica en su web, sección resoluciones una Sentencia de la Sala de
lo Contencioso Administrativo del Tribunal Superior de Andalucía; mediante
documento PDF, de acceso libre en internet y publicación íntegra, en la que
figuran la totalidad de información de los documentos, conteniendo su nombre
y apellidos sin su consentimiento”. Igualmente, indica que no tiene DPD.
Aporta la copia de la sentencia, en la que figura la referencia a la
reclamante, y se verifica en consulta que figura expuesta íntegramente en la
web de la reclamada, sección notificaciones, resoluciones. Consta el literal
“se considera de interés público las distintas notificaciones y resoluciones
emitidas por cada una de las estructuras orgánicas de la Consejería de
Turismo y Deporte de la Junta de Andalucía”
Respecto a la publicación de resoluciones: La
exposición de datos contenidos en resoluciones administrativas y en una
sentencia en la web de la reclamada constituyen tratamientos de datos
personales, por lo que, para proceder a ello, se debe identificar una base
jurídica de tratamiento con el fin de que el tratamiento que efectúe sea
legal. En el presente supuesto, no se acredita que concurra el “interés público“
alegado para las exposiciones en la web de la reclamada, dado que se trata de
comunicaciones de resoluciones administrativas entre órganos, en cuyo régimen
no se prevé la exposición pública de las mismas, ni lo son como medio de
notificación subsidiario a los afectados, ni existe norma que habilite tal
comunicación. Además, caso de existir habilitación, los documentos expuestos
no deberían permanecer más que un tiempo concreto determinado para la
finalidad por la que se exponen, en aplicación del principio de limitación
del plazo de conservación que señala que los datos personales serán:“
mantenidos de forma que se permita la identificación de los interesados
durante no más tiempo del necesario para los fines del tratamiento de los
datos personales”, pudiendo todavía disponer la reclamada de documentos
expuestos de similares características de hace varios años.
Respecto a la designación de DPD: Es
notorio y publico por la web de la reclamada, que expide licencias deportivas
para menores, desde 14 años y ofrece otra información en su web sobre
competiciones y edades desde las que se puede practicar el deporte. La
reclamada no ha dado ninguna explicación sobre la designación y nombramiento
de la obligación impuesta por la citada disposición, de modo que desde las
reclamaciones y a lo largo de su tramitación se considera que no ha cumplido
con esta obligación.
|
|
Arts. afectados:
|
Art. 6.1
RGPD (Licitud del tratamiento); Art. 37 RGPD y 34 LOPDGDD (Designación de
DPD)
|
|
Resolución:
|
5.000
euros (Art. 6.1 RGPD); 1.000 euros (Art. 37 RGPD en relación con el 34
LOPDGDD); 6.000 euros en total
|
|
|
|
|
**********
|
|
-
Requerimiento información –
|
|
3.000
euros por no responder a los requerimientos de información de la AEPD
|
|
PROCEDIMIENTO
|
PS/00438/2022
|
««««
|
|
En el marco de las actuaciones de investigación, se remitieron
a ALPA 57 PRODUCCIONES, S.L. con NIF B13512892 (en adelante, la parte
reclamada) dos requerimientos de información para que en el plazo de diez
días hábiles presentase ante esta Agencia la información y documentación que
en ellos se señalaba. El primero de ellos fue registrado de salida en fecha 5
de mayo de 2022 mientras que el segundo se registró en fecha 14 de junio de
2022. Respecto a la información requerida, la parte reclamada no remitió respuesta
alguna a la AEPD, por lo que se considera que los hechos expuestos son
constitutivos de una infracción del artículo 83.5.e) del RGPD “no facilitar
acceso en incumplimiento del artículo 58, apartado 1”
|
|
Arts. afectados:
|
Art.
58.1 RGPD (Requerimiento información)
|
|
Resolución:
|
3.000
euros (1.800 por pago voluntario y reconocimiento de responsabilidad)
|
|
|
|
|
**********
|
|
-
Legitimación e información – Videovigilancia -
|
|
3.000
euros por disponer de cámaras que captaban audio y con cartelería incompleta
y mal colocada
|
|
PROCEDIMIENTO
|
PS/00335/2022
|
««««
|
|
La parte reclamada es responsable del sistema de videovigilancia
instalado en el establecimiento abierto al público en el que desarrolla su
actividad económica. Dispone de un cartel informativo en un lateral del
establecimiento, en su parte superior, pero el mismo se encuentra
parcialmente tapado por un aparato de aire acondicionado, por lo que no está
ubicado en un lugar suficientemente visible, ni tampoco incluye toda la
información de primera capa que debe ofrecerse a los interesados, respecto de
la identidad del responsable, la posibilidad de ejercitar los derechos
previstos en los artículos 15 a 22 del RGPD y dónde obtener más información
sobre el tratamiento de los datos personales, además de citar una normativa
no vigente.
Además, la reclamación se basa en la presunta ilicitud del
sistema de videovigilancia instalado en relación con la grabación de sonidos,
que ha sido debidamente acreditada por la parte reclamante con la aportación
de un video captado por dicho sistema en el que constan grabadas las
conversaciones de trabajadores y clientes que se encontraban en el
establecimiento del responsable. La captación de la voz tanto de los
trabajadores como de clientes de la parte reclamada para la función de
videovigilancia pretendida no está motivada ni tiene amparo legal, realizando
el tratamiento sin base de legitimación
|
|
Arts. afectados:
|
Art. 13
RGPD (Información al interesado); Art. 6 RGPD (Licitud del tratamiento)
|
|
Resolución:
|
1.000
euros (Art. 13 RGPD); 2.000 euros (Art. 6 RGPD); 3.000 euros en total
|
|
|
|
|
**********
|
|
- COVID
– Federación -
|
|
Sancionan
al FECAM por requerir pruebas de antígenos para participar en sus campeonatos
|
|
PROCEDIMIENTO
|
PS/00264/2022
|
««««
|
|
Se denuncia por el reclamante que la Federación de Deportes
para Personas con Discapacidad Intelectual de Castilla La Mancha solicita
datos médicos de participantes en sus competiciones, vinculados a la
realización de test de antígenos para detectar situaciones de Covid-19, sin
mediar un consentimiento previo y sin informar sobre el plazo de conservación
de datos.
Sobre el tratamiento de datos de salud: la
Federación aduce seguir el protocolo de Actuación dictado por el Consejo
Superior de Deportes, resultando por tanto justificada la solicitud de
información a los deportistas que se inscriban en las competiciones, además
de que en las inscripciones se firma un documento de aceptación de
condiciones de participación. No obstante, dicho protocolo "recomienda",
y no obliga a realizar dichas pruebas; además la Orden SND/344/2020 acuerda
que la competencia para determinar las medidas excepcionales en relación al
COVID corresponden a la autoridad sanitaria autonómica. Las normas dictadas
por la FECAM para la vuelta a la competición imponen la obligación de aportar
declaración responsable y remitir los datos de las pruebas diagnósticas, por
lo que no puede calificarse de "consentimiento libre", cuando no
hay alternativa, y el deportista se quedaría sin competir. El consentimiento
únicamente puede ser válido si el interesado puede elegir una opción real y
no hay ningún riesgo de engaño, intimidación, coerción o consecuencias
negativas significativas en caso de que no consienta. Si las consecuencias
del consentimiento socavan la libertad de elección de la persona, el
consentimiento no es libre. La cumplimentación de declaración responsable en
cuanto a que no se tiene la enfermedad, así como la realización de la prueba
de detección necesaria para participar en las competiciones, aparece impuesta
por la Federación, que no cumple el requisito que alega como excepción al
tratamiento de datos de salud, considerándose que infringe el artículo 9.2.)
del RGPD.
Sobre la información al interesado: La
reclamada alega que en todo momento se informa y recaba el consentimiento
para el tratamiento de los datos personales de los deportistas adscritos a la
FECAM. Esta información del tratamiento de sus datos personales se realiza a
través de ficha que es cumplimentada y firmada por los deportistas, y
remitida a FECAM. Aporta copia del escrito que se cumplimenta cuando se
solicita el alta en la Federación para ser titular de la licencia de la
Federación, en este caso un federado de 12/02/2021, con el nombre del Club
Deportivo. No obstante, no se contiene extremo alguno sobre el tratamiento
concreto de datos de salud, prueba COVID para competiciones. En consecuencia,
respecto a una finalidad especifica relacionada con la COVID 19, no ha
acreditado que informe de los extremos que debe contener la recogida de
datos.
|
|
Arts. afectados:
|
Art. 13
RGPD (Información al interesado); Art. 9.2.a) RGPD (Consentimiento datos
sensibles
|
|
Resolución:
|
4.000
euros; 2.000 euros; 6.000 euros (3.600 por pago voluntario y reconocimiento
de responsabilidad)
|
|
Anotaciones:
|
Indica la AEPD que, para una comprensión cabal del concepto de
dato de salud, hay que acudir para su interpretación a las normas
internacionales, según especifica el artículo 10 de la Constitución Española.
La Organización Mundial de la Salud en su Carta Magna definió el término la
"salud" como "el estado de completo bienestar físico, mental o
social, y no solamente la ausencia de afecciones o enfermedades".
Por su parte, el Convenio 108 del Consejo de Europa, el que
indica que su concepto abarca "las informaciones concernientes a la
salud pasada, presente y futura, física o mental, de un individuo",
"pudiendo tratarse de informaciones sobre un individuo de buena salud,
enfermo o fallecido", añadiendo que "debe entenderse que estos
datos comprenden igualmente las informaciones relativas al abuso del alcohol
o al consumo de drogas"
|
|
**********
|
|
-
Consentimiento – Comunicaciones Comerciales -
|
|
Sancionado
por enviar publicidad por correo electrónico sin el consentimiento del
interesado
|
|
PROCEDIMIENTO
|
PS/00329/2022
|
««««
|
|
La parte reclamante ha recibido información comercial desde la
dirección de correo electrónico del reclamado; después de haber solicitado en
dos ocasiones la baja en la base de datos. Estos extremos quedan acreditados
con la documentación aportada por la parte reclamante. La AEPD notifica a la
entidad reclamada el acuerdo de inicio del presente procedimiento
sancionador, pero éste no presenta alegaciones ni pruebas que contradigan los
hechos denunciados, por lo que se considera infringido el art. 21 LSSI.
|
|
Arts. afectados:
|
Art. 21
LSSI (Consentimiento Comunicaciones Comerciales)
|
|
Resolución:
|
800
euros
|
|
Anotaciones:
|
Se
aporta por el reclamante la respuesta a la solicitud con una negativa a darle
de baja: “no puedo pagar a una persona para que busque su IMPRESCINDIBLE
EMAIL y lo retire. Proceda como le de la real gana.”
|
|
**********
|
|
-
Legitimación – Telecomunicaciones -
|
|
70.000
euros a Vodafone por realizar una portabilidad fraudulenta
|
|
PROCEDIMIENTO
|
PS/00348/2020
|
««««
|
|
Los motivos en que basa la reclamación son que se tramitó una
portabilidad del teléfono desde Movistar a Vodafone. La titular de la línea,
la reclamante, advirtió a ambas compañías que se trataba de un hecho
fraudulento, ya que ella no había hecho la petición de la portabilidad, sino
que alguien había usurpado sus datos para tramitar dicha portabilidad. A
pesar de advertir de que era un hecho fraudulento en varias ocasiones, la
portabilidad se llevó a cabo. En el contrato aportado por Vodafone, se pude
constatar en el apartado de “Cambio de Titular”: Nombre, apellidos y NIF de
la reclamante (antiguo titular). Sin embargo y esto es lo esencial no consta
firma en el recuadro titulado “Firma antiguo titular.” Es decir, no consta
debidamente firmado y por lo tanto la reclamante no ha otorgado su
consentimiento.
|
|
Arts. afectados:
|
Art. 6.1
RGPD (Licitud del tratamiento)
|
|
Resolución:
|
70.000
euros (42.000 euros por pago voluntario y reconocimiento de responsabilidad)
|
|
|
|
|
**********
|
|
-
Legitimación del tratamiento – Penal -
|
|
5.000
euros por amenazar a una menor para que le siguiera enviando fotografías y
vídeos íntimos
|
|
PROCEDIMIENTO
|
PS/00107/2022
|
««««
|
|
Según se desprende de la Sentencia Nº XX/02020 del Juzgado de
Menores, el reclamado exigió a la niña, menor de edad, que le siguiera
enviando fotos y videos suyas, pero como ésta se negó, la amedrentó
diciéndole que subiría las fotos y videos que ya tenía a las redes sociales.
Pese a su oposición y negativa a que el reclamado siguiera obteniendo fotos y
videos íntimos de ella, ante el temor producido por sus amenazas, envió (…)
con imágenes suyas al reclamado. El reclamado, en relación con el
procedimiento ante la AEPD, alega múltiples cuestiones
Sobre el principio ´non bis in idem: El
reclamado fue condenado penalmente como autor de un delito de amenazas
condicionales. No obstante, para que concurra este principio, debe cumplirse
3 condiciones: Identidad subjetiva, fáctica y causal. Si bien existe
identidad de sujeto sancionado, no existe la identidad fáctica a lo que
obliga el principio de “non bis in idem”, pues en la vía penal se sancionó
una amenaza condicionada a la niña menor de edad y en el presente
procedimiento administrativo sancionador se está sancionando un tratamiento ilícito
de los datos personales de la niña., ni tampoco identidad causal, pues el
bien jurídico protegido en un delito de amenazas condicionales, en la vía
penal, podríamos definirle como el derecho a la libertad de formación de la
voluntad de la persona amenazada, mientras que el bien jurídico protegido en
la vía administrativa sería la protección de la persona en relación con el
tratamiento de sus datos personales, en este caso, las imágenes de la niña.
Sobre la inexistencia de la publicación de las imágenes o
vídeos: No se acredita que las imágenes y videos ni ningún otro dato
de carácter personal fueran difundidos a terceros, sino que fueron borrados.
Para que sea plenamente aplicable el RGPD es necesario que se efectúe un
tratamiento de los datos personales realizado por el responsable de los
mismos. No es necesaria la cesión de datos a un tercero: la mera recogida, el
registro y la conservación de las imágenes de la niña, menor de edad, hecha
por el reclamado son causa suficiente para la aplicación del RGPD.
Sobre el consentimiento de la menor y la utilización ilegítima
por parte de la menor de las redes sociales:
Indica el reclamado que no se reportan, activan o controlan los padres Io que
hace su hija menor de 13 años con un móvil. En el presente procedimiento no
se está valorando el grado de cumplimiento de las redes sociales (WhatsApp o
Instagram), en el control parental de los mismo. En este procedimiento se ha
valorado el grado de licitud que se ha producido en el tratamiento de los
datos personales de la niña, menor de edad, por parte del reclamado.
Sobre el alcance del daño psicológico o moral sufrido por la
menor: No consta acreditado daño psicológico o moral en el
procedimiento penal tampoco consta existencia de responsabilidad civil
atribuible al reclamado. A este respecto, la Agencia indica que no es
competente para valorar el grado de daño psicológico o moral sufrido por las
personas a las que han tratado sus datos personales sin su consentimiento.
|
|
Arts. afectados:
|
Art. 6.1
RGPD (Licitud del tratamiento)
|
|
Resolución:
|
5.000
euros
|
|
|
|
|
**********
|
|
-
Confidencialidad – Correo electrónico -
|
|
Más
sanciones por envío de correos sin copia oculta: 3.500 euros
|
|
PROCEDIMIENTO
|
PS/00404/2022
|
««««
|
|
Según se ha podido constatar, el reclamante recibió un correo
electrónico enviado el día 02/06/21, cuyo titular es la entidad CASA 7
PERSONAL SHOPPER, S.L, en el que se podía leer la dirección de otros (…)
destinatarios, que estaban sin ocultar. Esto es, el envío se había realizado
sin utilizar la funcionalidad CCO del correo electrónico, lo que posibilitó
que todos los destinatarios tuvieran acceso a la dirección de correo de los
demás. Al remitir un correo electrónico sin utilizar la opción de copia oculta
ha vulnerado la confidencialidad en el tratamiento de los datos de carácter
personal recogido en el artículo 5.1.f) RGPD, pues de este modo, la
reclamante tuvo acceso a las direcciones de correo electrónico del resto de
destinatarios. Asimismo, está incumpliendo su obligación de aplicar las
medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado en el tratamiento de los datos personales recogido en el
artículo 32 RGPD.
|
|
Arts. afectados:
|
Art.
5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)
|
|
Resolución:
|
2.000
euros(Art. 5.1.f RGPD); 1.500 euros (Art. 32 RGPD); 3.500 euros en total
|
|
|
|
