Noticias \ RSM20230208 - Resoluciones Relevantes


Noticias

RESOLUCIONES RELEVANTES 09/01/2023 - 03/02/2023

Licitud, Confidencialidad, Minimización de datos, Datos de salud, Información crediticia, Seguridad del tratamiento, Lista Robinson, Datos sensibles, Información al interesado, Cartelería, Evaluación de Impacto, Nulidad de procedimiento...

*

“La AEPD continúa tumbando sistemas de control horario por falta de una adecuada Evaluación de Impacto"

(ABL)

- Licitud – Laboral -  

Se archiva procedimiento contra empresa que incluyó trabajadores en grupos WhatsApp sin consentimiento

PROCEDIMIENTO

AI/00050/2022 

La reclamación se concreta en la creación de dos grupos de WhatsApp, por parte de la parte reclamada, en el que se ha incluido a la parte reclamante sin su consentimiento. En los grupos se publican datos relativos a las rutas de reparto, las personas que la realizan, las horas, la ubicación de las furgonetas al terminar la jornada laboral y diversa información laboral. Todos los integrantes de los grupos tienen acceso a esta información de los demás compañeros.

La legitimación para el tratamiento de los datos personales puede encontrarse en cualquiera de los apartados señalados en el apartado 1 del artículo 6 del RGPD referenciado. En el ámbito de las relaciones laborales, el tratamiento de los datos personales se basa jurídicamente, de forma principal, en la ejecución del contrato de trabajo, aunque ciertos datos también podrán tratarse para cumplir las exigencias impuestas por la ley o por un convenio colectivo.

El tratamiento de los datos personales debe respetar los principios establecidos en el artículo 5 del RGPD referenciado. En este supuesto son de destacar del principio de minimización de datos, debiendo ser los adecuados, pertinentes y limitados a lo necesario en relación con los fines perseguidos; y el de confidencialidad, que no vayan a ser accedidos por personas ajenas al grupo de trabajo.

En el presente caso, los datos objeto de tratamiento son los mínimos necesarios para la organización del trabajo particular llevado a cabo por la parte reclamada, que ha informado a los trabajadores de la finalidad del tratamiento en los grupos de WhatsApp creados con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto y manteniendo la confidencialidad sobre ellos.

Arts. afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

Archivo del procedimiento

 

 

- Confidencialidad – Telecomunicaciones -  

70.000 € a Orange por permitir el duplicado fraudulento de la tarjeta SIM

PROCEDIMIENTO

PS/00046/2021

Se presenta reclamación contra SIMYO (parte integrante del Grupo ORANGE) tras expedirse un duplicado de la tarjeta SIM de la línea del teléfono del reclamante, a favor de una tercera persona distinta a la titular de la línea y quedarse sin servicio. Indica el reclamante que recibe en su correo electrónico particular un email de ING DIRECT advirtiendo la contratación de un préstamo de 43.000 €. Minutos después, recibe un otro correo en el que, desde esta cuenta nómina se realiza una transferencia por importe de 10.000’00 € en favor de un tercero.

De la instrucción del procedimiento, se constató la implementación de un modelo más eficaz de evitación del riesgo de suplantación de identidad, la revisión, refuerzo y mejora de las medidas de seguridad aplicadas en los distintos canales tendentes a asegurar el procedimiento de identificación y entrega de la tarjeta SIM, con el fin de evitar la materialización de los fraudes. También, la reacción inmediata frente a los hechos descritos y la capacidad de la operadora para demostrar su cumplimiento. Ahora bien, ha quedado probado que las medidas implantadas por SIMYO eran insuficientes y no sólo porque se haya producido su superación y la cesión de datos personales a un tercero. El procedimiento de duplicado de SIM debería incluir la asignación de la SIM al cliente o línea cuando ésta es enviada o entregada, de tal forma que durante la activación solo se pueda activar una SIM cuando realmente haya sido entregada al cliente en cuestión. Los daños o perjuicios ocasionados son provocados por su propia negligencia, puesto que si hubiera dispuesto de medidas de seguridad adecuadas, tal acceso por terceros no se hubiera producido y el delito posterior no se habría materializado.

Arts. afectados:

Art. 5.1.f) (Confidencialidad)

Resolución:

70.000 €

Anotaciones:

Tanto los datos que se tratan para emitir un duplicado de tarjeta SIM como la tarjeta SIM (Subscriber Identity Module) que identifica de forma inequívoca y unívoca al abonado en la red, son datos de carácter personal, debiendo su tratamiento estar sujeto a la normativa de protección de datos.

- Licitud – Laboral -  

2.000 € al empleador por comunicar a una Comunidad de Propietarios los datos de contacto de una empleada para que la incluyeran en un grupo de WhatsApp sin su consentimiento

PROCEDIMIENTO

PS/00270/2022

La reclamante manifiesta que dos vocales de la Comunidad donde prestaba sus servicios, sin previo aviso y sin su consentimiento, la incluyeron en un grupo de WhatsApp que tenía por objeto el seguimiento de su actividad laboral, ordenándole que enviara imágenes de las tareas realizadas al finalizar cada jornada laboral. La reclamante contactó con su empleador para manifestar su negativa a que se cedieran a terceros sus datos personales, comunicándole este que tenía la obligación de enviar las imágenes de las tareas de limpieza desempeñadas al referido grupo de WhatsApp, lo que ocasiono, finalmente, su despido. Aporta carta de dirigida a la Comunidad de Propietarios reclamada ejercitando derecho de acceso a sus datos personales que obran en poder de la citada Comunidad, sin que hubiera obtenido respuesta alguna.

Respecto a la legitimación del tratamiento, además del consentimiento, existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de contar con la autorización de su titular, en particular, cuando sea necesario para la ejecución de un contrato en el que el afectado es parte. No obstante, no se acredita base de legitimación alguna para el tratamiento de los datos de la reclamante, en relación con el número de telefonía móvil, que fue utilizado por la Comunidad de Propietarios donde prestaba sus servicios, para ser incluida en un grupo de WhatsApp.

Por otor lado, en relación con el derecho de acceso, la infracción del derecho de acceso trae causa porque de la documentación aportada se evidencia que el reclamante ejercitó el derecho de acceso ante la Comunidad de Propietarios sin que conste que se ha contestado a la reclamante.

Arts. afectados:

Art. 6.1.RGPD (Legitimación); Art. 15 RGPD (Derecho de acceso)

Resolución:

1.500 € (Art. 6.1. RGPD); 500 € (Art. 15 RGPD); 2.000 € en total

Anotaciones:

Este procedimiento está vinculado al PS/00269/2022, en el que se sanciona a la Comunidad de Propietarios con idénticos fundamentos y cantidades

- Minimización de datos – Videovigilancia -  

Sancionado por colocar una cámara aunque no grabe por enfocar a la vivienda colindante

PROCEDIMIENTO

PS/00570/2021

La parte reclamante manifiesta en su reclamación que el vecino de la finca colindante ha instalado una cámara de videovigilancia (360 grados) en su vivienda que, por su ubicación y orientación, es susceptible de captar la vivienda de la parte reclamante. Aporta imágenes de la ubicación de la cámara, conforme a las cuales, la cámara está ubicada a una altura que pudiera captar la vivienda de la parte reclamante. Se adjunta reportaje fotográfico de la ubicación de la cámara y las imágenes que podría captar de la vivienda de la parte reclamante.

La parte reclamada afirma que la cámara que tiene instalada no graba, sino que sólo es de vista a través de una aplicación. Si las imágenes pueden ser vistas desde una aplicación, con o sin grabación de las imágenes, existe un tratamiento de datos de carácter personal. Tampoco niega que esa vista incluya imágenes de la vivienda de la parte reclamante y si capta la vivienda, también puede captar imágenes de las personas que residen allí.

Arts. afectados:

Art. 5.1.c) (Minimización de datos)

Resolución:

300 €

 

 

- Datos de Salud – Penal -  

El Tribunal Supremo anula la condena a un hombre al considerar que la Guardia Civil accedió sin autorización judicial a datos médicos utilizados en la investigación

PROCEDIMIENTO

STS 4754/2022

La Sala de lo Penal ha acordado la absolución por falta de pruebas de un hombre condenado a 9 años de prisión por delitos de robo y lesiones al considerar que la Guardia Civil accedió, sin su consentimiento y sin autorización judicial, a datos médicos, de donde extrajo la identidad y el número de teléfono que permitió vincularlo con los hechos por los que fue condenado. El Tribunal Supremo, en su sentencia, ponencia del magistrado Pablo Llarena, proclama la necesidad de contar con autorización del paciente o con autorización judicial para recabar datos médicos no anonimizados que pretendan ser utilizados en una investigación delictiva.

Desde un plano de legalidad ordinaria, ninguna objeción se establece a que los datos personales, incluso los médicos cuando estén anonimizados, puedan ser cedidos por los centros sanitarios para una investigación policial, incluso más allá de una investigación concreta y específica. Pero precisa que la ley interna española, de conformidad con las posibilidades otorgadas por el ordenamiento comunitario, impone que exista una autorización judicial y que esté específicamente dirigida a un procedimiento de investigación concreto, cuando se pretendan los datos clínico asistenciales correspondientes a un determinado e identificado individuo.

Arts. afectados:

Disposición transitoria cuarta LOPDGDD (Tratamientos sometidos a la Directiva 2016/680); Art. 22.2 y 3 LOPD 15/99 (Ficheros de las Fuerzas y Cuerpos de Seguridad)

Resolución:

Estimación del recurso y anulación de la condena

 

 

- Seguridad del tratamiento – Sector energético -  

La falta de medidas de seguridad a la hora de modificar un contrato acaba con sanción de 50.000 € a Endesa

PROCEDIMIENTO

PS/00230/2022

El reclamante manifiesta que, en fecha 16 de diciembre de 2021, recibió en su domicilio la factura del contrato que mantiene desde hace años con la entidad reclamada, a nombre de una tercera persona (su sobrina) y que, tras contactar con la reclamada, se le informó que un tercero había cambiado la titularidad del contrato, sin su consentimiento. Expone Endesa que el canal de venta de Endesa Energía “Agentes Comerciales” contactó telefónicamente con C.C.C., a través del proveedor Energía Andalucía Oriental, S.L.U. (en adelante, “EAO”), quien, bajo un contrato de prestación de servicios de telemarketing y actuando en calidad de encargado del tratamiento, realiza llamadas de captación a potenciales clientes que previamente han prestado su consentimiento expreso para ello, mediante la oferta de productos y servicios de Endesa Energía y Endesa X.

No obstante, se reconoce un comportamiento anómalo por parte de la empleada de Endesa ya que, según ha podido averiguarse, la operadora no aportó el SMS correcto con la confirmación de contratación de C.C.C., puesto que no se correspondía con el número de teléfono confirmado en la llamada por C.C.C.. Por tanto, la operadora llevó a cabo un cambio de titularidad y de compañía comercializadora, en un punto de suministro del que no era titular la persona en cuyo nombre se dio de alta el contrato y, aportando un SMS certificado no válido, como aceptación de la contratación. .

En el caso concreto, se determina que fallaron las medidas de seguridad al tramitar la modificación del contrato sin comprobar adecuadamente la personalidad de quien solicitaba el cambio, logrando llevar a cabo un cambio de titularidad y de compañía comercializadora, en un punto de suministro del que no era titular la persona en cuyo nombre se dio de alta el contrato, aportando además un SMS certificado no válido, como aceptación de la contratación.

Arts. afectados:

Art. 32 RGPD (Medidas de seguridad)

Resolución:

50.000 € (40.000 por pago voluntario)

 

 

- WhatsApp – Laboral -  

5.000 € por remitir por WhatsApp una notificación de embargo a un familiar del afectado

PROCEDIMIENTO

PS/00469/2022

La parte reclamante manifiesta que fue trabajadora de SERVICIOS INTEGRALES DEL HOGAR TENERIFE y que, tras desvincularse de la misma, en la sede dicha entidad se recibió una notificación de embargo de la nómina de la parte reclamante, habiendo difundido dicha información, mediante la aplicación de mensajería móvil WhatsApp a un familiar de la parte reclamante, a quien una persona de la entidad reclamada remitió imagen de dicha notificación.

La empresa indica que la persona que envió un mensaje, lo hizo por WhatsApp a un familiar de la reclamante desde su teléfono móvil particular que contenía un documento de oficio de embargo dictado por

el Juzgado. Dicha trabajadora ha sido avisada, por escrito, informándole de las posibles medidas disciplinarias. A este respecto, se indica que la trabajadora que envió el mensaje es un autónomo colaborador de la entidad reclamada, y tenía acceso a toda la información relativa a los empleados, ya que entre sus funciones estaba la gestión del personal; no obstante, esto no afecta a la hora de determinar al Responsable del tratamiento, que sigue siendo la empresa, con independencia del carácter de la trabajadora. En este caso, los datos personales han sido tratados sin haberse acreditado ningún tipo de legitimación y la parte reclamada no puede acreditar que el tratamiento de los datos de la parte reclamante se justifique en alguna de las bases de legitimación del art. 6.1 del RGPD

Arts. afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

5.000 € (3.000 € por pago voluntario y reconocimiento de responsabilidad)

 

 

- Datos sensibles – Laboral -  

50.000 € a empresa de selección de personal por recabar datos sensibles en un proceso de selección

PROCEDIMIENTO

PS/00214/2022

La reclamación que ha motivado las presentes actuaciones cuestiona el tratamiento de datos personales relativos a etnia y discapacidad realizado por THOMAS INTERNACIONAL SYSTEMS durante el proceso de selección de candidatos a un puesto de trabajo ofertado por la entidad Agroxarxa.

El proceso de selección de personal comienza con la publicación, por esta entidad, de y con el siguiente examen del perfil de los candidatos que se han interesado por el puesto para seleccionar las personas finalistas, a las que se pide que completen una “encuesta de comportamiento”. Esta “encuesta de comportamiento” se realiza a través de la plataforma de la entidad THOMAS INTERNACIONAL SYSTEMS. Se trata de unas pruebas psicológicas que valoran la inteligencia, personalidad, inteligencia emocional y el potencial de los candidatos, el cual incluye interrogantes relativos a sexo, año de nacimiento, discapacidad, etnia, idioma materno, nivel de estudios, estado laboral actual, sector en el que trabaja actualmente, función actual, nivel actual de mando, nivel de felicidad en el puesto, calificación de su trabajo, descripción de la discapacidad y consideración sobre el liderazgo. Como resultado de esta actuación, THOMAS INTERNACIONAL SYSTEMS remite a Agroxarxa un informe sobre el perfil de competencias y habilidades de la persona candidata. El proceso de selección termina con una entrevista final que realiza Agroxarxa.

En el presente caso, Agroxarxa es responsable de los tratamientos de datos personales que tienen causa en el proceso de selección de personal en el que participó la parte reclamante; además de haber formalizado el correspondiente encargo con THOMAS INTERNACIONAL SYSTEMS, quien actúa en nombre y por cuenta de Agroxarxa.

Sin embargo, las actuaciones han puesto de manifiesto que THOMAS INTERNACIONAL SYSTEMS realiza, en su propio beneficio, tratamiento de datos personales de los candidatos al puesto ofertado por Agroxarxa o, en general, por cualquier otro cliente. Al realizar las encuestas de comportamiento encargadas por Agroxarxa, la entidad THOMAS INTERNACIONAL SYSTEMS incluye un “Cuestionario” para que sea cumplimentado por los aspirantes al puesto de trabajo en el que se solicita los datos anteriormente indicados. Es THOMAS INTERNACIONAL SYSTEMS quien decide la recogida de estos datos personales y su utilización con finalidades propias (fines de investigación y mejora de las evaluaciones), en su propio beneficio. Es la entidad que determina por qué (la finalidad) y cómo (los medios) se tratan tales datos personales para alcanzar el propósito que se pretende. También se deduce esta condición de responsable del tratamiento de la respuesta facilitada por THOMAS INTERNACIONAL SYSTEMS a los Servicios de Inspección de esta Agencia, cuando señala que los datos de origen étnico y discapacidad no forman parte de la evaluación psicométrica ni afectan a los resultados obtenidos por el candidato en su evaluación; y que dicha información se usa por el equipo de “Thomas International Sciences” para asegurar que sus herramientas de evaluación psicométrica se diseñan de tal forma que no discriminen a las personas evaluadas.

Arts. afectados:

Art. 9 RGPD (Tratamiento de Datos sensibles)

Resolución:

50.000 € (40.000 € por pago voluntario)

 

 

- Licitud – Telecomunicaciones -  

Nuevas sanciones por SIM Swapping: 70.000 € a Vodafone

PROCEDIMIENTO

PS/00434/2022

La parte reclamante manifiesta que el día 9 de mayo de 2022 la parte reclamada facilitó, sin su consentimiento, un duplicado de su tarjeta SIM a un tercero que no es el titular de la línea, lo que ha propiciado que dicho tercero, valiéndose de los códigos de confirmación bancaria recibidos en la línea telefónica afectada, haya accedido a su cuenta bancaria realizando cargos no consentidos.

tanto los datos que se tratan para emitir un duplicado de tarjeta SIM como la tarjeta SIM (Subscriber Identity Module) que identifica de forma inequívoca y unívoca al abonado en la red, son datos de carácter personal, debiendo su tratamiento estar sujeto a la normativa de protección de datos.

La operadora deberá ser capaz de acreditar que para este caso concreto haya seguido los protocolos de verificación implementados a la hora de solicitar un duplicado de la tarjeta SIM. Pues bien, el resultado fue que la reclamada expidió la tarjeta SIM a un tercero que no era el titular de la línea. A la vista de lo anterior, Vodafone no logra acreditar que se haya seguido ese procedimiento.

En la explicación aportada por la parte reclamada, no se apunta a cuál pudo haber sido la causa concreta que desembocó en la emisión del duplicado, más allá de unas explicaciones genéricas. En todo caso, Vodafone no ha sido capaz de acreditar que para este supuesto se siguiera el procedimiento implantado por ella misma, ya que, de haberlo hecho, se debió haber producido la denegación del duplicado de la tarjeta SIM.

Arts. afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

70.000 € (56.000 € por reconocimiento de responsabilidad)

 

 

- Información al interesado – Detectives Privados -  

2.000 € por no informar al interesado del tratamiento de sus datos personales

PROCEDIMIENTO

PS/00357/2022

La parte reclamante y la parte reclamada suscribieron un contrato según el cual la parte reclamante contrataba los servicios de un detective privado, que se corresponde con la persona de la parte reclamada, a fin de llevar a cabo una investigación de índole familiar. Junto a la reclamación aporta el contrato suscrito (no constando en el mismo ninguna cláusula de protección de datos) y un correo electrónico remitido por la parte reclamante a la dirección de correo electrónico, al que se anexó el fichero denominado "requerimiento.pdf". En el contrato firmado figura sobreimpresa la dirección web del reclamado. En esta página web aparece un formulario de contacto en el que se solicitan datos personales, y no se especifica la política de privacidad aplicable.

En el presente caso, de la reclamación presentada por la parte reclamante se infiere que no fue informada del modo en el que serían tratados sus datos personales. Asimismo, se comprueba que en la página web hay al menos un formulario de recogida de datos personales sin que figure información alguna relativa a la política de privacidad aplicable.

Arts. afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

2.000 €

 

 

- Lista Robinson – Llamadas Comerciales -  

30.000 € por realizar múltiples llamadas a un número inscrito en la Lista Robinson

PROCEDIMIENTO

PS/00223/2022

La reclamación se presenta por la recepción de llamadas comerciales no consentidas en su teléfono fijo realizadas en nombre de Vodafone España S.A, cuando su operador de telefonía es Jazztel. Además, expone que está inscrito en el servicio de Lista Robinson de Adigital, y de manifestar en las llamadas que no deseaba seguir recibiendo las mismas.

Entre las llamadas entrantes, se identifica como titular a Casmar Telecom S.L., quien tenía un contrato para la promoción de productos de Vodafone en el momento en que se produjeron las llamadas. Casmar indica que Vodafone obliga a todos los colaboradores que tienen la consideración de Call Center a suscribir un contrato con la empresa OASIP que es la suministradora de las soluciones de Voz IP y filtrado a través de los ficheros de exclusión publicitaria. Sin dicho contrato la compañía telefónica no autoriza la subcontratación de los tratamientos de televenta.

Sin embargo, Casmar indica que no tiene ningún contrato firmado con la empresa Oasip, son los subagentes quienes formalizan el contrato de prestación de servicios directamente con dicha empresa. Y Oasip aporta contrato de prestación de los servicios de tráfico telefónico y centralita virtual entre Oasip y Casmar con fecha de firma del 1 de noviembre de 2019. Oasip manifiesta en octubre de 2020 que el titular de las algunas de las líneas telefónicas reseñadas era CASMAR; mientras que ADIGITAL certifica que el número de teléfono de la parte reclamante está activo en la Lista Robinson en el canal de llamadas telefónicas desde enero de 2020.

En consecuencia, Casmar ha realizado llamadas en nombre de Vodafone al número que estaba inscrito en la fecha de la llamada en la Lista Robinson, careciendo entonces de legitimación para efectuar dichas llamadas.

Arts. afectados:

Art 48.1.b) LGT (Oposición a comunicaciones comerciales)

Resolución:

30.000 €

 

 

- Cartelería y Minimización de datos – Videovigilancia -  

Más sanciones a empresas por carecer de adecuada cartelería de videovigilancia y enfocar a la vía pública

PROCEDIMIENTO

PS/00425/2022

El reclamante manifiesta que la entidad TECNO MOTOR LA MUELA es responsable de dos cámaras instaladas en la esquina de la fachada de un inmueble, que se encuentran orientadas a la vía pública, sin que conste autorización administrativa previa para ello, aportando imágenes de la ubicación de las cámaras. Por su parte, TECNO MOTOR aporta contrato suscrito con la empresa de seguridad Prosegur, captación de las cámaras de seguridad en la que se capta la fachada y ampliamente la vía pública, y fotografía del cartel en interior del taller, en el que identifica al titular y dirección; pero en los carteles exteriores, ubicados uno debajo de cada cámara, los datos están o borrados o borrosos.

Arts. afectados:

Art. 5.1 c)  RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado)

Resolución:

300 € cada infracción; 600 € en total (360 por pago voluntario y reconocimiento de responsabilidad)

 

 

- Licitud – Redes Sociales -  

5.000 € por publicar un video en redes sociales sin consentimiento de los padres

PROCEDIMIENTO

PS/00497/2022

La afectada manifiesta ser la madre de una niña que denuncia que en los perfiles de Facebook e Instagram de uno de los clubes de CASAL DE L'ESPLUGA DE FRANCOLÍ contra el que reclama se publicó un vídeo que muestra un momento de un partido disputado entre ese equipo y el de su hija. En las imágenes se ve a la hija de la reclamante, que dice que no cuentan con autorización para usar las imágenes de la menor y, que con el vídeo, usado para mostrar su disconformidad con una decisión arbitral, se atenta contra la honra y reputación de la niña.

En el presente caso, no consta acreditada base de legitimación alguna para el tratamiento de los datos de la hija menor de la reclamante, en relación con la publicación en los perfiles de Facebook e Instagram del reclamado, de un video que capta las imágenes del transcurso de un partido donde participaba la misma.

Arts. afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

5.000 €

 

 

- Evaluaciones de Impacto – Administraciones Públicas -  

La AEPD continúa tumbando sistemas de control horario por falta de una adecuada EIPD

PROCEDIMIENTO

ps/00441/2021

La Consejería de Sanidad de la Junta de Comunidades de Castilla-La Mancha indica que el sistema de control horario empleado ha sido el fichaje mediante comprobación de huella digital. Alude a la normativa vigente en el momento en que se adoptó esa modalidad de tratamiento, la Ley Orgánica 15/1999, que entiende de aplicación cuando se instaura el sistema, habilitándole el artículo 6 de dicha ley a efectuar dicho tratamiento, y cuyo fichero se convirtió en un tratamiento que forma parte del RAT. Asimismo, arguye que el artículo 35.1 del RGPD cuya vulneración se imputa prevé que la EIPD sea antes del tratamiento y el principio de legalidad comporta la necesidad de predeterminación normativa de las conductas ilícitas y de sus sanciones.

Por su parte, la AEPD indica que se hace uso de un sistema de control horario a datos biométricos que forman parte de la identidad física, que no cambia con el transcurso del tiempo, y que precisa por parte de su titular, el empleado, de una colaboración activa para inscribir sus datos y acceder cada vez que acuda al centro de trabajo colocando el dedo en el terminal de lectura, permitiendo que partes de sus órganos se sometan a las operaciones necesarias para el funcionamiento del sistema. Asimismo, como consecuencias del tratamiento el afectado puede sufrir repercusiones en sus derechos al condicionarse decisiones automatizadas producto del uso del sistema de control que pueden afectar al empleado, por el control de las deducciones de haberes.

En este sentido, el RGPD no requiere que se realice una EIPD para cada operación de tratamiento que pueda entrañar riesgos para los derechos y libertades de las personas físicas. La realización de una EIPD es únicamente obligatoria cuando el tratamiento “entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas”. Si bien es posible que las actividades ordinarias de control horario no entrañen probablemente un alto riesgo para los derechos y libertades de los interesados, cuando se introducen nuevas tecnologías y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resulta necesaria visto el tiempo transcurrido desde el tratamiento inicial, debe establecerse esta obligación. El riesgo surge tanto por la propia existencia del tratamiento, como por las dimensiones técnicas y organizativas del mismo. El riesgo surge por los fines del tratamiento y su naturaleza, y también por su alcance y el contexto en el que se desenvuelve. La complejidad del proceso de gestión de riesgo ha de ajustarse, no al tamaño de la entidad, la disponibilidad de recursos, la especialidad o sector de la misma, sino al posible impacto de la actividad de tratamiento sobre los interesados y a la propia dificultad del tratamiento.

En el caso de un sistema de huella biométrico, se trata de un sistema de identificación muy intrusivo para los derechos y libertades fundamentales de las personas físicas, entre otras circunstancias por el funcionamiento a través de sistemas de inteligencia artificial que implementan algoritmos para diseñar y leer la plantilla biométrica, puesto en relación con la deficiencia en las normas de fabricación de sistemas homologados y certificados del software de uso, añadido a la extensión e interoperabilidad de uso de estos sistemas. La implantación del sistema por la reclamada en su día, bajo la vigencia de la LOPD 15/99, sin que haya sufrido ningún cambio tecnológico ni funcional, no tiene porque significar sin mas que ha sido legitimado mientras se ha estado usando, sin haber tenido oportunidad de pronunciarse la autoridad supervisora sobre si cumple los elementos que tiene que completar este tipo de tratamientos. La reclamada no contempló los diversos y variados elementos que se han señalado en este apartado en su valoración de riesgos, y ha manifestado que no existe riesgo o este es aceptable, debiendo estos elementos formar parte de la citada evaluación de impacto.

Arts. afectados:

Art. 35 RGPD (Evaluación de Impacto)

Resolución:

Apercibimiento (Art. 77 LOPDGDD)

Limitación temporal o definitiva del tratamiento del sistema de control horario mediante la huella dactilar, en tanto no disponga de una EIPD del tratamiento válida

Anotaciones:

Indica la AEPD que el tratamiento biométrico presenta, entre otros, los siguientes riesgos:

- El tamaño (cantidad de información) de la plantilla biométrica es crucial, pues debe ser lo suficientemente grande para gestionar la seguridad (evitando solapamientos entre distintos datos biométricos o sustituciones de identidad), y no demasiado para evitar los riesgos de reconstrucción de dichos datos

- Los riesgos que conlleva la utilización de datos biométricos para fines de identificación en grandes bases de datos centralizadas, dadas las consecuencias potencialmente perjudiciales parar las personas afectadas.

- Toda pérdida de las cualidades de integridad, confidencialidad y disponibilidad con respecto a las bases de datos sería perjudicial para cualquier aplicación futura basada en la información contenida en dichas bases de datos, y causaría asimismo un daño irreparable a los interesados (por ejemplo, podría dar lugar a robo de identidad)

- La transferencia de la información contenida en la base de datos.

- La identificación a través de la huella no siempre es correcta, y debe incluir un análisis de los errores que se pueden producir en su uso (medidores de evaluación del rendimiento, tasa de falsa aceptación/ probabilidad de que un sistema biométrico identifique incorrectamente a un individuo o no rechace a un individuo que no pertenece al grupo, y tasa de falso rechazo o falso negativo)

-Deben adoptarse medidas de seguridad con motivo del tratamiento de datos biométricos (almacenamiento, transmisión, extracción de características y comparación, etc.) y sobre todo si el responsable del tratamiento transmite esos datos a través de Internet.

- Los sistemas biométricos relativos a características físicas que no dejan rastro o que  no dependen de la memorización de los datos de personas distintas del interesado crean menos riesgos.

- El almacenamiento centralizado de datos biométricos incrementa asimismo el riesgo del uso de datos biométricos como llave para interconectar distintas bases de datos

- Riesgos evidentes si la tecnología empleada no garantiza de manera suficiente que la plantilla obtenida a partir de los datos biométricos no coincidirá con la empleada en otros sistemas similares.

- Procedimiento Judicial – Nulidad -  

La Audiencia Nacional anula una sanción a Línea Directa por no ser responsable del envío de publicidad

PROCEDIMIENTO

SAN 33/2023

Se sancionó a LINEA DIRECTA por no acreditar documentalmente que el denunciante hubiera otorgado su consentimiento para la recepción de correos electrónicos con publicidad de Línea Directa Aseguradora, S.A., y pese a ello, se remitió un email de publicidad de Línea Directa Aseguradora, S.A. con enlace a la web propia de dicha entidad, para dar de alta un seguro, a pesar a no tener constancia de estar en relación, o tener algún servicio, en el pasado o presente con la mencionada entidad aseguradora.

En este caso, la publicidad que llegó al denunciante a través de lo que se conoce redes de afiliación. Dichas redes de afiliación son plataformas que actúan como intermediario entre los afiliados (creadores de contenido) y los anunciantes (quieren ser anunciados). Los anunciantes establecen sus programas de afiliación en una red de afiliación y los creadores de contenido buscan en la red programas que quieran promocionar. La red de afiliación actúa como regulador al mismo tiempo para ambos anunciante y afiliado. LINEA DIRECTA suscribió con Starcom Mediavest Group Iberia S.L. un programa de afiliación. A través de la plataforma tecnológica proporcionada al efecto por Starcom, Línea Directa, como anunciante, remitiría las creatividades de los productos y servicios que quiera promocionar. Y, en el apartado 10 del citado contrato referente a la Protección de datos personales, se dice: "LINEA DIRECTA no tendrá acceso a los datos personales de los ficheros titularidad de STARCOM o de los Afiliados". Es Starcom, como administrador de la red de afiliación, el que debe respetar y velar porque los afiliados respeten la normativa vigente en materia de Protección de Datos Personales.

Por su parte, STARCOM manifestó que dentro de los soportes que utilizan su plataforma se encuentra la mercantil denominada CLICKPOINT MARKETING S.L.U., quien a su a vez puede suscribir acuerdos con terceros propietarios de bases de datos (p.e. LA ROCA NETWORKS, S.L), para utilizar sus registros en las campañas activadas por dicho soporte, en cuyo caso, deberá mantener la debida diligencia con respecto al cumplimiento de la normativa de protección de datos por parte de dichos terceros. Los anunciantes no tienen ningún tipo de vínculo o relación con dichos usuarios y desconocen cuáles de dichos usuarios serán a los que el soporte remita dichas comunicaciones

En consecuencia, no cabe apreciar ninguna infracción en materia de protección de datos por parte de LINEA DIRECTA, habiendo enviado la entidad La Roca Networks, S.L., el correo publicitario al denunciante, y es dicha entidad la que tenía que haber recabado el consentimiento para el tratamiento de sus datos personales. Y, en este sentido, se sancionó a dicha entidad en el procedimiento sancionador PS/00080/2019

Arts. afectados:

 

Resolución:

Nulidad de la sanción de la AEPD

Anotaciones:

Indica la Audiencia Nacional que "El anunciante es el dueño de una marca, empresa u organización donde ofrece productos o servicios; es la persona que necesita, por lo general, que los afiliados den a conocer el producto, aumente la presencia de la marca, y por supuesto aumente la venta. Mientras que el afiliado es el administrador web, blog o cuentas de redes sociales, donde afilia una marca; promocionando o recomendado la adquisición o uso de un producto o servicio, esto con la finalidad y objetivo de ganar una comisión por ello. Y, una plataforma de afiliación es la que permite conectar afiliado con anunciantes, facilitando el canal de comunicación y el cumplimiento con lo acordado por ambas partes."

- Cartelería y Minimización de datos – Videovigilancia -  

La AEPD mantiene las sanciones a pesar de haber adoptado las medidas necesarias para adecuarse a la normativa

PROCEDIMIENTO

PS/00026/2022

Se denuncia la instalación de una cámara de videovigilancia en la fachada de su vivienda que estaría enfocando hacia la vía pública, además de carecer de cartelería informativa de videovigilancia. El responsable del sistema A.A.A. niega que el dispositivo capte imágenes de la vía pública, pues solo graba imágenes “dirigidas al punto de acceso a la vivienda (donde ha sufrido varios hechos denunciados ante las autoridades), no afectando a espacios públicos circundantes, edificios contiguos y/o vehículos distintos de los que acceden al espacio vigilado y en su caso sería una parte mínima e imprescindible que se captaría de manera inevitable”. Asimismo, manifiesta que existen 3 carteles informativos, aportando reportaje fotográfico en respuesta a la solicitud de la AEPD. No obstante, se considera que la cámara en cuestión dispone de máscara de privacidad en el margen derecho, pero continúa captando toda la zona de paso o callejón, y que la información que se aprecia en dos de los carteles no es del todo precisa.

Ante la respuesta de la AEPD, el denunciado procede a realizar las tareas necesarias para la adecuación, ampliando el área enmascarada limita a captar imágenes de la puerta de entrada a la vivienda; y actualizando los carteles de videovigilancia colocado tres nuevos distintivos modificando el contenido del apartado “Responsable” (inicialmente, figuraba “Propietario” y, actualmente, “A.A.A.”). No obstante, la Agencia decide mantener las dos sanciones propuestas dado que al momento de presentación del Acta-Denuncia las imágenes que captaba la cámara de videovigilancia no se ceñían al espacio privado de la parte denunciada, ni la información que se ofrecía sobre la existencia del dispositivo no era del todo precisa.

Arts. afectados:

Art. 13 RGPD (Información al Interesado); Art. 5.1.c RGP (Minimización de datos)

Resolución:

300 € cada infracción; 600 € en total

 

 

- Videovigilancia – Hoteles -  

Sancionado un hotel por no tener actualizada la cartelería de videovigilancia

PROCEDIMIENTO

PS/00608/2022

La parte reclamante manifiesta que el HOTEL VILLA SORO es responsable de dos cámaras instaladas junto a una valla metálica que, por su ubicación y orientación, son susceptibles de captar imágenes de la vía pública que transcurre junto a la valla. Señala que no se encuentran señalizadas mediante los preceptivos carteles de zona videovigilada, encontrándose únicamente instalado un cartel en la puerta del establecimiento, pero no en los aledaños donde se encuentran las cámaras objeto de reclamación.

Se remite por parte del Hotel escrito de respuesta en el que facilita información del sistema de vídeo vigilancia, el cual se compone de 18 cámaras interiores que se encuentran activas y de 3 cámaras exteriores que son falsas. Aunque las cámaras exteriores son falsas y no es necesario cartel, las interiores sí funcionan y se trata de un establecimiento público que tiene la obligación de informar a través de carteles. No obstante, el cartel que tienen expuesto está desfasado ya que menciona la norma ya derogada LO 15/99 y no incluye la información exigida por el RGPD.

Arts. afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

1.000 € (600 € por pago voluntario y reconocimiento de responsabilidad)

 

 

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857