Noticias \ RSM20230309 - Resoluciones Relevantes


Noticias

RESOLUCIONES RELEVANTES 06/02/2023 - 24/02/2023

Confidencialidad, Whatsapp, Videovigilancia, Derecho de acceso, Aseguradoras, Minimización de datos, Cookies, Página web, Comunicaciones comerciales...

“(...) no se trata de hacer decaer el Derecho Fundamental a la Libertad de Información por la prevalencia del Derecho Fundamental a la Protección de Datos de Carácter Personal, sino de hacerlos plenamente compatibles (...). Esto es, no se pone en cuestión la libertad de información de los medios de comunicación sino la ponderación con el derecho a la protección de datos en base a la proporcionalidad y necesidad de publicar el concreto dato personal de los nombres y apellidos del menor de edad."

(ABL)

- Confidencialidad – Correo electrónico -  

1.500 € por remitir publicidad sin copia oculta

La parte reclamante denuncia la recepción de un correo electrónico publicitario remitido por la parte reclamada a múltiples destinatarios, unos 160 destinatarios aproximadamente, sin utilizar la funcionalidad de copia oculta, haciendo públicas las direcciones de correo personales de todos los destinatarios.. Junto a la reclamación aporta copia de dicho correo electrónico y sus cabeceras, así como copia del correo electrónico remitido por la parte reclamante, en el que solicita a la parte reclamada dejar de recibir más correos electrónicos. La parte reclamada reconoce que el incidente objeto de la reclamación fue debido a un error humano y expone que se tendrá en cuenta para evitar la repetición de hechos similares en el futuro. No obstante, esas argumentaciones presentadas no desvirtúan el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficiente.

La remisión de un correo electrónico a una pluralidad de destinatarios sin ocultarles a cada uno de ellos las direcciones de correo electrónico del resto de destinatarios a los que también se dirigía el envío, constituye una vulneración del principio de confidencialidad, al difundir esa información entre los destinatarios del envío sin constar que hubiera obtenido el consentimiento de los mismos para ese especifico tratamiento. Asimismo, constituye una vulneración del art. 32 RGPD, al producirse un incidente de seguridad al remitir un correo electrónico a un número elevado de destinatarios, sin la función de copia oculta, sin disponer de las medidas técnicas y organizativas apropiadas.

Procedimiento:

PS-00343-2022

Artículos afectados:

Art. 5.1.f RGPD-EU (Confidencialidad); Art. 32 RGPD-EU (Medidas de seguridad)

Resolución:

1.500 € en total; 1.000 € (Art. 5.1.f RGPD-EU); 500 € (Art. 32 RGPD-EU)

 

 

- Licitud – WhatsApp -  

400 € por difundir por WhatsApp un documento con nombres y apellidos en un manifiesto encabezado por un equipo sanitario de Granada

Se reclama la difusión de los datos personales (nombre y apellidos) de la parte reclamante en un manifiesto encabezado por el equipo sanitario del SUAP Granada Metropolitano. El citado documento fue difundido el XX/XX/20 en el grupo de WhatsApp denominado SUAP GRANADA. No consta quien redactó dicho documento, si bien consta que quien lo difundió a través del grupo de WhatsApp fue la parte reclamada.

No habiéndose presentado alegaciones al respecto, se considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 6.1 del RGPD, puesto que el tratamiento de datos llevado a cabo, esto es, la publicación en un grupo de WhatsApp de un manifiesto en el que se identifica a la parte reclamante con su nombre y apellidos se ha efectuado sin causa legitimadora.

Procedimiento:

PS-00355-2022

Artículos afectados:

Art. 6.1 RGPD-EU (Licitud del tratamiento)

Resolución:

400 € (300 € por pago voluntario)

 

 

- Licitud – Videovigilancia -  

1.000 € a un vecino por instalar cámaras de videovigilancia en zonas comunes sin permiso de la Comunidad de Propietarios

La reclamación se dirige contra el vecino del inmueble B.B.B, en que base a los siguientes: “mala colocación de cámara de videovigilancia afectando al derecho de tercero sin causa justificada sin contar con la debida autorización de la Junta de propietarios”. No consta autorización de la Comunidad de Propietarios, y Consta la presencia de un cartel informativo, si bien hace referencia a una normativa derogada (LOPD) y una dirección sin indicar el Código Postal o el número de piso a la que poder dirigirse. No se han expuesto los motivos de la presencia del dispositivo en orden a una ponderación por este organismo sobre la idoneidad de la medida adoptada, ni documentación complementaria se ha aportado a tal efecto.

La cámara está colocada en un pilar comunitaria habiendo manifestado los órganos rectores de la misma su oposición a tal medida, afectando al derecho de terceros sin causa justificada que se ven afectados por el ángulo de captación de la misma.

De las pruebas fotográficas aportadas se permite constatar la presencia del dispositivo, afectando parcialmente a una zona comunitaria, sin que la comunidad de propietarios haya autorizado la presencia de la cámara, ni se haya justificado mínimamente el motivo de la presencia de la misma. No consta que el reclamado disponga de autorización de la misma para proceder de manera proporcionada a colocar un dispositivo que le permite controlar el vehículo aparcado, siendo la instalación deficitaria al afectar a zonas comunes de terceros; ni tampoco se han argumentado criterios específicos que permiten considerar la instalación como ajustada a derecho.

Procedimiento:

PS-00133-2022

Artículos afectados:

Art. 6.1.e RGPD (Misión en interés público)

Resolución:

1.000 €

 

 

- Derecho de Acceso – Videovigilancia -  

No atender adecuadamente una petición de acceso a imágenes de videovigilancia acaba costando al Responsable 10.000 €

El reclamante solicitó a la parte reclamada, tras haber intentado realizar su solicitud de forma presencial en las instalaciones de la parte reclamada, acceso a imágenes procedentes del sistema de videovigilancia ubicado en sus instalaciones, en las que se le aprecia a él y su vehículo.

El 6 de junio de 2022 el reclamante solicita el acceso a las imágenes procedentes del sistema de videovigilancia ubicado en sus instalaciones, y la parte
reclamada le responde a su correo electrónico indicando “Le indicamos que las imágenes de las cámaras de videovigilancia sólo se pueden requerir por personal autorizado o la policía, y sólo en el caso de que exista una denuncia previa, por lo que l e recomendamos que ponga la denuncia. No obstante, le indicamos que las cámaras no están continuamente grabando, graban por periodos de tiempo. En caso que nos lo solicite la policía, necesitaríamos saber la fecha, ubicación exacta y tramo horario lo más estrecho posible para es si existe una grabación en ese periodo. También le indicamos que las grabaciones se autodestruyen a los 15 días si no hay ningún requerimiento policial.”

Como consecuencia de lo anterior, se considera que los hechos expuestos, es decir, no dar acceso al reclamante a las grabaciones que se realizaron sobre él y su vehículo en las instalaciones del demandado, y no poder acreditar su falta de responsabilidad, se considera que se ha vulnerado el artículo 15 del RGPD.

Procedimiento:

PS-00368-2022

Artículos afectados:

Art. 15 RGPD (Derecho de acceso)

Resolución:

10.000 €

 

 

- Licitud del tratamiento – Aseguradoras -  

30.000 € a Mapfre por tratar los datos del trabajador de una empresa en calidad de titular de pólizas de seguro sin legitimación para ello

La parte reclamante manifiesta que, en el mes de junio del año 2021, solicitó a la compañía Mapfre que le facilitarán los datos que sobre su persona tenían, en sus bases de datos. Posteriormente, transcurridos más de dos meses sin recibir respuesta, contactó con la reclamada vía correo electrónico y le informaron que habían contestado a su solicitud, facilitándole una copia, la cual fue enviada a una dirección que no era la suya. Añade que aparece como titular de nueve pólizas y como responsable de tres siniestros, cuando nunca ha formalizado ningún contrato con Mapfre, ningún seguro, ni ha dado ningún parte de accidente.
La entidad reclamada, manifiesta que en las la mayoría de pólizas el tomador de las pólizas es la empresa FURCORENT y el conductor habitual de las mismas es el reclamante identificando como empleado, excepto en la una de ellas, en la que el reclamante no sólo consta como conductor habitual, también como tomador de la póliza.

En uno de los contratos de seguro, tal como reconoce la parte reclamada, figura como tomador la parte reclamante, y no consintió en la contratación del mismo, por lo tanto, no existe base legitimadora de las recogidas en el artículo 6 del RGPD.

Procedimiento:

PS-00305-2022

Artículos afectados:

Art. 6.1 RGPD-EU (Licitud del tratamiento)

Resolución:

30.000 € (24.000 € por pago voluntario)

Anotaciones:

El agente de seguro tendrá la condición de encargado del tratamiento ante la entidad aseguradora con la que hubiera celebrado el correspondiente contrato de agencia. [...] En este caso, teniendo en cuenta lo anteriormente expuesto, cabe concluir que el mero hecho de incumplir el encargado del tratamiento las instrucciones de Mapfre no eximen de responsabilidad a la parte reclamada. Ésta no ha acreditado que el encargado del tratamiento estuviera actuando como responsable, toda vez que el tratamiento se ha realizado siguiendo las instrucciones del responsable.

- Minimización de datos – Páginas Web -  

50.000 € a un periódico digital por publicar un informe pericial sobre un menor con sus datos para ilustrar una noticia de abusos sexuales

El presente procedimiento se inicia porque Display publicó, en el sitio web referido en los hechos, un informe pericial en el que se ve el nombre y apellidos del hijo menor de edad de C.C.C. para ilustrar una noticia relativa al procedimiento judicial de ésta. Con independencia de cuál sea la base jurídica legitimadora del tratamiento, todo responsable del tratamiento ha de respetar los principios del tratamiento recogidos en el artículo 5 del RGPD.

En el presente supuesto, como expondremos, se debe considerar que el tratamiento llevado a cabo por Display en el marco de la libertad de información ha sido excesivo, al no existir un interés público informativo prevalente en la difusión del nombre y apellidos del menor de edad, dato que, sumado al hecho de que es hijo de una persona inmersa en un procedimiento judicial muy mediático, hace claramente identificable al menor de edad. Al ponderar los intereses enfrentados y, atendiendo a las circunstancias concurrentes de este caso, esto es, la situación de especial vulnerabilidad al tratarse de un menor de edad y la intensa afectación a la intimidad del afectado, merece mayor protección el interés del titular del derecho a la protección de sus datos personales y a que no se difundan frente al pretendido interés público en su difusión.

Procedimiento:

PS-00555-2022

Artículos afectados:

Art. 5.1.c) RGPD-EU- (Minimización de datos)

Resolución:

50.000 € (30.000 € por pago voluntario y reconocimiento de responsabilidad)

Anotaciones:

No se niega el evidente interés público informativo en la noticia. En este caso concreto no se trata de hacer decaer el Derecho Fundamental a la Libertad de Información por la prevalencia del Derecho Fundamental a la Protección de Datos de Carácter Personal, sino de hacerlos plenamente compatibles para que ambos queden absolutamente garantizados. Esto es, no se pone en cuestión la libertad de información de los medios de comunicación sino la ponderación con el derecho a la protección de datos en base a la proporcionalidad y necesidad de publicar el concreto dato personal de los nombres y apellidos del menor de edad.

- Confidencialidad – WhatsApp -  

Sancionan a una residencia que comunicó una carta de despido a través de un grupo de WhatsApp

La reclamante expone que la entidad RESIDENCIAS AITA Y AMA BARAKALDO, S.L. vulneró la normativa de protección de datos al remitir su carta de despido a todos los trabajadores de la empresa. Según afirma, este documento fue enviado a un grupo de WhatsApp en el que se informaba a los trabajadores de que la ***PUESTO.1, la reclamante, había sido despedida, indicándose en el mensaje, que se adjuntaba la carta de despido.

Se puede constatar según la documentación aportada por el reclamante, una impresión de pantalla de un grupo de usuarios de la aplicación de mensajería WhatsApp, grupo de al menos 5 integrantes más la receptora del mensaje. El nombre del grupo es “Aita y Ama”. En la impresión de pantalla se aprecia un mensaje, en el que consta la causa del cese de la relación laboral, remitido al citado grupo por el contacto de nombre “***CONTACTO.1” con el siguiente texto: “Hola chicos, para vuestro conocimiento adjunto la Carta de despido de A.A.A.. A partir del día de hoy, A.A.A. ya no trabaja en aita y ama. En su consecuencia, tampoco es la ***PUESTO.1. (…). Un saludo”.

Los hechos conocidos constituyen, por parte del reclamado, en su condición de responsable del reseñado tratamiento de datos personales, una vulneración del principio de confidencialidad, al difundir esa información entre los empleados sin constar que hubiera obtenido el consentimiento de la parte reclamante para ese especifico tratamiento.

Procedimiento:

PS-00216-2022

Artículos afectados:

Art. 5.1 f) RGPD-EU (Confidencialidad); Art. 32 RGPD-EU (Medidas de Seguridad)

Resolución:

3.500 € en total; 2.000 € (Art. 5.1.f RGPD-EU); 1.500 € (Art. 32 RGPD-EU)

 

 

- Consentimiento – Cookies -  

5.000 € por instalar cookies no necesarias

Se denuncia por parte del reclamante que en la web www.computerhoy.com presenta una política de cookies en la que parece que todo está deshabilitado, pero presenta una pestaña que denominada “proveedores”, y dentro de ella hay otra llamada “interés legítimo”, con múltiples proveedores que hay que desactivar uno a uno sin tener la opción de Deshabilitar todo. Cada vez que entra a un enlace vuelve a presentar la ventana y se necesita volver a deshabilitar los proveedores.
En comprobaciones por parte de la AEPD, se observa que, sin realizar ninguna acción sobre la mismas ni aceptar las cookies, se instalaban varias cookies (_chartbeat2, _ga_, _gid, AMP_TOKEN, _ga...) La utilización de cookies que no son técnicas o necesarias y la imposibilidad de rechazarlas suponen la infracción de la LSSI.

Procedimiento:

PS-00542-2022

Artículos afectados:

Art. 22.1 LSSI (Consentimiento para instalación de cookies)

Resolución:

5.000 € (3.000 € por pago voluntario y reconocimiento de responsabilidad)

 

 

- Información al interesado – Páginas web -  

Regresan las sanciones por no disponer de política de privacidad: 5.000 €

Se recibe en la AEPD una denuncia, a raíz de una publicación de un usuario en el sitio web www.gowork.com en la que un usuario publicó un comentario respecto del ahora reclamado, UNIQUE DESIGN & DECOR S.L, se realiza una contestación presuntamente de un trabajador de la entidad, publicando un comentario accesible al público el nombre y apellido del reclamante, en respuesta a la publicación previa en la que se estaba "calumniando" a dicha entidad. en dicha reclamación, se indica que la reclamada carece de política de privacidad en su web.

En las comprobaciones realizadas por la Agencia en la página web https://www.uniquedesigndecor.com, tanto antes como después de que la persona responsable de la página indicara haber subsanado los defectos en la misma, se sigue comprobando que si se intenta acceder a la “Política de Privacidad” de la web, cliqueando en la opción, la web no despliega ningún documento que contenga información sobre la política de privacidad. Solamente se despliega el formulario de contacto. No existe en la página ningún otro enlace a una posible "Política de Privacidad". No es sino hasta dos meses después de la segunda comprobación que la entidad actualiza correctamente el contenido de la Política de Privacidad.

Procedimiento:

PS-00173-2022

Artículos afectados:

Art. 13 RGPD-EU (Información al interesado)

Resolución:

5.000 €

 

 

- Consentimiento – Comunicaciones Comerciales -  

5.000 € por remitir un correo a un candidato cuyos datos fueron obtenidos de LinkedIn

El reclamante recibió con fecha 18 de julio de 2022 un correo electrónico con el asunto "Hays. Tus nuevas preferencias de marketing". En el cuerpo del mensaje se informa de que HAYS está tratando sus datos personales como consecuencia de que el afectado había enviado su CV o porque habían accedido al mismo a través de alguna otra base de datos online, habiendo incorporado sus datos personales a su base de datos (el afectado asegura que no ha enviado su CV a esa empresa).

La empresa explica que el Sr. A.A.A. creó un perfil que se encuentra disponible en LinkedIn, que sería la causa fundante de la queja, y de conformidad a la Política de Privacidad de la compañía (y sobre la base del Artículo 6.1 f) RGPD, pueden recopilar datos personales de un eventual candidato. Cuando buscan posibles candidatos a través de fuentes de terceros, como LinkedIn y otros sitios web de empleo, de los cuales obtienen la información personal, tras el acceso al perfil de LinkedIn del reclamante y el consiguiente tratamiento de sus datos de contacto, se envió un correo electrónico automático para informarle del tratamiento de datos.

No obstante, la AEPD considera que la parte reclamada sin el consentimiento del reclamante ha incorporado sus datos personales a su base de datos para remitirle correo comercial, pese a no contar con su previo consentimiento.

Procedimiento:

PS-00600-2022

Artículos afectados:

Art. 21 LSSI (Consentimiento comunicaciones comerciales)

Resolución:

5.000 € (4.000 € por pago voluntario)

Anotaciones:

Esta resolución, o al menos la lógica planteada puede resultar cuanto menos cuestionable, ya que no sancionan por el tratamiento de datos, sino por haber remitido una comunicación comercial no autorizada, pese a que el contenido del mensaje no parece tener carácter publicitario, sino meramente informativo del tratamiento de datos.

La LSSI define Comunicación comercial como "toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.". En este caso, la finalidad no es la promoción de la imagen, bienes ni servicios de la entidad

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857