\ RSM20230309 - Resoluciones Relevantes
|
RESOLUCIONES RELEVANTES 06/02/2023 - 24/02/2023 |
|
Confidencialidad, Whatsapp, Videovigilancia, Derecho de acceso, Aseguradoras, Minimización de datos, Cookies, Página web, Comunicaciones comerciales... |
|
“(...) no se trata de hacer decaer el Derecho Fundamental a la Libertad de Información por la prevalencia del Derecho Fundamental a la Protección de Datos de Carácter Personal, sino de hacerlos plenamente compatibles (...). Esto es, no se pone en cuestión la libertad de información de los medios de comunicación sino la ponderación con el derecho a la protección de datos en base a la proporcionalidad y necesidad de publicar el concreto dato personal de los nombres y apellidos del menor de edad." (ABL) |
|
- Confidencialidad – Correo electrónico - |
|
1.500 € por remitir publicidad sin copia oculta |
|
La parte reclamante denuncia la recepción de un correo electrónico publicitario remitido por la parte reclamada a múltiples destinatarios, unos 160 destinatarios aproximadamente, sin utilizar la funcionalidad de copia oculta, haciendo públicas las direcciones de correo personales de todos los destinatarios.. Junto a la reclamación aporta copia de dicho correo electrónico y sus cabeceras, así como copia del correo electrónico remitido por la parte reclamante, en el que solicita a la parte reclamada dejar de recibir más correos electrónicos. La parte reclamada reconoce que el incidente objeto de la reclamación fue debido a un error humano y expone que se tendrá en cuenta para evitar la repetición de hechos similares en el futuro. No obstante, esas argumentaciones presentadas no desvirtúan el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficiente. La remisión de un correo electrónico a una pluralidad de destinatarios sin ocultarles a cada uno de ellos las direcciones de correo electrónico del resto de destinatarios a los que también se dirigía el envío, constituye una vulneración del principio de confidencialidad, al difundir esa información entre los destinatarios del envío sin constar que hubiera obtenido el consentimiento de los mismos para ese especifico tratamiento. Asimismo, constituye una vulneración del art. 32 RGPD, al producirse un incidente de seguridad al remitir un correo electrónico a un número elevado de destinatarios, sin la función de copia oculta, sin disponer de las medidas técnicas y organizativas apropiadas. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.f RGPD-EU (Confidencialidad); Art. 32 RGPD-EU (Medidas de seguridad) |
|
Resolución: |
|
1.500 € en total; 1.000 € (Art. 5.1.f RGPD-EU); 500 € (Art. 32 RGPD-EU) |
|
|
|
|
|
- Licitud – WhatsApp - |
|
400 € por difundir por WhatsApp un documento con nombres y apellidos en un manifiesto encabezado por un equipo sanitario de Granada |
|
Se reclama la difusión de los datos personales (nombre y apellidos) de la parte reclamante en un manifiesto encabezado por el equipo sanitario del SUAP Granada Metropolitano. El citado documento fue difundido el XX/XX/20 en el grupo de WhatsApp denominado SUAP GRANADA. No consta quien redactó dicho documento, si bien consta que quien lo difundió a través del grupo de WhatsApp fue la parte reclamada. No habiéndose presentado alegaciones al respecto, se considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 6.1 del RGPD, puesto que el tratamiento de datos llevado a cabo, esto es, la publicación en un grupo de WhatsApp de un manifiesto en el que se identifica a la parte reclamante con su nombre y apellidos se ha efectuado sin causa legitimadora. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 6.1 RGPD-EU (Licitud del tratamiento) |
|
Resolución: |
|
400 € (300 € por pago voluntario) |
|
|
|
|
|
- Licitud – Videovigilancia - |
|
1.000 € a un vecino por instalar cámaras de videovigilancia en zonas comunes sin permiso de la Comunidad de Propietarios |
|
La reclamación se dirige contra el vecino del inmueble B.B.B, en que base a los siguientes: “mala colocación de cámara de videovigilancia afectando al derecho de tercero sin causa justificada sin contar con la debida autorización de la Junta de propietarios”. No consta autorización de la Comunidad de Propietarios, y Consta la presencia de un cartel informativo, si bien hace referencia a una normativa derogada (LOPD) y una dirección sin indicar el Código Postal o el número de piso a la que poder dirigirse. No se han expuesto los motivos de la presencia del dispositivo en orden a una ponderación por este organismo sobre la idoneidad de la medida adoptada, ni documentación complementaria se ha aportado a tal efecto. La cámara está colocada en un pilar comunitaria habiendo manifestado los órganos rectores de la misma su oposición a tal medida, afectando al derecho de terceros sin causa justificada que se ven afectados por el ángulo de captación de la misma. De las pruebas fotográficas aportadas se permite constatar la presencia del dispositivo, afectando parcialmente a una zona comunitaria, sin que la comunidad de propietarios haya autorizado la presencia de la cámara, ni se haya justificado mínimamente el motivo de la presencia de la misma. No consta que el reclamado disponga de autorización de la misma para proceder de manera proporcionada a colocar un dispositivo que le permite controlar el vehículo aparcado, siendo la instalación deficitaria al afectar a zonas comunes de terceros; ni tampoco se han argumentado criterios específicos que permiten considerar la instalación como ajustada a derecho. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 6.1.e RGPD (Misión en interés público) |
|
Resolución: |
|
1.000 € |
|
|
|
|
|
- Derecho de Acceso – Videovigilancia - |
|
No atender adecuadamente una petición de acceso a imágenes de videovigilancia acaba costando al Responsable 10.000 € |
|
El reclamante solicitó a la parte reclamada, tras haber intentado realizar su solicitud de forma presencial en las instalaciones de la parte reclamada, acceso a imágenes procedentes del sistema de videovigilancia ubicado en sus instalaciones, en las que se le aprecia a él y su vehículo. El 6 de
junio de 2022 el reclamante solicita el acceso a las imágenes procedentes del
sistema de videovigilancia ubicado en sus instalaciones, y la parte Como consecuencia de lo anterior, se considera que los hechos expuestos, es decir, no dar acceso al reclamante a las grabaciones que se realizaron sobre él y su vehículo en las instalaciones del demandado, y no poder acreditar su falta de responsabilidad, se considera que se ha vulnerado el artículo 15 del RGPD. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 15 RGPD (Derecho de acceso) |
|
Resolución: |
|
10.000 € |
|
|
|
|
|
- Licitud del tratamiento – Aseguradoras - |
|
30.000 € a Mapfre por tratar los datos del trabajador de una empresa en calidad de titular de pólizas de seguro sin legitimación para ello |
|
La parte
reclamante manifiesta que, en el mes de junio del año 2021, solicitó a la
compañía Mapfre que le facilitarán los datos que sobre su persona tenían, en
sus bases de datos. Posteriormente, transcurridos más de dos meses sin
recibir respuesta, contactó con la reclamada vía correo electrónico y le
informaron que habían contestado a su solicitud, facilitándole una copia, la
cual fue enviada a una dirección que no era la suya. Añade que aparece como
titular de nueve pólizas y como responsable de tres siniestros, cuando nunca
ha formalizado ningún contrato con Mapfre, ningún seguro, ni ha dado ningún
parte de accidente. En uno de los contratos de seguro, tal como reconoce la parte reclamada, figura como tomador la parte reclamante, y no consintió en la contratación del mismo, por lo tanto, no existe base legitimadora de las recogidas en el artículo 6 del RGPD. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 6.1 RGPD-EU (Licitud del tratamiento) |
|
Resolución: |
|
30.000 € (24.000 € por pago voluntario) |
|
Anotaciones: |
|
El agente de seguro tendrá la condición de encargado del tratamiento ante la entidad aseguradora con la que hubiera celebrado el correspondiente contrato de agencia. [...] En este caso, teniendo en cuenta lo anteriormente expuesto, cabe concluir que el mero hecho de incumplir el encargado del tratamiento las instrucciones de Mapfre no eximen de responsabilidad a la parte reclamada. Ésta no ha acreditado que el encargado del tratamiento estuviera actuando como responsable, toda vez que el tratamiento se ha realizado siguiendo las instrucciones del responsable. |
|
- Minimización de datos – Páginas Web - |
|
50.000 € a un periódico digital por publicar un informe pericial sobre un menor con sus datos para ilustrar una noticia de abusos sexuales |
|
El presente procedimiento se inicia porque Display publicó, en el sitio web referido en los hechos, un informe pericial en el que se ve el nombre y apellidos del hijo menor de edad de C.C.C. para ilustrar una noticia relativa al procedimiento judicial de ésta. Con independencia de cuál sea la base jurídica legitimadora del tratamiento, todo responsable del tratamiento ha de respetar los principios del tratamiento recogidos en el artículo 5 del RGPD. En el presente supuesto, como expondremos, se debe considerar que el tratamiento llevado a cabo por Display en el marco de la libertad de información ha sido excesivo, al no existir un interés público informativo prevalente en la difusión del nombre y apellidos del menor de edad, dato que, sumado al hecho de que es hijo de una persona inmersa en un procedimiento judicial muy mediático, hace claramente identificable al menor de edad. Al ponderar los intereses enfrentados y, atendiendo a las circunstancias concurrentes de este caso, esto es, la situación de especial vulnerabilidad al tratarse de un menor de edad y la intensa afectación a la intimidad del afectado, merece mayor protección el interés del titular del derecho a la protección de sus datos personales y a que no se difundan frente al pretendido interés público en su difusión. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.c) RGPD-EU- (Minimización de datos) |
|
Resolución: |
|
50.000 € (30.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
Anotaciones: |
|
No se niega el evidente interés público informativo en la noticia. En este caso concreto no se trata de hacer decaer el Derecho Fundamental a la Libertad de Información por la prevalencia del Derecho Fundamental a la Protección de Datos de Carácter Personal, sino de hacerlos plenamente compatibles para que ambos queden absolutamente garantizados. Esto es, no se pone en cuestión la libertad de información de los medios de comunicación sino la ponderación con el derecho a la protección de datos en base a la proporcionalidad y necesidad de publicar el concreto dato personal de los nombres y apellidos del menor de edad. |
|
- Confidencialidad – WhatsApp - |
|
Sancionan a una residencia que comunicó una carta de despido a través de un grupo de WhatsApp |
|
La reclamante expone que la entidad RESIDENCIAS AITA Y AMA BARAKALDO, S.L. vulneró la normativa de protección de datos al remitir su carta de despido a todos los trabajadores de la empresa. Según afirma, este documento fue enviado a un grupo de WhatsApp en el que se informaba a los trabajadores de que la ***PUESTO.1, la reclamante, había sido despedida, indicándose en el mensaje, que se adjuntaba la carta de despido. Se puede constatar según la documentación aportada por el reclamante, una impresión de pantalla de un grupo de usuarios de la aplicación de mensajería WhatsApp, grupo de al menos 5 integrantes más la receptora del mensaje. El nombre del grupo es “Aita y Ama”. En la impresión de pantalla se aprecia un mensaje, en el que consta la causa del cese de la relación laboral, remitido al citado grupo por el contacto de nombre “***CONTACTO.1” con el siguiente texto: “Hola chicos, para vuestro conocimiento adjunto la Carta de despido de A.A.A.. A partir del día de hoy, A.A.A. ya no trabaja en aita y ama. En su consecuencia, tampoco es la ***PUESTO.1. (…). Un saludo”. Los hechos conocidos constituyen, por parte del reclamado, en su condición de responsable del reseñado tratamiento de datos personales, una vulneración del principio de confidencialidad, al difundir esa información entre los empleados sin constar que hubiera obtenido el consentimiento de la parte reclamante para ese especifico tratamiento. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1 f) RGPD-EU (Confidencialidad); Art. 32 RGPD-EU (Medidas de Seguridad) |
|
Resolución: |
|
3.500 € en total; 2.000 € (Art. 5.1.f RGPD-EU); 1.500 € (Art. 32 RGPD-EU) |
|
|
|
|
|
- Consentimiento – Cookies - |
|
5.000 € por instalar cookies no necesarias |
|
Se
denuncia por parte del reclamante que en la web www.computerhoy.com presenta
una política de cookies en la que parece que todo está deshabilitado, pero
presenta una pestaña que denominada “proveedores”, y dentro de ella hay otra
llamada “interés legítimo”, con múltiples proveedores que hay que desactivar
uno a uno sin tener la opción de Deshabilitar todo. Cada vez que entra a un
enlace vuelve a presentar la ventana y se necesita volver a deshabilitar los
proveedores. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 22.1 LSSI (Consentimiento para instalación de cookies) |
|
Resolución: |
|
5.000 € (3.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
- Información al interesado – Páginas web - |
|
Regresan las sanciones por no disponer de política de privacidad: 5.000 € |
|
Se recibe en la AEPD una denuncia, a raíz de una publicación de un usuario en el sitio web www.gowork.com en la que un usuario publicó un comentario respecto del ahora reclamado, UNIQUE DESIGN & DECOR S.L, se realiza una contestación presuntamente de un trabajador de la entidad, publicando un comentario accesible al público el nombre y apellido del reclamante, en respuesta a la publicación previa en la que se estaba "calumniando" a dicha entidad. en dicha reclamación, se indica que la reclamada carece de política de privacidad en su web. En las comprobaciones realizadas por la Agencia en la página web https://www.uniquedesigndecor.com, tanto antes como después de que la persona responsable de la página indicara haber subsanado los defectos en la misma, se sigue comprobando que si se intenta acceder a la “Política de Privacidad” de la web, cliqueando en la opción, la web no despliega ningún documento que contenga información sobre la política de privacidad. Solamente se despliega el formulario de contacto. No existe en la página ningún otro enlace a una posible "Política de Privacidad". No es sino hasta dos meses después de la segunda comprobación que la entidad actualiza correctamente el contenido de la Política de Privacidad. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 13 RGPD-EU (Información al interesado) |
|
Resolución: |
|
5.000 € |
|
|
|
|
|
- Consentimiento – Comunicaciones Comerciales - |
|
5.000 € por remitir un correo a un candidato cuyos datos fueron obtenidos de LinkedIn |
|
El reclamante recibió con fecha 18 de julio de 2022 un correo electrónico con el asunto "Hays. Tus nuevas preferencias de marketing". En el cuerpo del mensaje se informa de que HAYS está tratando sus datos personales como consecuencia de que el afectado había enviado su CV o porque habían accedido al mismo a través de alguna otra base de datos online, habiendo incorporado sus datos personales a su base de datos (el afectado asegura que no ha enviado su CV a esa empresa). La empresa explica que el Sr. A.A.A. creó un perfil que se encuentra disponible en LinkedIn, que sería la causa fundante de la queja, y de conformidad a la Política de Privacidad de la compañía (y sobre la base del Artículo 6.1 f) RGPD, pueden recopilar datos personales de un eventual candidato. Cuando buscan posibles candidatos a través de fuentes de terceros, como LinkedIn y otros sitios web de empleo, de los cuales obtienen la información personal, tras el acceso al perfil de LinkedIn del reclamante y el consiguiente tratamiento de sus datos de contacto, se envió un correo electrónico automático para informarle del tratamiento de datos. No obstante, la AEPD considera que la parte reclamada sin el consentimiento del reclamante ha incorporado sus datos personales a su base de datos para remitirle correo comercial, pese a no contar con su previo consentimiento. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 21 LSSI (Consentimiento comunicaciones comerciales) |
|
Resolución: |
|
5.000 € (4.000 € por pago voluntario) |
|
Anotaciones: |
|
Esta resolución, o al menos la lógica planteada puede resultar cuanto menos cuestionable, ya que no sancionan por el tratamiento de datos, sino por haber remitido una comunicación comercial no autorizada, pese a que el contenido del mensaje no parece tener carácter publicitario, sino meramente informativo del tratamiento de datos. La LSSI define Comunicación comercial como "toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.". En este caso, la finalidad no es la promoción de la imagen, bienes ni servicios de la entidad |