Noticias \ RSM20230413 - Resoluciones Relevantes


Noticias

RESOLUCIONES RELEVANTES 06/03/2023 - 17/03/2023

Justificación de actitud negligente, Licitud, Legitimación del tratamiento, Confidencialidad, Cartelería, Registro de Actividades de Tratamiento, Consentimiento, Información, Incumplimiento de requerimiento, Minimización...

“... el DNI contiene no solo el nombre y apellidos, su número y la fotografía del destinatario sino que incorpora otros muchos datos: firma, domicilio, lugar y fecha de nacimiento, clave de acceso a la información contenida en el mismo, fecha de expedición, fecha de validez, código alfanumérico, equipo expedidor y oficina, etc., datos completamente adicionales que no son ni adecuados ni pertinentes ni limitados para la finalidad de la entrega de la mercancía y que para acreditar que la persona que recoge el producto es el titular que facilitó los datos en el momento de la contratación se habrán de utilizar otros medios que resulten menos lesivos y agresivos para la privacidad de las personas."

(ABL)

- Proceso Judicial – Sector energético -  

La Audiencia Nacional rebaja la sanción de una sanción por no haber justificado la AEPD la actitud negligente

En el marco del procedimiento sancionador PS/00132/2020, revocándola y dejándola sin efecto en todos sus pronunciamientos; subsidiariamente que,

atendiendo a criterios de proporcionalidad, acuerde la reducción del importe de la sanción de 50.000 € impuesta a EDP ENERGÍA, S.A., reduciéndola proporcionalmente.

La existencia de la infracción se deduce claramente de la concisa relación de hechos probados de la que destaca que el titular de un contrato de distribución y suministro de energía con una compañía (ENDESA), vio cómo, sin su conocimiento ni consentimiento, la compañía suministradora pasaba a ser otra diferente (EDP), así como el titular del contrato. La resolución no estima que el tratamiento de datos se produzca mediante el acceso al CUPS, sino por la falta de consentimiento del titular del contrato así como por la falta de comprobación adecuada de la identidad y consentimiento del nuevo titular que, en este caso, actuaba por medio de un representante.

Sin embargo, en la Resolución se aprecia como agravante el carácter significativo de la acción negligente, sin añadir ningún razonamiento sobre su concurrencia. A diferencia de otras resoluciones de la Agencia en que sí se explicita por qué tiene un carácter significativo que convierte en agravante la negligencia, con base en los hechos del caso, nada se dice en la presente resolución ni se deduce en modo alguno de los hechos probados, por lo que su aplicación como agravante (la negligencia ya ha sido apreciada como elemento subjetivo) no resulta justificada e infringe el principio de proporcionalidad que, para ser restaurado, una vez eliminada esta agravante, implica reducir el importe de la multa, que queda fijada en 40.000 euros en lugar de los 50.000 impuestos en la Resolución. La otra agravante considerada (vinculación entre la actividad empresarial de EDP y el tratamiento de datos personales de clientes o de terceros) no precisa, sin embargo, de mayores consideraciones.

Procedimiento:

SAN 909/2023

Artículos afectados:

Art. 83.2 k) RGPD (Agravantes y atenuantes)

Resolución:

Estimación parcial del recurso; Rebaja de la sanción

Anotaciones:

El procedimiento de origen puede consultarse aquí (PS-00132-2020)

- Licitud y Medidas de seguridad – Telecomunicaciones -  

50.000 euros a Vodafone ONO por realizar una consulta a ASNEF sin legitimación para ello

La parte reclamante manifiesta que, la entidad Vodafone Ono consultó el sistema de información crediticia Asnef, en relación con su persona. Añade, que Asnef le remitió un histórico de consultas efectuadas en relación con el reclamante, y en esta figura Vodafone Ono. Además, señala que no tiene ningún tipo de contratación con Vodafone Ono y que tampoco en ningún momento recabó su consentimiento para efectuar la consulta. Se aporta histórico de consultas en el fichero Asnef, donde consta fecha 08/07/2022 Entidad: VODAFONE ONO, S.A.U.

Solicitada información a Vodafone respecto de la consulta, indica que se están realizando las investigaciones oportunas sobre lo ocurrido para averiguar el motivo por el que se realizó la consulta al sistema común de información crediticia, y adoptar las medidas que sean necesarias. No obstante, por el momento no se ha podido identificar el origen de la consulta.

En base a la documentación aportada y la falta de acreditación por parte de Vodafone, se considera vulnerada la normativa de protección de datos, puesto que no consta base legitimadora para el tratamiento de los datos personales de la parte reclamante, dado que no se cumplen los criterios del art. 20 de la LOPDGDD, al no indicar cuál es su interés legítimo ni aporta una ponderación que permita acreditar la prevalencia del interés legítimo y tampoco se facilita información al reclamante sobre la posibilidad de consulta, por lo que dentro de sus expectativas razonables no se encuentra la de que consulten sus datos.

Procedimiento:

PS-00570-2022

Artículos afectados:

Art. 6.1. RGPD (Licitud del tratamiento)

Resolución:

50.000 euros (40.000 euros por pago voluntario)

 

 

- Licitud y Medidas de seguridad – Telecomunicaciones -  

Nueva sanción a Vodafone por permitir un SIM swapping

Se denuncia por el reclamante que, tras un problema de suplantación de identidad con VODAFONE, se reforzó la seguridad, estableciendo para el acceso telefónico la solicitud de una clave de seguridad, indicando que cualquier trámite o modificación solamente se podrá realizar de manera presencial en las oficinas Vodafone. Dos años después, recibe un correo electrónico de VODAFONE indicando que había solicitado un duplicado de factura, no habiéndolo solicitado. Tras acceder a su área personal verifica que el dato de correo electrónico de contacto ha sido modificado a otra dirección. Decide acudir a una tienda VODAFONE indicando que ya había sufrido con anterioridad una suplantación de identidad, y el empleado remite correo electrónico al departamento de fraude para que estén pendientes. Manifiesta que insistió que se bloqueara cualquier trámite de manera telefónica a realizar en su contrato, y que cualquier modificación o cambio lo debía realizar de manera presencial en sus oficinas. Días más tarde, recibe un correo electrónico de VODAFONE en el que le informan que su baja ha sido realizada, dando de baja todos los servicios que tenía contratados por portabilidad a LOWI. Intenta recuperar la línea sin éxito mediante contacto con VODAFONE.

Contacta con LOWI para bloquear la línea, y le indican que debe aportar copia del DNI, sin embargo le informan que la política para admitir la  contratación/portabilidad es facilitar el número de DNI (no copia del DNI), nombre completo y número de teléfono. Pregunta cómo se ha entregado la SIM sin solicitar el DNI del titular del contrato, según lo que indica la página web, y manifiesta que el gestor que la atiende indica que normalmente se depositan en el buzón de la dirección que consta en el contrato y no se pide el documento acreditativo de identidad.

Finalmente declara que como consecuencia de estos hechos han intentado acceder a su cuenta corriente, que fue bloqueada por su entidad bancaria.

Asimismo, ha de tenerse en consideración que Vodafone, con anterioridad al inicio del expediente sancionador, absorbió la entidad Lowi, debiendo responder por la portabilidad indebidamente realizada, por tanto se considera que se ha cometido una triple infracción:

- Por tratar los datos de la reclamante para tramitar la portabilidad de la línea sin base de legitimación

- Por permitir un cambio de dirección de e-mail de la reclamante, sin contar con su consentimiento, y emitir un duplicado de la factura a petición de un tercero ajeno al titular de la línea.

- Por tramitar una portabilidad sin asegurarse de la identidad del solicitante y por la entrega de la tarjeta SIM a una persona que no era la titular de la línea sin contar con las adecuadas medidas de seguridad para impedir la suplantación de identidad.

Procedimiento:

PS-00453-2022

Artículos afectados:

Art. 6 RGPD (Licitud del tratamiento); Art. 32 RGPD (Licitud del tratamiento)

Resolución:

170.000 euros en total (136.000 euros por pago voluntario); (70.000 euros Art. 6 RGPD; 50.000 euros Art. 32 RGPD; 50.000 euros Art. 32 RGPD;)

 

 

- Legitimación del tratamiento – Entidades Bancarias -  

100.000 euros a IBERCAJA por abrir cuentas bancarias a dos menores para tramitar una herencia sin disponer del consentimiento

Se presenta reclamación ante la AEPD, indicando que la entidad IBERCAJA ha procedido a la apertura de cuentas bancarias, aun en estado preliminar, sin informar a la madre de los menores ni recabar su consentimiento específico e inequívoco, a fin de llevar a cabo la tramitación de una herencia familiar. La abogada de la reclamante indica que facilitó a IBERCAJA los datos personales de la reclamante y sus hijos para obtener los certificados de saldos bancarios de la persona fallecida y poder gestionar la aceptación de la herencia. Si bien IBERCAJA obtuvo lícitamente los datos, la AEPD pone en duda acerca de la finalidad para la que se cedieron, su tratamiento, y los posibles destinatarios.

Respecto al tratamiento de los datos de la reclamada y sus hijos menores: en lo referente a IBERCAJA, queda constatado mediante una resolución de la Comisión Nacional del Mercado de Valores que para el reparto y adjudicación de bienes de la herencia de la persona fallecida son necesarias la apertura de cuentas a nombre de los herederos. No obstante, la apertura de estas cuentas no tendría obligatoriamente que realizarse en la misma entidad de la titular fallecida, sino que podría realizarse en cualquier otra entidad financiera a elección de los herederos para las cuentas corrientes y, para la adjudicación de los valores que figurasen en la herencia de la persona fallecida, en otra entidad financiera que comercializara estos valores. Asimismo, en este caso el documento de aceptación y adjudicación de la herencia no está firmado por todos los herederos, por lo tanto, la adjudicación está bloqueada, no se encuentra justificación para la apertura de las cuentas controvertidas y el tratamiento de datos personales de los menores que esto ha conllevado. Aun cuando las cuentas se encontraran en un estado preliminar (pendientes de activación), se ha llevado a cabo un tratamiento de datos sin consentimiento de los datos personales de los menores y su inclusión en los sistemas de información de IBERCAJA se produjo igualmente, siendo el estado de las cuentas una mera cuestión de operativa.

Procedimiento:

PS-00241-2022

Artículos afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

100.000 euros

 

 

- Confidencialidad – Correo electrónico -  

Nuevas sanciones por enviar correos sin copia oculta, hasta 5.000 euros

Los hechos reclamados se materializan en la recepción de correos electrónicos procedentes de la dirección ***EMAIL.1 perteneciente al reclamado en el que los destinatarios no figuran “en copia oculta”..

Al remitir correo electrónico sin utilizar la opción de copia oculta vulnerando la confidencialidad en el tratamiento de los datos de carácter personal. De este modo, la reclamante tuvo acceso a las direcciones de correo electrónico del resto de destinatarios. Asimismo, se considera que se ha producido un incidente de seguridad al remitir correo electrónico a un número elevado de destinatarios sin la función de copia oculta, sin disponer de medidas técnicas y organizativas adecuadas

Procedimiento:

PS-00154-2022

Artículos afectados:

Art. 5.1.c RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado)

Resolución:

5.000 euros (3.000 euros Art. 5.1.f RGPD); (2.000 euros Art. 32 RGPD)

 

 

- Confidencialidad – Correo electrónico -  

100.000 euros a Orange por fotografiar el DNI del cliente al hacer entrega de los paquetes a sus destinatarios a través de las empresas de mensajería

Se denuncia por el reclamante que el empleado de la empresa de mensajería GLS pretendía hacerle entrega de un teléfono móvil remitido por la mercantil ORANGE ESPAGNE S.A.U., la cual impone como condición para hacer entrega de los paquetes a sus destinatarios, realizar una fotografía del anverso y reverso de su DNI. El empleado de la empresa de mensajería la toma con su terminal móvil en el momento de la entrega. Posteriormente, la imagen obtenida es cedida a la empresa que remitió el paquete.

Considera la AEPD que ORANGE vulneró el artículo 5 del RGPD, principios relativos al tratamiento, al imponer como condición en la entrega del producto realizar una fotografía del anverso y reverso del DNI; fotografía que es obtenida a través de la aplicación incluida en el terminal móvil del repartidor de la empresa que realiza la entrega y cuya imagen es posteriormente cedida y consultada por la empresa remitente del paquete. Existen otros procedimientos de entrega de productos a través del cual puede verificarse la identidad de su destinatario, comprobando que es la persona a la que va dirigido, sin que sea necesario fotografiar su DNI por medio de la aplicación contenida en el móvil del repartidor de la empresa distribuidora y acreditar su entrega al responsable. El acceso a la imagen del DNI, fotografiando tanto del reverso como del anverso del mismo, y su tratamiento para la finalidad de la entrega de un producto a través del terminal móvil del repartidor de la empresa distribuidora, se considera excesivo y no limitado a lo necesario en relación con los fines para los que son tratados.

Procedimiento:

PS-00413-2021

Artículos afectados:

Art. 5.1.c) RGPD (Minimización de datos)

Resolución:

100.000 euros

Anotaciones:

Hay que señalar que el DNI contiene no solo el nombre y apellidos, su número y la fotografía del destinatario sino que incorpora otros muchos datos: firma, domicilio, lugar y fecha de nacimiento, clave de acceso a la información contenida en el mismo, fecha de expedición, fecha de validez, código alfanumérico, equipo expedidor y oficina, etc., datos completamente adicionales que no son ni adecuados ni pertinentes ni limitados para la finalidad de la entrega de la mercancía y que para acreditar que la persona que recoge el producto es el titular que facilitó los datos en el momento de la contratación se habrán de utilizar otros medios que resulten menos lesivos y agresivos para la privacidad de las personas.

- Legitimación – Telecomunicaciones -  

10.000 euros por renovar un contrato sin consentimiento del interesado

La reclamante manifiesta que recibió una llamada de INYTEL (franquicia de VODAFONE) en la que había contratado sus servicios, sita en el centro comercial ALCAMPO de Granada, informándole de que la promoción que se le estaba aplicando finalizaba ese mismo mes de enero.

Asimismo, la reclamante manifiesta que la encargada de dicha tienda le ofreció renovar la promoción, habiéndole indicado la reclamante que tenía que pensarlo y que se pondría en contacto con VODAFONE a tales efectos. Con objeto de renovar la promoción que se le venía aplicando en los servicios

contratados, la reclamante acudió a una tienda de INYTEL en la que se le informó de que su promoción ya se había renovado sin su consentimiento.

Acompaña a su escrito de reclamación copia del contrato formalizado sin su consentimiento el 14 de enero de 2022 sin su firma, correos electrónicos dirigidos a la reclamada comunicando las irregularidades en la contratación.

La entidad afirma que las contrataciones son siempre remitidas a Vodafone para su posterior confirmación por parte del cliente, y que dicha confirmación escapa a su control. Sin embargo, a través de las actuaciones de investigación realizadas se ha constatado que la contratación se llevó a cabo en la tienda de INYTEL de forma manual, sin que conste que la reclamante diera su consentimiento mediante la firma del documento contractual, siendo por tanto responsable de dicha contratación como encargado del tratamiento de los mismos.

Procedimiento:

PS-00448-2022

Artículos afectados:

Art. 6 RGPD (Licitud del tratamiento)

Resolución:

10.000 euros

 

 

- Cartelería y RAT – Videovigilancia -  

Más sanciones por no tener carteles de videovigilancia y no disponer de un RAT

Se remite tres actas denuncias en las que se indica que, realizada inspección Fiscal/Administrativa en Tienda alimentación ALI MARKET (…), se observa por parte de la Guardia Civil que la tienda no dispone en la zona de videovigilancia de al menos un distintivo o cartel informativo en lugar suficientemente visible, así como tampoco  tiene a disposición de los interesados impresos en los que se detalle la información prevista en los artículos 15 a 22 del RGPD, o bien donde obtener más información sobre el tratamiento de los datos personales. También e indica que pese a tener un dispositivo de videovigilancia en uso, no acredita la obligación de disponer del Registro de Actividades de Tratamiento.

Según las evidencias de las que dispone, la AEPD considera que teniendo instaladas cámaras de videovigilancia en el establecimiento, carece de un cartel con toda la información que, preceptivamente, debe figurar en él. Tampoco dispone del resto de la información enumerada en el citado precepto que ha de facilitar a sus clientes, si la solicitaran, así como del correspondiente Registro de  Actividades de Tratamiento.

Procedimiento:

PS-00340-2022

Artículos afectados:

Art. 13 RGPD (Información de videovigilancia); Art. 30 RGPD (Registro de Actividades de tratamiento)

Resolución:

600 euros en total (400 euros Art. 13 RGPD; 200 euros Art. 30 RGPD) (360 euros por pago voluntario y reconocimiento de responsabilidad)

 

 

- Legitimación – Entidades Bancarias -  

70.000 euros a CAIXABANK por reclamar una deuda que ya había sido pagada

La parte reclamante denuncia que Caixabank Payments & Consumer EFC, EP, S.A.U., a través de empresas de recobro, le está reclamando el pago de una deuda que quedó anulada por Sentencia Judicial. Se aportó el justificante del abono en cumplimiento de la mencionada Sentencia, por el reclamante, y que el referido Juzgado, le entregó a la representación procesal de CaixaBank Payments & Consumer el correspondiente mandamiento de pago por dicho importe. Se aporta igualmente carta del Grupo CaixaBank, en la que verificaban la nulidad del contrato, por lo que han dado órdenes para el cese de las reclamaciones de impago que recibía. No obstante, la parte reclamante, proporciona una captura de pantalla del SMS recibido de la empresa de recobro en nombre de la reclamada, con fecha posterior a la carta, mensaje por el cual reclaman el pago de la deuda.

Caixabank indica que los datos de carácter personal fueron objeto de cancelación, sin embargo, considera la AEPD que se ha vulnerado el artículo 6.1 del RGPD, toda vez que trató los datos personales del reclamante sin legitimación, dado que el citado Juzgado entregó la representación procesal de CaixaBank Payments & Consumer el correspondiente mandamiento de pago por el importe correspondiente, el 6 de noviembre de 2020. Sin embargo, la parte reclamada siguió reclamando dicha deuda a través de una empresa de recobro el 23 de julio de 2021.

Procedimiento:

PS-00482-2022

Artículos afectados:

Art. 6 RGPD (Legitimación del tratamiento)

Resolución:

70.000 euros

 

 

- Consentimiento – Cookies -  

5.000 euros por tener casillas premarcadas de cookies y que estas se instalaran a pesar de rechazarlas

En el presente supuesto, se denuncia la falta de adaptación a la normativa de protección de datos de la web de la entidad FRESHLY COSMETICS, S.L, indicando que no hay aviso de cookies, ni posibilidad de aceptar o rechazarlas. Tras la investigación de la AEPD, se observa que la Política de Privacidad cumple con los requisitos necesarios; y la Política de cookies informa al usuario de qué son las cookies, qué tipos de cookies utiliza el sitio web; se  identifican las cookies que utiliza el sitio web, su funcionalidad y el tiempo de actividad.

No obstante, se observó que el banner de la primera capa posibilita aceptar todas las cookies, o gestionarlas de forma granular a través de un panel de control, pero en el panel de control se observaba que los grupos de cookies estaban premarcados en la opción de “aceptados”. Si se deseaba rechazar las cookies que no eran técnicas o necesarias se debía ir desmarcando los grupos de cookies; además, si se realizaba esta operación se observaba que la web seguía utilizando cookies que no eran técnicas o necesarias. Si bien a lo largo del procedimiento se modifica el banner para que aparezcan desmarcadas, se siguen instalando cookies no necesarias

Procedimiento:

PS-00315-2022

Artículos afectados:

Art. 22.2 LSSI (Consentimiento de cookies)

Resolución:

5.000 euros (4.000 euros por pago voluntario)

 

 

- Información y licitud – Centros deportivos -  

4.000 euros por facilitar información con la antigua normativa 15/99 y continuar tratando datos pese a la baja

El reclamante inscribió a su hijo, menor de edad, en el año 2017 en el Club, Sport Center Gym en la actividad de Kickboxing hasta julio de 2019. Años después supieron que su hijo había estado inscrito en otros clubs durante ese tiempo. En concreto, en el Centro Deportivo Arco de Verín y en Escuelas Deportivas de Cualedro, sin que nadie les comunicara estos hechos. El alta había sido tramitada por la Fundación Cipri Gomes y según indica esta Fundación, el menor, hijo del reclamante, estuvo inscrito en las Escolas Deportivas de Cualedro desde 01/02/19 hasta el 31/12/19, con las que se tenía firmado un convenio de colaboración deportiva desde el año 2011, para la práctica del Kárate y del Kickboxing.

Respecto a la falta de información, la entidad reclamada reconoce que la información relativa al tratamiento de datos se encontraba desactualizada haciendo mención a la normativa 15/99, por tanto, no se encuentra adaptada al art. 13 RGPD, al no proporcionar toda la información exigida en dicho artículo. No informa, por ejemplo, de la base de legitimación para el tratamiento, o de los plazos de conservación de los datos personales.

Sobre la falta de legitimación, consta que en julio de 2019, los padres del menor cambiaron de Centro Deportivo a su hijo siendo necesario, por tanto, el

consentimiento de los padres del menor para un tratamiento de datos posterior. Que la entidad reclamada continuara el tratamiento de datos personales del menor después de que los padres le dieran de baja del Gimnasio, desde el mes de julio de 2019, cuando los padres dieron de baja a su hijo del Gimnasio, hasta el 31/12/19, son constitutivos de una infracción del artículo 6.1 del RGPD.

Procedimiento:

PS-00238-2022

Artículos afectados:

 Art. 6.1 RGPD (Legitimación del tratamiento); Art. 13 RGPD (Información al interesado)

Resolución:

4.000 euros en total [2.000 euros (Art. 6.1RGPD); 2.000 euros (Art. 13 RGPD)]

 

 

- Cartelería – Videovigilancia -  

Sancionado por disponer de cartelería inadecuada de información de videovigilancia

Se denuncia por el afectado la instalación de una cámara de videovigilancia en el interior del establecimiento perteneciente a la parte reclamada. Consta la existencia de un cartel de “Alarma Zerovisión con intervención inmediata” de la empresa “Securitas Direct” en el exterior del local que indica lo siguiente: Grabación de imágenes, Impide la visión al intruso, Aviso a Policía 24h. Se considera que el cartel colocado en el exterior del establecimiento, bajo la rúbrica “Alarma Zerovisión con intervención inmediata”, carece de la preceptiva información exigida por el RGPD.

Por su parte, el cartel amarillo de zona videovigilada no se aprecia en ninguna de las fotografías tomadas del interior del local. El mencionado cartel carece de la información enumerada con anterioridad ya que solo contiene los siguientes datos: - “Responsable”: B.B.B.. - “Puede ejercitar sus derechos de protección de datos ante”: B.B.B.. - “Más información sobre el tratamiento de sus datos personales”: B.B.B. Los carteles deben informar acerca de la identidad del responsable, no solo su nombre, sino también dirección; la posibilidad de ejercitar los derechos reconocidos en los artículos 15 a 22 del RGPD y a través de qué vía, así como dónde podrá obtener el interesado el resto de la información exigida de conformidad con el RGPD. Por tanto, el deber de información de los afectados no queda cubierto con la presencia de los dos distintivos colocados en el local, al no estar cumplimentados debidamente

Procedimiento:

PS-00231-2022

Artículos afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

300 euros

 

 

- Incumplimiento medidas – Asesorías -  

Sancionan a una asesoría por no adoptar medidas tras un procedimiento sancionador

Con fecha 10 de junio de 2022, por la Directora de la Agencia Española de Protección de Datos se dictó resolución en el procedimiento sancionador número PS/00439/2021, seguido contra INMARAN ASESORES S.L. (en adelante, la parte reclamada). En dicha resolución, además de sancionar con la imposición de multa, se requería la adopción de conformidad con el artículo 58.2.d) del RGPD, proceda, dentro del plazo de un mes computado desde que la presente resolución fuera ejecutiva, a adoptar todas las medidas que resulten indispensables para garantizar que informa en los términos previstos en el artículo 13 del RGPD a los interesados de quienes se recaban datos personales, en el momento de la recogida.”

Tras varios requerimientos por parte de la AEPD a la entidad INMARAN ASESORES sin que esta remitiera respuesta alguna a la Agencia que acredite el cumplimiento de las medidas impuestas, a pesar de que el requerimiento fue recogido por el Responsable, por lo que se considera que corresponde imputar una sanción a la parte reclamada por la vulneración del artículo 58.2 del RGPD, además de mantener la obligación de comunicar las medidas ordenadas en la Resolución del procedimiento sancionador del que trae causa el incumplimiento.

Procedimiento:

PS-00616-2022

Artículos afectados:

Art. 58.2.d) RGPD (Poderes correctivos)

Resolución:

1.000 euros

Anotaciones:

La resolución original de la que trae causa puede es PS-00439-2021

- Legitimación datos sensibles – COVID -  

10.000 euros a la Real Federación Española de Tenis de Mesa por haber solicitado certificado de vacunación

Se denuncia por parte de uno de los aspirantes la vulneración de la normativa de protección de datos al requerir prueba PCR o certificado de vacunación frente al Covid-19 a los deportistas en el acceso a las instalaciones deportivas de la Comunidad de Madrid, la Residencia Blume, centro dependiente del Consejo Superior de Deportes (CSD) para realizar el examen de entrenador de tenis de mesa.

Unas semanas antes de realizar la prueba en las instalaciones, los aspirantes recibieron un correo por parte de la Federación explicando que uno de los requisitos para acceder a las instalaciones era tener la pauta completa de la vacuna contra el coronavirus y, debiendo presentar el pasaporte COVID, o remitirlo por correo electrónico o el día de la prueba; o bien realizando una prueba PCR dentro de las 72 horas previas. Esto obedecía a un protocolo creado conjuntamente con el CSD, protocolo del cual no se aportó copia en ningún momento.

Esgrime la Federación que este protocolo se amparaba en los artículos 9.2.c) y h) RGPD, es decir, la protección de intereses vitales del interesado y la prevención de la salud de los empleados de la RFETM y de la residencia, donde se celebraban las pruebas, con el fin de evitar la propagación del virus., haciendo referencia a la Ley 2/2021 de 29 de marzo de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID. Pero esta ley contempla medidas de ventilación, limpieza y desinfección en los centros de trabajo, entidades o titulares de actividades económicas, pero no se hace referencia ni a los certificados de vacunación ni a la obligatoriedad de PCR; y tampoco se dictaron normas que exijan presentar el pasaporte COVID para acceder a establecimientos.

Si bien existe una obligación de las empresas la aplicación de medidas de prevención de riesgos laborales para preservar a salud y evitar propagar el virus, estas normas no aplican cuando el tercero que se va a examinar no es empleado y por tanto no es sujeto de derecho de prevención de riesgos laborales que se le deba aplicar, por lo que no se puede entender amparado en el art. 9.2.h) RGPD.

En cuanto al interés vital del artículo 9.2 c), este es únicamente aplicable “en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;”, lo que no ocurre en el caso en que los asistentes, que si podían dar el consentimiento.

Procedimiento:

PS-00051-2022

Artículos afectados:

Art. 9.2 RGPD (Tratamiento de datos sensibles)

Resolución:

10.000 Euros

 

 

- Consentimiento – Comunicaciones comerciales -  

Nuevas sanciones por continuar con el envío de comunicaciones comerciales pese a haber solicitado la baja

En el presente caso, se denuncia por parte de un abogado la recepción de dos correos electrónicos publicitario de la entidad reclamada COPY COFFEE, pese a haberse opuesto expresamente a ello y habiendo recibido confirmación de la propia entidad ese mismo día contestación de que los datos fueron obtenidos de internet, al ser de acceso público, pero, no obstante, se comprometían a no enviarle más correos electrónicos publicitarios. Por su parte, la entidad reclamada alega, entre otras que, los datos han sido usados solo en el momento de envío del email para su posterior eliminación, que dichos datos los ofrece Google de manera gratuita y que en ningún momento se comunican de manera comercial, hasta que el destinatario confirma de forma explicita y de forma escrita firmando un documento. No obstante, en los correos electrónicos enviados al reclamante se puede comprobar que contienen claramente comunicaciones comerciales, como, por ejemplo: “(…) Aumentamos la visibilidad a nivel local de empresas en Google (…)”.

Si bien inicialmente se propone una sanción de 5.000 euros, atendiendo al principio proporcionalidad y a la individualización de la sanción elegida de manera que represente una adecuada respuesta a la antijuridicidad del hecho y a la culpabilidad del autor, la AEPD considera razonable atender a las alegaciones presentadas por la entidad reclamada en la que justifica unas pérdidas en los años anteriores que ascienden a un total de XX.XXX,XX euros y que la imposición de la sanción propuesta podría suponer “el fin de esta empresa”, reduciendo el importe de la sanción a 1.500 euros

Procedimiento:

PS-00458-2022

Artículos afectados:

Art. 21 LSSI (Comunicaciones comerciales)

Resolución:

1.500 euros (5.000 euros inicialmente)

 

 

- Confidencialidad y Medidas de Seguridad – Correo Electrónico -  

Sancionado por remitir publicidad a varios destinatarios sin copia oculta

Con fecha 21 y 28 de julio de 2021 y 26 de agosto de 2021, la parte reclamada remitió correos electrónicos a una pluralidad de destinatarios sin haber

utilizado la funcionalidad de copia oculta, dejando a la vista direcciones de correo electrónico personales. La parte reclamada ha reconocido su responsabilidad dentro del plazo para formular alegaciones al acuerdo de inicio, pero presentó escrito de alegaciones para que la sanción no fuera pecuniaria, sino de apercibimiento. Entras otras cuestiones, alega que los destinatarios de los mails conocían las demás direcciones de correo electrónico, pero no acredita que los distintos destinatarios de los mails en los que no se utilizó la funcionalidad de copia oculta, conocieran todas las direcciones de correo electrónico personales en ellos contenidos; así como haber procedido a la contratación de una consultora especializada en cumplimiento normativo, pero esta medida no palía los daños y perjuicios sufridos, además de ser una medida propia de un responsable del tratamiento que actúa en base al principio de responsabilidad proactiva

Procedimiento:

PS-00473-2022

Artículos afectados:

Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de Seguridad)

Resolución:

1.500 euros en total (1.200 euros por pago voluntario); [1.000 euros Art. 5.1.f) RGPD; 500 euros Art. 32 RGPD]

Anotaciones:

Por la entidad se solicita la aplicación de múltiples atenuantes, pero se indica la AEPD que se tratan de circunstancias neutras y no atenuantes, entre otras: la ausencia de infracciones anteriores; la cooperación con la autoridad de control, que se hayan visto comprometido pocos datos; que se trate de una infracción puntual; que la actividad principal del reclamado no esté vinculado al tratamiento de datos; la falta de beneficios como consecuencia de la infracción; o que no se hayan visto afectado menores.

- Minimización – Medios de comunicación -  

Múltiples resoluciones por la publicación de audios de la declaración ante el juez de una víctima de una violación múltiple

La parte reclamante informaba de que varios medios de comunicación publicaron en sus sitios web el audio de la declaración ante el juez de una víctima de una violación múltiple, para ilustrar la noticia relativa a la celebración del juicio en un caso que fue muy mediático. La parte reclamante facilitaba los enlaces a las noticias publicadas en los sitios web de los medios reclamados. La voz de la víctima se apreciaba con toda nitidez al relatar con toda crudeza de detalles la violación múltiple sufrida. Todo ello, constituye un tratamiento de datos personales de la víctima.

En estos supuestos se debe considerar que el tratamiento llevado a cabo por la parte reclamada en el marco de la libertad de información ha sido excesivo, al no existir un interés público informativo prevalente en la difusión de la voz de la víctima -sin que aporte valor añadido alguno a la información

el mantener la voz real de la víctima (sin distorsionar, por ejemplo)-, bajo cuyo pretexto parece que se han divulgado aquellos datos; voz que, sumado al hecho de tratarse de un caso muy mediático, hace claramente identificable a la víctima. Al ponderar los intereses enfrentados y, atendiendo a las  circunstancias concurrentes de este caso, esto es, la naturaleza especialmente sensible de los datos personales y la intensa afectación a la intimidad de la víctima merece mayor protección el interés de la titular del derecho a la protección de sus datos personales y a que no se difundan frente al pretendido interés público en su difusión. Si bien se tratan de hechos “de relevancia pública”, en el sentido de que se revelen como “necesarios” para la exposición de las ideas u opiniones de interés público, esa necesidad no alcance a que se faciliten datos que identifiquen a la víctima.

Entre las entidades sancionadas se encuentran 20 Minutos; Atresmedia; Telecinco; Radiotelevisión Española; Diario ABC; Display; Editorial Prensa Canaria; El Diario De Prensa Digital; La Vanguardia; Radio Televisión Madrid; Sociedad Española De Radiodifusión; El Confidencial; Unidad Editorial.

Procedimiento:

PS-00158-2022; PS-00190-2022; PS-00191-2022; PS-00192-2022; PS-00193-2022; PS-00194-2022; PS-00195-2022; PS-00196-2022; PS-00197-2022; PS-00198-2022; PS-00199-2022; PS-00200-2022; PS-00201-2022

Artículos afectados:

Art. 5.1.c) RGPD (Minimización de datos)

Resolución:

50.000 euros cada entidad sancionada

Anotaciones:

Indica la AEPD que "la voz de cualquier persona es un dato personal y la identifica o la hace identificable de manera unívoca, independientemente del número de personas que puedan reconocerla."  [...] Cierto es que, en ocasiones, hay matices que pueden hacer difícil la identificación de una persona por su voz, en concreto cuando hay problemas de salud que provocan disfonías a ésta, cuando la persona de manera consciente y voluntaria modifica su modo de hablar natural y cuando se distorsiona la voz a través de medios técnicos. Pero ninguno de los supuestos acontece en el presente caso.

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857