Noticias \ RSM20230525 - Resoluciones Relevantes


Noticias

RESOLUCIONES RELEVANTES 18/03/2023 - 19/05/2023

Cartelería, WhatsApp, Páginas web, Comunicaciones comerciales, Información al interesado, Evaluación de impacto, Licitud de tratamiento...

“La AEPD ha iniciado el trámite de audiencia para recabar la opinión de los interesados acerca del proyecto de Circular sobre la aplicación del artículo 66.1.b) de la Ley 11/2022 General de Telecomunicaciones. Esta Ley regula, entre otros temas, el derecho de los usuarios a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, incluyendo el no recibir llamadas no deseadas. De este modo, cambia el régimen jurídico aplicable que existía con anterioridad y contempla en su texto que ese apartado entrará en vigor el 29 de junio de este año."

(ABL)

- Cartelería – Videovigilancia -  

La AEPD mantiene una sanción por no disponer de cartelería informativa, aun cuando las cámaras son falsas, por no haber presentado alegaciones

En el presente supuesto, constan como hechos probados del procedimiento sancionador recurrido la existencia de varias cámaras de videovigilancia en el establecimiento de la parte denunciada sin disponer de los preceptivos carteles informativos de zona videovigilada, ni de tener a disposición de los afectados el resto de información exigida por el RGPD, según Acta-Denuncia de la Guardia Civil. La Agencia notificó a la parte denunciada el acuerdo de apertura del procedimiento sancionador, pero no presentó alegaciones ni pruebas que contradijeran los hechos denunciados, por lo que el acuerdo de inicio se consideró propuesta de resolución.

Ante la resolución, el denunciado presentó recurso de reposición indicando que las cámaras que se encontraban en el establecimiento no funcionaban,

eran de segunda mano y estropeadas. Se colocaron con el único fin de disuadir a los posibles hurtadores; y que ante la falta de funcionamiento y la inviabilidad de su reparación, ha procedido a la retirada de las cámaras. Asimismo, se indica que en ningún momento se procedió a la comprobación del funcionamiento por parte de los agentes que visitaron el local; y que no ha recibido ninguna notificación previa a la resolución y por tanto solamente tiene la opción de realizar el presente recurso de reposición.

Sin embargo, la AEPD desestima el recurso alegando que el acuerdo de inicio del procedimiento sancionador fue notificado en tiempo y forma mediante la publicación edictal en el BOE tras dos intentos infructuosos en la dirección que la propia parte recurrente reconoce es su domicilio. Por lo tanto, de conformidad a la LPACAP, al tener la condición de prueba los documentos formalizados por funcionarios, no se tendrán en cuenta en la resolución de los recursos, hechos, documentos o alegaciones del recurrente, cuando habiendo podido aportarlos en el trámite de alegaciones no lo hubiera hecho

Procedimiento:

Reposición PS-00492-2022

Artículos afectados:

Art. 13 RGPD (Información al interesado); Art. 77.5 LPACAP (Documento de funcionarios como prueba); Art. 118.1 LPACAP (Audiencia de los interesados)

Resolución:

Desestimación del recurso de reposición

Anotaciones:

El procedimiento original puede consultarse aquí PS-00492-2022

- Confidencialidad – WhatsApp -  

3.000 € a una empresa de seguridad privada por remitir a través de WhatsApp un video con imágenes de la garita

Se denuncia por parte de un trabajador de la empresa de seguridad GRUPO DE SEGURIDAD Y CONTROL GLOBAL, S. L. la divulgación de un video a través del grupo de WhatsApp del trabajo. Se recibe una llamada desde el centro de control del servicio de vigilancia alertando de la intrusión de varios individuos dentro de una de las viviendas de la urbanización que contrató sus servicios, comunicando los hechos a los Vigilantes de Seguridad y a la Guardia Civil, produciéndose un intento de persecución sin éxito.

El jefe de Seguridad inició una investigación de los hechos dentro sus funciones, y solicitó que se facilitaran las imágenes relacionadas con la intrusión a dicho grupo de WhatsApp. En el video, se observa un comportamiento inusual por parte del vigilante y reclamante ante la AEPD, durante su jornada laboral; por lo que denuncia los hechos a fin de investigar si existe alguna vinculación entre el reclamante y la intrusión. Posteriormente, el reclamante fue despedido disciplinariamente, y considera la empresa que la denuncia ante la AEPD es un intento de represalia fruto del despido disciplinario y de la denuncia. Asimismo, indica que todos los empleados son conocedores de sus obligaciones y firman un acuerdo de confidencialidad, por lo que conocen que las imágenes y datos personales objeto de tratamiento deben ser tratados de manera totalmente confidencial y con la única finalidad de dar cumplimiento al encargo profesional.

Por su parte, el reclamante considera que no se le ha pedido consentimiento para tal difusión y que el vídeo fue difundido con el propósito de vejarle ante el resto de los trabajadores integrantes del grupo de WhatsApp del trabajo.

Resuelve la Agencia que, con independencia de que el uso de la aplicación WhatsApp sea habitual para la comunicación y el envío de documentos e imágenes, debe tenerse en cuenta a quien se envían los mensajes cuando en los mismos se incluyan datos personales como es la imagen, dado que debe existir una justificación para enviar datos personales a los miembros de un grupo de WhatsApp. En el vídeo se puede observar la existencia de una cámara instalada en la parte superior pudiéndose visualizar la imagen del interior de la garita con un trabajador en su interior. Si la finalidad era la de informar a la Guardia Civil de la situación y cumplir con su obligación profesional de colaboración con las Fuerzas y Cuerpos de Seguridad del Estado, no era necesario enviar las imágenes a través de un grupo, sino sencillamente pasárselas al jefe de seguridad y éste a las Fuerzas y Cuerpos de Seguridad del Estado, sin que resulte necesario comunicarlo a terceros a través del grupo.

Procedimiento:

PS-00494-2022

Artículos afectados:

Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de Seguridad)

Resolución:

3.000 € en total; 2.000 € (Art. 5.1.f RGPD); 1.000 € (Art. 32 RGPD)

 

 

- Información al interesado – Páginas Web -  

2.000 € por no disponer de política de privacidad

Se presenta una reclamación contra ROMBOC COMUNICACIONES, por recibir llamadas comerciales de esta entidad en las que facilita datos de consumo del punto de suministro energético del afectado. Añade que carecen de su consentimiento para tratar sus datos y que, al solicitar un dato de contacto para ejercer sus derechos, le han informado que figuran en el sitio web del responsable. Una vez accede a www.romboccomunicaciones.com comprueba que carece de aviso legal, información de cookies y política de privacidad.

Se observa por la Agencia en fecha 10/12/2021 que en el sitio web de la entidad reclamada se recogen datos personales a través de un formulario de contacto (nombre, email, teléfono y dirección), pero carece de la debida política de privacidad. A fecha 08/03/2022 no existe la citada web, pero a  08/07/2022 se accede de nuevo y se observa que dispone de información sobre cookies, pero no de política de privacidad cuando resulta obligatorio al recoger datos personales a través de un formulario de contacto y de trabajo. El 10/01/2023 la Agencia comprueba que la entidad reclamada ha incorporado a su página web una política de privacidad. No obstante, se considera que la entidad reclamada vulneró hasta la fecha señalada la obligación que le impone el artículo 13 del RGPD de informar al titular de los datos personales objeto de tratamiento.

Procedimiento:

PS-00671-2022

Artículos afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

2.000 € (1.200 € por pago voluntario y reconocimiento de responsabilidad)

 

 

- Licitud – Comunicaciones Comerciales -  

Sancionan con 2.000 € por hacer llamadas comerciales sin poder demostrar que tienen el consentimiento del interesado

Denuncia el reclamante que está recibiendo llamadas publicitarias con técnicas engañosas, dónde la persona que llama se identifica como su asesora energética, llamándole por su nombre de pila dando datos de consumo de mi línea eléctrica. La entidad se identificaba como ROMBOC, por lo que la Agencia solicita información a la entidad. Conforme a las manifestaciones y a la documentación aportada por ROMBOC, se indica que la base de datos para poder ofrecer servicios energéticos a sus clientes se la proporciona CONCENTRA CENTRAL DE COMPRAS Y SERVICIOS, S.L. (en adelante, CONCENTRA) quien las obtendría de ATRATO MEDIA, S.L. (en adelante, ATRATO) y ésta, a su vez, de BOX 24 2050 SL (en adelante, BOX 24), entre otras.

En el presente caso, BOX 24 (responsable del tratamiento) y ATRATO (agente) suscribieron un contrato de agencia en virtud del cual esta última se compromete a prestar servicios como intermediario comercial a fin de promover la utilización del fichero titularidad de BOX 24 para la realización de campañas publicitarias de terceras empresas. En el pacto segundo del contrato, BOX 24, como responsable del tratamiento, asegura que “las personas incluidas en su fichero han prestado su consentimiento explícito para la cesión de sus datos a terceras empresas de ciertos sectores y/o para ser receptoras de acciones o campañas de terceras empresas (…), habiendo prestado su consentimiento a tal efecto de forma inequívoca mediante un acto afirmativo claro y en especial para el caso de envío de comunicaciones publicitarias o promocionales por cualquier medio”. En todo momento, se establece como base legitimadora para el tratamiento el consentimiento prestado de manera libre, informado, específico e inequívoco por aquellas personas que han enviado sus datos personales para participar en el concurso y recibir información comercial, indicando que esta circunstancia legitima la cesión de los datos de aquellas personas que hayan marcado la casilla del formulario de recogida de datos que señala: “Acepto que BOX 24 2050 S.L. ceda el tratamiento de mis datos a terceras empresas relacionadas con los sectores de actividad que se detallan en la Política de Privacidad”.

No obstante, en este caso, no se ha acreditado que la parte reclamante haya consentido dicha cesión; pues el documento facilitado por CONCENTRA solo contiene el acuse de recibo de BOX 24 de la solicitud de acceso de la parte reclamante. En ningún caso queda demostrado que la parte reclamante registrara sus datos personales ni que marcara la casilla relativa a la cesión de sus datos y, por consiguiente, que otorgara su consentimiento para tal finalidad. Por ello, se considera que se ha vulnerado el art. 6.1 RGPD, al no existir base jurídica alguna para la cesión a terceras empresas de los datos de la parte reclamante

Procedimiento:

PS-00040-2023

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

2.000 € (1.200 € por pago voluntario y reconocimiento de responsabilidad)

Anotaciones:

Este procedimiento está relacionado con el PS/00671/2022

- DPO e Información al interesado – Franquicia -  

20.000 € a KFC por no designar un DPO, y 5.000 € por no disponer de una adecuada política de privacidad

Se denuncia por parte de un particular el incumplimiento generalizado de la normativa de protección de datos por parte de la entidad KFC Spain. En este sentido:

a.- Sobre la “Política de Privacidad” en la web www.kfc.es, la información que se ofrece a los usuarios de la misma, con respecto al tratamiento de sus datos personales, se ofrece a través de los siguientes documentos colgados en la web, Todos ellos, accesibles desde los diferentes formularios y a través de los enlaces existentes en la parte inferior de la página principal. Según el apartado c) del artículo 13.1 RGPD, se debe informar a los usuarios de los fines del tratamiento a que se destinarán sus datos personales y la base jurídica aplicable para ello (art. 6 RGPD), evitando prácticas tales como incluir finalidades demasiado genéricas o inespecíficas, que puedan conducir a tratamientos ulteriores que excedan las expectativas razonables del interesado. En este caso, en la política de privacidad de la página web www.kfc.es no se ofrece información precisa sobre los fines del tratamiento de datos, al utilizar expresiones indefinidas como “podemos utilizar…”, sin que el reclamado haya acreditado el motivo por el cual se hizo necesario el empleo de las mismas, tal y como requieren las Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679 del GT29, revisadas por última vez y adoptadas el 11 de abril de 2018, y donde se estable lo siguiente: "Debe evitarse el uso de calificativos del tipo «puede», «podría», «algunos», «frecuentemente» y «posible». Cuando los responsables del tratamiento opten por utilizar un lenguaje indefinido" deben poder demostrar, con arreglo al principio de responsabilidad proactiva, por qué no se pudo evitar emplear este lenguaje y por qué no socava la lealtad del tratamiento. 

b.- Sobre la designación de un DPO: Se preguntó a KFC sobre los análisis realizados para evaluar la necesidad de nombrar o no un DPO, contestando la entidad que las actividades del tratamiento realizadas no se circunscriben a las del art 37 RGPD ni la entidad se encuentra entre las obligadas en el art 34 LOPDGDD. La AEPD indica que, dentro de los tres supuestos contemplados en el art. 37 RGPD, debe analizarse la letra b), el cual conlleva la examinación de tres elementos: “actividad principal”, la “observación habitual y sistemática” y “gran escala”. El hecho de que las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala ya impone la necesidad de nombramiento de DPD, por los riesgos que entraña, máxime si se desarrolla a través de internet o de una app como en el supuesto examinado.

Procedimiento:

PS-00140-2022

Artículos afectados:

Art. 37 RGPD (Designación de DPO); Art. 13 RGPD (Información al interesado)

Resolución:

25.000 € en total [20.000 € (Art. 37 RGPD); 5.000 € (Art. 13 RGPD)]

Anotaciones:

- Las “actividades principales” pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. No obstante, las “actividades principales” no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del responsable o encargado del tratamiento

- La observancia habitual y sistemática, “habitual” con uno o más de los siguientes significados: a). continuado o que se produce a intervalos concretos durante un periodo concreto; b). recurrente o repetido en momentos prefijados o que tiene lugar de manera constante o periódica. El Grupo de Trabajo interpreta “sistemático” con uno o más de los siguientes significados: a). que se produce de acuerdo con un sistema; b). preestablecido, organizado o metódico; c). que tiene lugar como parte de un plan general de recogida de datos; d). llevado a cabo como parte de una estrategia. Como ejemplo cita las actividades de mercadotecnia basadas en datos, llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles, programas de fidelidad o publicidad comportamental. En el supuesto examinado cumple con el criterio de habitual y conforme a un plan de recogida de datos para obtener datos de los clientes e incrementar su área de negocio. Sólo hay que echar un vistazo a su política de privacidad, en la que muestran

que recogen datos de todo tipo, incluyendo la dirección IP (un punto clave de localización), el historial de navegación y las preferencias del usuario, datos derivados de las cookies entre las que existen algunas de seguimiento, datos de geolocalización o datos de facturación, entre otros.

- Gran escala hace referencia al número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; b). el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; c) la duración, o permanencia, de la actividad de tratamiento de datos; d). el alcance geográfico de la actividad de tratamiento. Un tratamiento a gran escala supone tratar una cantidad considerable de datos personales (todos los citados en su política de privacidad) en un determinado ámbito territorial (en este caso a nivel nacional); afectando a múltiples interesados (se trata de una app de amplia implantación y con un gran número de interesados); también si pueden entrañar alto riesgo (uno de los datos que utilizan es la de la geolocalización).

- Incumplimiento Resoluciones – Empresas de Seguridad -  

50.000 € a Securitas por no haber facilitado al cliente todos los logs de acceso al sistema de alarma

El reclamante dispone de una residencia vacacional sobre la que tenía suscrito con la reclamada un contrato de servicio de seguridad que incluía instalación, mantenimiento y explotación de una central de alarmas. El reclamante manifiesta que un día al acceder a su vivienda, descubrió que había sufrido un robo, y encontró “la central de alarma” destrozada sin haber sido avisado, recibiendo una llamada de la Compañía esa misma mañana indicando la existencia de problemas de conexión. Es por ello que ejerce en diversas ocasiones el derecho de acceso a los logs de la alarma, proporcionándose por Securitas los “logs” en bruto, sin tratar, y habiendo filtrado previamente los "logs", excluyendo la información que considera que no son datos personales “al tratarse de información exclusivamente técnica” y ateniéndose a secreto comercial. Asimismo, de los logs que considera contienen datos de carácter personal del reclamante no proporcionó los indicativos y claves que permitirían conocer por completo su significado.

La AEPD concluye, en este caso concreto, que todos los logs son datos de carácter personal, incluyendo los denominados técnicos por la reclamada, que identifican al reclamante y afectan de un modo u otro al reclamante, por lo que entrarían en el derecho de acceso que se debería proporcionar; por lo que Securitas ha incumplido la resolución de la Agencia Española de Protección de Datos con relación a las medidas que se le impusieron; pues en las ocasiones que se proporcionó el acceso, las dos primeras con el mismo contenido, y una tercera tras la resolución del procedimiento de ejercicio de derechos fue incompleto, no parcial, ya que no se refleja ni todo su contenido ni tampoco se facilita su comprensión.

Procedimiento:

PS-00281-2022

Artículos afectados:

Art. 58.2 c) RGPD

Resolución:

50.000 €

Anotaciones:

El reclamante ejerció su derecho de acceso ante la reclamada el 7/04/2017 “respecto a toda la información obrante en los servidores de Securitas Direct relativa a los registros y señales enviadas por el equipo de alarma instalado en su propiedad, así como las copias existentes de los registros contenidos en la memoria interna de la alarma entre los días 26/11 y 18/12/ 2015”. La reclamada contestó que los registros contenidos en la alarma no entran dentro de la categoría de datos personales, acudiendo el reclamante a la AEPD que resolvió en recurso de reposición el 2/01/2018, estimar la pretensión del reclamante e indicando que se le facilitase el derecho. La reclamada impugnó el acuerdo en la vía contencioso-administrativa, resolviendo la Audiencia Nacional, sección primera, el 23/07/2019, en su recurso 146/2018, desestimando su pretensión y confirmando la resolución

- Evaluación de impacto – Laboral -  

Nueva sanción de 20.000 € por no disponer de una Evaluación de Impacto al implantar un sistema biométrico para el registro de jornada

El reclamante expone que la empresa reclamada saca una fotografía de la cara de los empleados desde un dispositivo de la entrada y que esa imagen se usa para fichar la entrada y la salida en el puesto de trabajo. Manifiesta que nunca ha sido informado del uso de los datos biométricos, tan solo les hacen firmar un consentimiento al uso de los derechos de imagen que podrían ser utilizadas y difundidas para la publicación en su página web, redes sociales, campañas, revistas, folleos, publicidad corporativa y demás materiales de apoyo necesarios para la difusión y promoción de la empresa reclamada.

La entidad reclamada donde manifiesta que la implementación del registro de jornada, no precisa el consentimiento del trabajador, siendo base suficiente de legitimación el artículo 34.9 del Estatuto de los trabajadores, donde se establece la obligación de las empresas de realizar dicho registro de la jornada con carácter individual de cada persona trabajadora y que , de acuerdo con lo previsto en el artículo 6.1 c) RGPD, el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, única finalidad del tratamiento. La entidad reclamada concluye diciendo que no se encuentra en ninguno de los supuestos que exigen una evaluación de impacto, de conformidad con el artículo 35 del RGPD. Sin embargo, la AEPD recuerda que no estamos ante una lista exhaustiva, sino que ha de valorarse la complejidad del proceso de gestión de riesgo, teniendo en cuenta no el tamaño de la entidad, la disponibilidad de recursos, la especialidad o sector de esta, sino el posible impacto de la actividad de tratamiento sobre los interesados y la propia dificultad del tratamiento.

Procedimiento:

PS-00597-2022

Artículos afectados:

Art. 35 RGPD (Evaluación de impacto)

Resolución:

20.000 € (12.000 por pago voluntario y reconocimiento de responsabilidad)

 

 

- Licitud del tratamiento – Videovigilancia y audio -  

5.000 € por tener cámaras de videovigilancia que podían captar audio aunque no grabaran

La parte reclamante ha manifestado que presta servicios como empleada de la parte reclamada en el loca comercial del reclamante, el cual dispone de un sistema de videovigilancia. La parte reclamante manifestó que el sistema de videovigilancia dispone de captación de sonido, además de captación de imagen, aportando capturas de pantalla de un dispositivo móvil en las que puede verse mensajes de WhatsApp en el que el reclamado indica “Porque entré en la cámara y se escuchaban las noticias”.

Al disponer la captación de sonido, la parte reclamada no tiene en cuenta los limites previstos en el artículo 20.3 de la Ley del Estatuto de los Trabajadores (LET); lo establecido en el artículo 89.3 de la LOPDGDD, que admite la recogida y grabación de sonidos únicamente cuando resulten relevantes los riesgos y respetando los principios de proporcionalidad e intervención mínima; ni la doctrina del Tribunal Constitucional. Se entiende desproporcionada la captación de la voz tanto de los trabajadores como de clientes de la parte reclamada para la función de videovigilancia pretendida. Se tiene en cuenta que la captación de voz supone una mayor intromisión en la intimidad.

Al no grabar o registrar audios, considera la parte reclamada que no está cometiendo la infracción que se imputa, sin considerar que la mera captación de audios, aun sin proceder a su grabación y conservación, constituye un tratamiento de datos personales que requiere de una base legítima para poderlo llevar a cabo, de conformidad con lo dispuesto en el artículo 6 del RGPD.

Procedimiento:

PS-00389-2022

Artículos afectados:

Art. 6 RGPD (Legitimación del tratamiento)

Resolución:

5.000 €

Anotaciones:

Posteriormente, recurre la resolución alegando que el sistema de videovigilancia capta audio, pero no lo graba, por lo que entiende que no ha cometido infracción alguna. Sin embargo, reitera la AEPD en la resolución REPOSICION-PS-00389-2022 que la infracción se entiende consumada con esa captación de audio, que constituye en sí misma un tratamiento de datos personales, con independencia de que el audio se grabe o no en el sistema.

- Licitud del tratamiento – Telecomunicaciones -  

Más casos de fraudes por la emisión de duplicados de tarjetas SIM: 70.000 € a Digi

La parte reclamante formuló reclamación ante esta Agencia el día 19 de octubre de 2021 en la que se hace constar haber sufrido una suplantación de identidad el 2 de septiembre de 2021, en relación con la obtención por parte de un tercero de un duplicado de su tarjeta SIM, lo que le ocasionó un perjuicio económico, ya que se realizaron numerosas transferencias desde su cuenta bancaria.

En la explicación aportada por DIGI, no se apunta a cuál pudo haber sido la causa concreta que desembocó en la emisión del duplicado, más allá de unas explicaciones genéricas sobre una actividad fraudulenta de un tercero. En todo caso, la parte reclamada no ha sido capaz de acreditar que para este supuesto se siguiera el procedimiento implantado por ella misma, ya que, de haberlo hecho, se debió haber producido la denegación del duplicado de la tarjeta SIM, quedando en entredicho la diligencia empleada por parte de la reclamada para identificar a la persona que solicitó un duplicado de la tarjeta SIM.

Procedimiento:

PS-00505-2022

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

70.000 €

 

 

- Aviso legal y Cookies – Páginas Web -  

10.000 € por no tener una Política de Privacidad adecuada e instalar cookies no necesarias sin consentimiento

Se denuncia por parte de un particular que la web PetConfort carecía de un aviso legal e identificativos del Responsable del tratamiento, y que no disponía de una Política de cookies.

- Respecto a la Política de privacidad, al hacer clic en la misma se accede a una nueva página donde se proporciona información sobre la información personal que recopilan; cómo utilizan la información; cómo comparten la información personal; cómo desarrollan la publicidad de comportamiento o sobre la retención de los datos. No obstante, respecto de los derechos que asisten a los usuarios, se informa que "tiene derecho a acceder a la información personal que tenemos sobre usted y a solicitar que su información personal sea corregida, actualizada o eliminada."; y respecto al  Responsable del tratamiento, únicamente se indica "Para obtener más información sobre nuestras prácticas de privacidad, si tiene preguntas o si desea presentar una queja, comuníquese con nosotros por correo electrónico". El hecho de que no se informe convenientemente de los derechos que asisten a los usuarios de la página web, respecto al tratamiento de sus datos personales o que tienen derecho a interponer reclamación, en este caso, ante la AEPD, ni se identifique convenientemente al responsable del tratamiento de los datos personales en la web, es constitutivo de una infracción del artículo 13 del RGPD

- Sobre las Cookies, al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o necesarias. Para la utilización de las cookies no exceptuadas, será necesario obtener el consentimiento del usuario de forma expresa. Este consentimiento se puede obtener haciendo clic en, “aceptar” o infiriéndolo de una inequívoca acción realizada por el usuario que denote que el consentimiento se ha producido inequívocamente. Asimismo, en el banner de información sobre cookies existente en la primera capa de la web (“Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia en nuestro sitio web”), no se identifican las finalidades para las que se utilizarán las cookies y si éstas son propias o también de terceros.

Procedimiento:

PS-00393-2022

Artículos afectados:

Art. 13 RGPD (Información al interesado);  Art. 22.2 LSSI (Información sobre Cookies)

Resolución:

10.000 € en total (5.000 € por infracción)

Anotaciones:

En este sentido, el GT29, en su Dictamen 4/2012, interpretó que entre las cookies exceptuadas estarían las Cookies de entrada del usuario” (aquellas utilizadas para rellenar formularios, o como gestión de una cesta de la compra); cookies de autenticación o identificación de usuario (de sesión); cookies de seguridad del usuario(aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web); cookies de sesión de reproductor multimedia; cookies de sesión para equilibrar la carga; cookies de personalización de la interfaz de usuario y algunas de complemento (plug-in) para intercambiar contenidos sociales.

- Informe AEPD – Telecomunicaciones -  

La AEPD concluye que la nueva Ley General de Telecomunicaciones admite el interés legítimo como base de legitimación para el tratamiento de datos con fines de mercadotecnia

Atendiendo a la redacción literal del artículo 66.1.b) de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones, a los antecedentes históricos y legislativos y, especialmente, al espíritu y finalidad de la norma, que no ha limitado exclusivamente la realización de las llamadas con fines de comunicación comercial al previo consentimiento de los usuarios finales, sino que ha incluido la posibilidad de que puedan ampararse en otras bases jurídicas del artículo 6.1. del RGPD, debe concluirse que el precepto admite, como base legitimadora, además del consentimiento, el interés legítimo. Para hacer uso del interés legítimo, se debe tener en cuenta lo siguiente:

a) El interés legítimo no debe considerarse como «el vínculo más débil» ni como una puerta abierta para legitimar todas las actividades de tratamiento de datos que no estén comprendidas en cualquiera de los demás motivos de legitimación.

b) Para que pueda considerarse «legítimo» deberá ser lícito, es decir, conforme a la legislación nacional europea. Debe estar articulado también con la claridad suficiente y debe ser lo suficientemente específico para permitir que la “prueba de sopesamiento” se realice en contraposición a los intereses y los derechos fundamentales del interesado. Debe también representar un interés real y actual, es decir, no debe ser especulativo.

c) El tratamiento debe ser también «necesario para la satisfacción del interés legítimo» perseguido por el responsable del tratamiento o, en el caso de revelación de los datos, por la tercera parte. Por tanto, siempre se preferirán medios menos invasivos para servir al mismo fin.

d) Teniendo en cuanta las dificultades que plantea la aplicación de la “prueba de sopesamiento”, se identifican unos factores clave que deben considerarse al efectuar la misma: la naturaleza y fuente del interés legítimo, el impacto sobre los interesados (si afecta a datos sensibles o que consten en fuentes públicas; o la manera en la que se tratan los datos, expectativas del interesado...); garantías adicionales para impedir un impacto indebido (minimización de datos, medidas técnicas y organizativas adoptadas, uso de técnicas de anonimización, aumento de transparencia).

En todo caso, las consideraciones realizadas en el informe respecto de la aplicación de la base jurídica del interés legítimo se limitan, exclusivamente, al tratamiento de los datos personales necesarios para la realización de la llamada con fines de comunicación comercial.

Cualesquiera otros tratamientos de datos personales que puedan realizarse por el responsable vinculados a la misma finalidad comercial, como puedan ser los relacionados con la obtención de datos de contacto procedentes de terceros, el posible perfilado de los contactos y su segmentación, el enriquecimiento de datos con, entre otros, las respuestas que esté dando el cliente o su posible grabación, requerirá contar con la correspondiente base legitimadora conforme al artículo 6.1. del RGPD y cumplir con todos los principios y obligaciones que la normativa sobre protección de datos personales establece.

Procedimiento:

Informe Jurídico 2023-0040

Artículos afectados:

Art. 6.1. RGPD (Licitud del tratamiento: Interés legítimo); Art. 66.1.b) LGT 11/2022 (Comunicaciones comerciales)

 

 

Anotaciones:

La AEPD ha iniciado el trámite de audiencia para recabar la opinión de los interesados acerca del proyecto de Circular sobre la aplicación del artículo 66.1.b) de la Ley 11/2022 General de Telecomunicaciones. Esta Ley regula, entre otros temas, el derecho de los usuarios a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, incluyendo el no recibir llamadas no deseadas. De este modo, cambia el régimen jurídico aplicable que existía con anterioridad y contempla en su texto que ese apartado entrará en vigor el 29 de junio de este año. El proyecto de circular puede consultarse aquí.

- Encargos de tratamiento – Tribunal Supremo -  

El Tribunal Supremo rechaza la aplicación de las cláusulas de indemnidad que permiten al Responsable exigir al encargado del tratamiento de datos la indemnización por sanciones derivadas de sus propios incumplimientos

Galp interpuso una demanda contra Partec en la que le reclamó el pago de 740.000 €. La demanda se basaba en lo que Galp denominaba "cláusulas de indemnidad" contenidas en el contrato suscrito por las partes, por las que Partec "mantendrá indemne a GALP ENERGIA de las posibles  responsabilidades que pudieran derivarse de la recogida o tratamiento de dichos datos de carácter personal", "responderá de las posibles irregularidades en el cumplimiento de las obligaciones establecidas en la LOPD y su normativa de desarrollo para esa incorporación, y mantendrá indemne a GALP ENERGIA de cualquier responsabilidad que le sea exigida" e "indemnizará a GALP ENERGIA por los daños y perjuicios que le pudiera ocasionar que resulten de cualquier reclamación judicial o extrajudicial y expedientes sancionadores, promovidos por terceros como consecuencia de la actuación del PROVEEDOR, en relación con la actividad objeto del presente Acuerdo"

Partec se opuso a la demanda, argumentando que Partec venía captando clientes para los suministros de Galp y la recogida de datos de carácter personal por parte de Partec se hacía conforme a las instrucciones que le daba Galp. Galp había enviado un correo electrónico en el que manifestaba que "no se consideraba necesario que el contrato estuviese firmado por el titular del suministro contratado, podía ser firmado por cualquier persona que se encontrase en el domicilio apelando al criterio del comercial (esposa, inquilino, hijo, etc....)", y no fue con posterioridad que se exige que conste la autorización del titular de los datos y se aporte la fotocopia de su DNI; por lo que las sanciones de la AEPD a Galp por las infracciones cometidas por esa empresa como responsable del fichero son distintas de las cometidas por Partec como encargado del tratamiento.

El Alto Tribunal considera que no pueden interpretarse tales cláusulas en el sentido de que Galp podía exigir a Partec que le indemnizara por cualquier sanción que le fuera impuesta con relación al tratamiento de datos de carácter personal realizado con motivo de la captación de clientela, con independencia de quién hubiera cometido la infracción de las normas sobre protección de datos, pues no se trataba de un seguro de responsabilidad civil con base en el cual Partec, mediante el cobro de una prima, asegurara la indemnidad de Galp frente a las reclamaciones o sanciones relacionadas con el tratamiento de datos. Tales cláusulas solo cobran sentido en el contexto del contrato del que forman parte. La interpretación sistemática de tales cláusulas permite concluir que, con base en las mismas, Galp podía exigir a Partec que le indemnizara por las reclamaciones y sanciones que le fueran impuestas por infracciones cometidas por Partec, como encargada del tratamiento, en la ejecución del contrato, cuya responsabilidad se extendiera a Galp como responsable de los ficheros, pero no le legitimaba para exigir tal indemnidad cuando las sanciones hubieran sido impuestas por incumplimientos o infracciones imputables a Galp o que fueran consecuencia de las instrucciones dadas por Galp a Partec para la ejecución del contrato.

Procedimiento:

STS 1543/2023

Artículos afectados:

Art. 1091 Código Civil (Eficacia de los contratos)

Resolución:

Desestimación del recurso de casación

 

 

- Medidas de seguridad – Correo electrónico -  

Sancionan a un centro educativo por mantener activa una cuenta de correo electrónico de un profesor cuya relación había finalizado

La parte reclamante interpuso reclamación ante la AEPD, en la que ponía de manifiesto que durante el curso académico 2020/2021, estuvo ejerciendo de profesor en el IES reclamado, siéndole asignada una dirección de correo electrónico corporativo a la que dejó de tener acceso al finalizar el curso académico. No obstante, en diciembre de 2021, recibió comunicación de GOOGLE, informándole de un nuevo inicio de sesión en la referida cuenta corporativa por lo que considera que podría haberse suplantado su identidad y vulnerado sus derechos en torno a la protección de datos.

La reclamada manifiesta que accidentalmente no se le retiró el acceso a su cuenta de correo electrónico como debería haberse hecho, y que el centro no cambió la contraseña de la dirección de correo electrónico del reclamante por lo que éste seguía teniendo acceso a ésta, desconociendo los motivos y personas que han podido tener acceso a la cuenta. Del resultado de la comprobación de la actividad de la cuenta mediante herramientas de auditoría e investigación de la consola Workspace del IES, efectuada por el Servicio de Tecnologías de la Información en la Educación, con la colaboración del centro IES consta que, el reclamante que fue docente del centro desde el día 1 de septiembre de 2020 hasta el 31 de agosto de 2021, mantuvo el acceso a la cuenta hasta junio de 2022, es decir, más de un mes después del cese del reclamante como docente del centro. De todo ello se deduce una falta de la debida diligencia tanto en el cumplimiento de las medidas de seguridad establecidas, así como en la supervisión o comprobación de su observancia y/o de la idoneidad de estas.

Procedimiento:

PS-00447-2022

Artículos afectados:

Art. 32 RGPD (Medidas de seguridad)

Resolución:

Apercibimiento (Art. 77 LOPDGDD)

 

 

- Datos sensibles – EIPD -  

200.000 € a la Organizadora del Mobile World Congress por implantar un control de acceso biométrico y no haber realizado una Evaluación de Impacto

La organización GSMA, con el fin de invitar como ponente al MWC, se daba la opción de registrarse para el evento en “virtual”, o “presencialmente”. Para la opción en “presencial”, se exigía subir datos del pasaporte, incluyendo fotografías, las cuales que se transfieren a un encargado situado en un país tercero-, para el reconocimiento facial con fines de seguridad; medida que se adoptó durante junio de 2021 para evitar el contacto durante la pandemia.

El tratamiento de reconocimiento facial presenta altos riesgos para los derechos y libertades fundamentales, por lo que antes de su implantación, es preciso auditar su funcionamiento, no de forma aislada sino en el marco del tratamiento concreto en que se va a emplear. Los responsables del tratamiento deben garantizar que la evaluación de la necesidad y la proporcionalidad considere una evaluación exhaustiva de las opciones alternativas

menos intrusivas disponibles. Por consiguiente, se ha de documentar la viabilidad de otras opciones alternativas disponibles que no requieran el uso de datos especiales, comparar todas las opciones y documentar las conclusiones.

GSMA no aportó dicha Evaluación antes del inicio del procedimiento, y una vez aportado se estima que no cumple los mínimos requisitos que ha de contener, pues no contempla diversos y variados elementos y escenarios en su valoración de riesgos (por ejemplo, no incluye la definición del tamaño de la plantilla biométrica, los riesgos de utilización de datos biométricos para fines de identificación en grandes bases de datos, posibles pérdidas de las cualidades de integridad, confidencialidad o disponibilidad, transferencia de datos, riesgos de reutilización de datos, medidas de seguridad con motivo del tratamiento de datos biométricos, etc...), se limita a aportar una evaluación de impacto meramente nominal, sin examinar sus aspectos sustantivos, ni valorar los riesgos ni la proporcionalidad y necesidad de la implantación del sistema, su afectación a los derechos y libertades de los interesados y sus garantías.

Procedimiento:

PS-00553-2021

Artículos afectados:

Art. 35 RGPD (Evaluación de Impacto)

Resolución:

200.000 €

 

 

- Confidencialidad – Videovigilancia -  

2.000 € a una Comunidad de  Propietarios por una actuación negligente del Presidente al compartir a través de WhatsApp imágenes procedentes de las cámaras de videovigilancia

La parte reclamante manifiesta que reside en un inmueble del que la reclamada es vecina y, al tiempo de los hechos objeto de reclamación, era Presidenta de la Comunidad de Propietarios y que esta, aprovechándose de dicha condición, junto a la otra persona reclamada, accedieron a grabaciones procedente del sistema de videovigilancia de la Comunidad de Propietarios en los que aparecía la parte reclamante, realizando a su vez grabaciones de dichos videos, que difundieron en un Grupo de WHATSAPP a otros vecinos, entendiendo la parte reclamante que los reclamados han accedido y tratado datos de la parte reclamante, así como de otros vecinos.

Se argumenta que la responsabilidad de los hechos, sin embargo, debe recaer sobre el Presidente (a) que realizó los mismos y no sobre el conjunto de propietarios que a su juicio han padecido estas actuaciones “adoptando las medidas necesarias para paliar la situación” que ha llevado incluso a la rescisión del mandato conferido, contratando a un nuevo Administrador de fincas.

Recuerda la AEPD que en la instalación de este tipo de dispositivos el “responsable” del sistema es esta y no el Presidente/a que actúa como mero representante, puesto que es la Comunidad como tal la que aprueba la instalación, la finalidad del tratamiento y los medios para efectuar dicho tratamiento, siendo en última instancia la propia Junta de propietarios, órgano ante el que está subordinado, la que puede actuar contra las extralimitaciones en el ejercicio de funciones o situaciones encuadrables en <abuso de poder> por parte del mismo, a través de los mecanismos  previstos en la LPH (vgr. art. 14 LPH).

La gestión del Presidente y de otros cargos de la Comunidad puede tener consecuencias a nivel legal si no se hace diligentemente, inclusive si se producen cuando utilizan su posición y autoridad para adoptar decisiones o comportamientos que pudieran no ser convenientes para la Comunidad de propietarios. La cuestión de una presunta responsabilidad civil o penal de los daños y perjuicios causados en su caso a la Comunidad de propietarios por el Presidente de la misma, por el incumplimiento doloso o negligente en el ejercicio de sus funciones, es una cuestión que en su caso compete al conjunto de propietarios del inmueble, ejercitando en su caso contra el mismo las acciones legales que se estimen pertinentes inclusive en el caso de un supuesto abuso de poder.

Procedimiento:

PS-00379-2022

Artículos afectados:

Artículo 5.1.f) del RGPD

Resolución:

2.000 €

 

 

- Minimización e información – Hosteleria -  

Hasta 75.000 € por solicitar copia del DNI en el check-in y no informar adecuadamente en su política de privacidad

A través de la plataforma en línea Airbnb, la parte reclamante contactó con la entidad propietaria de un apartamento en Barcelona, MARKETING ACCOMMODATION SOLUTIONS FZ, L.L.C., con el propósito de alojarse en él unos días con sus acompañantes. Dicha entidad había habilitado una página web/app para hacer el check-in online, trámite obligatorio para formalizar la entrega de llaves del apartamento. Para la realización del check-in online, las  personas que iban a alojarse en el apartamento tuvieron que cumplimentar un formulario con correos, números de teléfono y direcciones, así como enviar fotos de su D.N.I. por las dos caras y selfies de cada uno de ellos.

- En el presente caso la parte reclamada realiza un tratamiento de diversos datos personales como el nombre, apellidos, número de teléfono, dirección de correo electrónico, dirección postal, imagen del D.N.I. por los dos lados. Y no todos ellos son necesarios ni para prestar el servicio de alquiler de apartamentos vacacionales ni para dar cumplimiento a la obligación de registrar a las personas que se alojan en los establecimientos de hospedaje de Cataluña. Es en el anexo I de la Orden IRP/418/2010 donde se indican qué datos son necesarios para tal registro: número del documento de identidad, tipo de documento, fecha de expedición del mismo (si consta), apellidos, nombre, sexo, nacionalidad, fecha de entrada, domicilio, número de teléfono y días previstos de estancia. De la documentación obrante en el expediente hay evidencias de que la parte reclamada ha vulnerado el artículo 5.1.c) del RGPD, al haber exigido la imagen del D.N.I. por los dos lados, a efectos de poder obtener éstas las llaves del alojamiento que han reservado, pues tales datos no son necesarios para el tratamiento que realiza la parte reclamada.

- Por otro lado, la parte reclamada no envía a los interesados toda la información que exige el artículo 13 del RGPD, A mayor abundamiento, la “Política de Privacidad”  tampoco está adaptada a lo establecido en el artículo 13 del RGPD, faltando en ambos casos información sobre: - La identidad y los datos de contacto del responsable y, en su caso, de su representante; Los datos de contacto del delegado de protección de datos, en su caso; La base jurídica del tratamiento de datos; Los destinatarios o las categorías de destinatarios de los datos personales, en su caso; El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo; El derecho a presentar una reclamación ante una autoridad de control.

Procedimiento:

PS-00499-2022

Artículos afectados:

Art. 5.1.c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado)

Resolución:

75.000 € [25.000 € (Art. 5.1.c RGPD); 50.000 € (Art. 13 RGPD)]

 

 

- Videovigilancia – Laboral -  

El Tribunal Supremo unifica doctrina y admite licitud de la videovigilancia como prueba para despido disciplinario

El trabajador demandante prestaba servicios con la categoría de camarero para la demandada (Nuestro Bar, SL) y fue despedido el 30 de noviembre de 2017, por no haber emitido y entregado los tickets a los clientes, y haberlos luego borrado y no registrado, comportamiento que fue descubierto a raíz de las grabaciones tomadas por las cámaras visibles instaladas en el establecimiento, y que fueron visionadas por el contable para comprobar que se  estaba llevando a cabo el servicio de las comandas. Constan, entre otros documentos, como pruebas aportadas por la empresa documento de "información a empleados sobre el tratamiento de datos", firmado por el demandante en el que se recoge el tratamiento de datos para el contrato de trabajo, para funciones y obligaciones, para videovigilancia, entre otros y a los efectos del art. 11 y 12 de la entonces vigente LO 15/1999.

La sentencia de origen y de apelación estimaron la demanda y declararon la improcedencia del despido, al considerar que las pruebas consistentes en las imágenes de videovigilancia no fueron obtenidas lícitamente, y que por tanto no sirven para demostrar el incumplimiento alegado. Justifican la ilicitud en que las grabaciones no se realizaron por una sospecha de incumplimiento, sino que se de forma aleatoria, sin informar previamente a los trabajadores y sin que haya constancia tampoco de información previa a los representantes de los trabajadores.

La empresa recurre en en casación alegando la contradicción con la doctrina del Tribunal Supremo, haciendo mención a otra sentencia, existiendo entre ambas la identidad necesaria para apreciar que sus pronunciamientos son contradictorios ya que en ambos casos los trabajadores conocían la existencia de cámaras, instaladas por motivos de seguridad, y si bien en el caso de la sentencia de contraste no se advirtió del alcance de las grabaciones, el destino que podría dárseles o su eventual utilización en contra de los trabajadores, resulta que en la sentencia recurrida se informó al trabajador sobre el tratamiento de los datos para el contrato de trabajo, para funciones y obligaciones, para videovigilancia. Y sin embargo, la sentencia recurrida declara nula la prueba de videovigilancia, mientras que en la sentencia referencial se admite su validez.

Por ello, el Alto Tribunal señala, en relación con la supuesta falta de información al trabajador del destino dado al sistema de vigilancia existente en la empresa, que es evidente que en el caso de la sentencia recurrida, el trabajador no solo conocía la existencia de las cámaras sino que suscribió unos documentos en los que se ponía en su  conocimiento el tratamiento de los datos a los efectos del contrato de trabajo, de las funciones y de la videovigilancia, todo ello en cumplimiento de la normativa entonces vigente, recogida en la Ley 15/1999.

La Sala mantiene, respecto del deber de información, que "el trabajador conocía que en la empresa se había instalado un sistema de control por videovigilancia, sin que haya que especificar, más allá de la mera vigilancia, la finalidad exacta que se le ha asignado a ese control. Lo importante será determinar si el dato obtenido se ha utilizado para la finalidad de control de la relación laboral o para una finalidad ajena al cumplimiento del contrato, porque sólo si la finalidad del tratamiento de datos no guarda relación directa con el mantenimiento, desarrollo o control de la relación contractual el empresario estaría obligado a solicitar el consentimiento de los trabajadores afectados", que, en el caso presente, además, estaba cumplido".

Procedimiento:

www.poderjudicial.es/...

 

 

Resolución:

Estimación del recurso

 

 

- Potestades de investigación – Procedimiento sancionador -  

1.500 € por no contestar a los requerimientos de información de la AEPD

Como consecuencia de reclamación presentada ante la AEPD contra WILLOUGHBY COLLEGE, S.A. se iniciaron actuaciones con número de expediente EXP202207320, apreciándose indicios de un posible incumplimiento de la normativa de protección de datos. En el marco de las actuaciones de investigación, se remitieron a la parte reclamada dos requerimientos de información, relativos a la reclamación reseñada en el apartado primero, para que en el plazo de diez días hábiles y cinco días hábiles respectivamente, presentase ante esta Agencia la información y documentación que en ellos se señalaban. El primero de ellos fue registrado de salida en fecha 21 de septiembre de 2022 mientras que el segundo, se registró en fecha 9 de diciembre de 2022. Respecto a la información requerida, la parte reclamada no ha remitido respuesta alguna a la AEPD, por lo que con la señalada conducta de la parte reclamada, la potestad de investigación que el artículo 58.1 del RGPD confiere a las autoridades de control se ha visto obstaculizada.

Procedimiento:

PS-00083-2023

Artículos afectados:

Art. 58.1 RGPD (Poderes de investigación)

Resolución:

1.500 € (900 € por pago voluntario y reconcomiento de responsabilidad)

 

 

- Confidencialidad – Comunidades de Propietarios -  

Sancionan a una Comunidad de Propietarios por colocar una notificación en el ascensor

El reclamante manifiesta que la comunidad de propietarios a la que pertenece su madre ha expuesto en el ascensor de la referida comunidad un requerimiento de deuda, tras intento infructuoso de notificación en el domicilio del reclamante, hijo de la deudora, que presuntamente se acreditó como representante de su madre ante la comunidad de propietarios, donde figuran el nombre, apellidos y deuda de la progenitora y nombre y apellidos del hijo.

La publicación en el citado elemento comunitario en las condiciones expuestas constituye una vulneración del deber de confidencialidad, el artículo 9 apartado h) de la LPH se establece cómo se publicarán las deudas cuando no se pueden notificar individualizadamente

Este artículo no permite la colocación en el ascensor, que no es ni el tablón de anuncios ni ningún lugar “habilitado al efecto”; ya que con la colocación en el ascensor se posibilita que los datos personales puedan ser conocidos por otras personas que acudan desde fuera del edificio.

Procedimiento:

PS-00698-2022

Artículos afectados:

Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:

1.500 €, 900 € por pago voluntario y reconcomiento de responsabilidad [1.000 € (Art. 5.1.f RGPD); 500 € (Art. 32 RGPD)]

 

 

- Legitimación del tratamiento – Videovigilancia -  

70.000 € a Supercor por instalar cámaras de videovigilancia en zonas de descanso

La reclamación se basa en la presunta ilicitud de la cámara de videovigilancia instalada en la zona habilitada para el descanso del personal en el centro en el que las partes reclamantes prestaban servicio como empleadas de SUPERCOR. La propia entidad SUPERCOR define esta zona del establecimiento como sigue: “…cuarto de personal habilitado para el descanso (habitación junto a la oficina equipado de una nevera para que el personal pueda introducir la bebida y comida de carácter particular y personal que traen los integrantes de la tienda para tomar en el descanso reglamentario), una silla y una mesa; siendo este lugar destinado exclusivamente para el descanso del personal…”.

Consta probado en las actuaciones, asimismo, que la instalación del sistema de videovigilancia se realiza con fines de seguridad y control laboral.  También que inicialmente este sistema no incluía la instalación de ninguna cámara en la indicada zona de descanso del personal.

Al realizar la recogida y utilización de las imágenes obtenidas en la zona de descanso del personal, la parte reclamada no tiene en cuenta los limites previstos en el artículo 20.3 de la Ley del Estatuto de los Trabajadores (LET), que admite la grabación de imágenes para el ejercicio de funciones de control laboral cuando esas funciones respeten el marco legal y con los límites inherentes al mismo, como es el respeto a la dignidad del trabajador; y tampoco lo dispuesto en el artículo 89.2 de la LOPDGDD.

La infracción resulta del tratamiento de datos personales que supone la recogida de la imagen de las partes reclamantes mediante una cámara de videovigilancia adicional instalada al efecto en una zona utilizada para el descanso del personal. Esta recogida de imágenes consta acreditada en las actuaciones y reconocida por SUPERCOR, que ha basado su defensa en negar que la sala en cuestión estuviese destinada al uso indicado, señalando que se trataba de una “sala de mermas”. Pero la consideración de la indicada sala como una zona destinada al descanso del personal resulta de documentos elaborados por SUPERCOR, la cual ha intentado desvirtuar el contenido de esos documentos con argumentos sin ningún soporte y que fueron modificados a medida que la parte recurrente iba conociendo las razones ofrecidas por parte de la AEPD para desestimar tales argumentos. Un ejemplo de ello tiene que ver con las cartas de despido elaboradas por el Departamento de Personal, en las que se califica y se describe la sala como una zona de descanso, consideraciones que trataron posteriormente rectificar, argumentando que le dieron esa descripción debido a un error humano del administrativo que elaboró las cartas.

Procedimiento:

PS-00224-2022

Artículos afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

70.000 €

 

 

- Licitud del tratamiento – Entidades Bancarias -  

70.000 € a Bankinter por no adoptar las medidas de seguridad necesarias para evitar una suplantación de identidad

Los hechos denunciados se materializan en la suplantación de la identidad de la reclamante por un tercero.

Del extracto de la tarjeta indicada, de fecha noviembre 2021, por la parte reclamante, se confirma la veracidad de los hechos reclamados: dos retiradas de efectivo a través de un cajero de Vigo y dos pagos en esa localidad. Todo ello, sin su autorización ni consentimiento, considerando que se ha vulnerado la normativa en materia de protección de datos de carácter personal.

Para acceder al servicio de atención telefónica y modificar el número de teléfono móvil asociado, el presunto suplantador debía conocer, o bien el CAP, o bien los siguientes datos personales del reclamante: Nombre completo, D.N.I. o Tarjeta de residencia, Fecha de nacimiento, Domicilio completo, Teléfono fijo y/o móvil.

Se trata de datos a los que resulta razonable deducir que pueden ser accesibles con relativa facilidad para potenciales suplantadores. Conforme a la narración de los hechos verificada por la inspección, el suplantador consiguió cambiar el número de teléfono de contacto que el reclamante tenía a disposición del reclamado. Con ello, se produjo un tratamiento sin legitimación de los datos personales del reclamante, ya que fue suprimido su número de teléfono y simultáneamente se le asignó un nuevo número de teléfono de contacto sin que mediara consentimiento ni base legitimadora alguna de las previstas en el artículo 6.1. RGPD.

Procedimiento:

PS-00037-2023

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

70.000 € (42.000 € por pago voluntario y reconocimiento de responsabilidad)

 

 

- Consentimiento – Comunicaciones comerciales -  

5.000 € por no poder demostrar el consentimiento del usuario obtenido a través de formularios web

Se denuncia por el reclamante que la entidad AD735 DATA MEDIA ADVERTISING S.L, la recepción de comunicación comercial sin su consentimiento. AD735 indica que había obtenido los datos personales del reclamante a través del formulario de participación en el sorteo de un viaje para dos personas publicado en el sitio web www.premium-sales.es, lo que, según el reclamante no era cierto pues nunca había incluido sus datos personales en dicha página ni había prestado sus datos personales a dicha entidad. La AEPD solicita más información al respecto, y AD735 reconocía que no podía garantizar con absoluta certeza que los datos recibidos en el formulario fueran realmente proporcionados por el reclamante pues, en ocasiones se reciben registros con indicación de nombres falsos, alias o algún dato mal introducido.

Es por ello, que se inicia procedimiento por la presunta vulneración del artículo 7.1 RGPD, al no poder garantizar la entidad reclamada que los datos personales del reclamante introducidos en el formulario de su página web, fuera realizado por él mismo o con su consentimiento, y así lo reconoce en el correo electrónico que envió al propio reclamante, donde manifestó la carencia de la tecnología necesaria para poder certificar la identidad de las personas que remiten los datos a través de los formularios habilitados en sus sitios web, y por consiguiente si son introducidos con el consentimiento del afectado.

Considera la AEPD que esta argumentación carece de fundamento ya que existen mecanismos sobradamente conocidos que se podrían utilizar como, por ejemplo, el envío de un código de verificación por SMS, una llamada de confirmación, etc., que podrían corroborar que los datos introducidos en el formulario fueron proporcionados por el propio interesado o con su consentimiento. Atendiendo a la responsabilidad proactiva de la entidad, ésta deberá determinar cuál es el mejor sistema para cumplir con sus obligaciones y ser capaz de demostrar que los  interesados consintieron el tratamiento de sus datos personales

Procedimiento:

PS-00136-2022

Artículos afectados:

Art. 7.1 RGPD (Condiciones para el consentimiento)

Resolución:

5.000 €

 

 

- Licitud del tratamiento – Sector Energético -  

50.000 € por inscribir en ficheros de morosos a una persona sin cumplir con los requisitos

La parte reclamada incluyo los datos personales de la parte reclamante en sistemas comunes de información crediticia en relación con una deuda  asociada a un contrato que no realizó. Aporta con su reclamación copia de Sentencia en la que se desestima la demanda interpuesta por el reclamado Fusiona Soluciones Energéticas y un Informe de ASNEF sobre la inclusión de los datos personales de la parte reclamante a instancias de FUSIONA.

No habiéndose recibido contestación por la reclamada, se considera que su conducta es contraria al principio de licitud, al comunicar a un sistema de información crediticia (el fichero ASNEF) una deuda que, respecto al supuesto deudor no era cierta, ni vencida ni exigible, como requiere el artículo 20.1 de la LOPDGDD para que sea de aplicación la presunción «iuris tantum» de prevalencia del interés legítimo del responsable, sin acreditar la existencia de tal interés legítimo ni la ponderación legalmente exigible, por lo que se ha producido un tratamiento ilícito de los datos del reclamante, concretado en la inclusión en un fichero de solvencia sin base de legitimación, iniciado el 28 de junio de 2019, fecha de alta de la deuda en el fichero mencionado.

Procedimiento:

PS-00586-2022

Artículos afectados:

Art. 6.1. RGPD (Legitimación del tratamiento)

Resolución:

50.000 €

 

 

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857