Noticias \ RSM20230615 - Resoluciones Relevantes


Noticias

RESOLUCIONES RELEVANTES 20/05/2023 - 09/06/2023

Poderes de investigación, Licitud y videovigilancia, Licitud de tratamiento, Minimización de datos e información, Derecho de acceso, Incumplimiento de medidas, Encargo de tratamiento, Derecho de supresión, Información al interesado, Ficheros de solvencia patrimonial...

“Indica la AEPD que, teniendo en cuenta el carácter limitado en medios humanos y materiales del organismo, ante situaciones como las descritas (PS-00594-2022) se debe proceder en su caso a adoptar otro tipo de actuaciones, como pudiera ser a modo orientativo el Delito de Desobediencia, en el marco de la actual Ley de Seguridad Ciudadana (vgr. LO 4/2015, 30 de marzo) o en última instancia la vía judicial, aportando las sanciones impuestas por este organismo como medio probatorio."

(ABL)

- Poderes de investigación – Procedimiento Sancionador -  

Más sanciones por no contestar a los requerimientos de información de la AEPD

Como consecuencia de una reclamación, la AEPD inició actuaciones de investigación frente a NORDETIA CLINICS IBERIA, requiriéndoles para que hicieran entrega de documentación. Si bien dicho requerimiento fue notificado electrónicamente, y posteriormente entregado fehacientemente por vía postal, la clínica no respondió a los requerimientos de información efectuados por la AEPD en los plazos otorgados para ello en el marco de las actuaciones de investigación. Por ello, se considera que no ha procurado a la AEPD la información que le requirió, obstaculizando con ello la potestad de investigación que el artículo 58.1 del RGPD confiere a las autoridades de control, lo que supone una infracción de la normativa de protección de datos.

Procedimiento:

PS-00639-2022

Artículos afectados:

Art. 58 RGPD (Poderes de investigación)

Resolución:

3.000 €

 

 

- Licitud y videovigilancia – Comunidad de propietarios -  

Sancionan con 1.000 € a una Comunidad de Propietarios por entender que el Acta no cumple con los requisitos necesarios para la aprobación de un sistema de videovigilancia

Se denuncia por el reclamante que la Comunidad de Propietarios  ha instalado un sistema de videovigilancia en zonas comunes, sin haber convocado previamente una Junta de Propietarios y sin que conste que se haya autorizado, conforme a las exigencias que para ello establece la Ley de Propiedad Horizontal, la instalación por la correspondiente mayoría de propietarios.

La Comunidad presentó escrito de alegaciones manifestando que “En fecha 19 de julio de 2022 se celebró Junta General Extraordinaria de Propietarios, en cuyo orden del día se referenció, de forma expresa, el tratamiento de la instalación en el edificio de cámaras de videovigilancia, de conformidad con lo preceptuado en el artículo 553-21 del Código Civil de Cataluña, notificándose tras su celebración la  correspondiente Acta en la que se recoge el conjunto de acuerdos adoptados por el conjunto de vecinos, sin que la misma haya sido objeto de impugnación en los términos previstos en el artículo 553-31 del Código Civil de Cataluña. El contenido del acta contempla lo siguiente:

“En el presente apartado, se presenta presupuesto de la empresa ***EMPRESA.1 para la instalación de cámaras de vigilancia en la Comunidad, dicho presupuesto asciende a un importe de 1.154,40.-€ (IVA incluido). Tras amplia deliberación, los Sres. Propietarios asistentes, acuerdan por unanimidad, aceptar dicho presupuesto y que de forma urgente procedan a su instalación.”

Considera la AEPD que la documentación aportada adolece de defectos formales, no siendo suficiente para acreditar que la instalación del sistema de  cámaras se produjo contando con el respaldo exigido por la normativa en vigor. El Acta de una junta de propietarios debe ir firmada por el Presidente correspondiente y estar debidamente conformada por el Administrador Secretario fedatario de lo que acontezca en la misma. Los acuerdos de las Juntas de propietarios se reflejarán en un Libro de actas diligenciado en el Registro de la Propiedad. La documentación aportada conformada por la propia reclamada adolece de una serie de defectos formales que no puede ser considerado un medio de prueba admisible en derecho, que acredite lo que pretende esgrimir ante este organismo, esto es, que se celebró una reunión convocada en legal forma y que se decidió por los allí presentes la instalación de un “sistema de video-vigilancia”. Tampoco se aporta documentación que acredite el traslado de la convocatoria al conjunto de propietarios o el modo en que estos tuvieron conocimiento del punto del Orden del día a debatir (vgr. notificación postal a la dirección del inmueble, etc), ni explicación alguna se ha dado a tal efecto.

Procedimiento:

PS-00530-2022

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

1.000 €

 

 

- Licitud del tratamiento – Telecomunicaciones -  

Más sanciones por SIM Swapping: 70.000 € a DIGI

El reclamante formuló reclamación ante la AEPD denunciando la suplantación de identidad en relación con la obtención por parte de un tercero de un duplicado de su tarjeta SIM, lo que le ocasionó un perjuicio económico, ya que se realizaron numerosas transferencias desde su cuenta bancaria.

Se constata que la entidad DIGI, ante la superación por parte del llamante de los datos personales del titular de la línea, procedió a emitir un código de solicitud de duplicado de tarjeta SIM y ese mismo día la persona solicitante se presenta en un punto de distribución de DIGI. Allí proceden a expedir la tarjeta SIM a dicho tercero que no era el titular de la línea, entregándose el duplicado en el establecimiento de un distribuidor de DIGI.

El SIM Swapping es un fraude que permite suplantar la identidad mediante el secuestro del número de teléfono al obtener un duplicado de la tarjeta SIM. En todo caso, la operadora debe ser capaz de acreditar que para el caso concreto haya seguido los protocolos de verificación implementados a la hora de solicitar un duplicado de la tarjeta SIM. Dicho protocolo no parece haberse cumplido en el presente caso, pues la reclamada expidió la tarjeta SIM a un tercero que no era el titular de la línea. Este aspecto no es acreditado por DIGI, pues en el establecimiento en que se expidió el duplicado de la tarjeta SIM debió haberse comprobado el original del documento identificativo, siendo así que, de haberse efectuado correctamente esta operación, el duplicado debió haber sido denegado.

Procedimiento:

PS-00500-2022

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

70.000 €

 

 

- Minimización de datos e Información – Videovigilancia -  

3.000 € por mantener cámaras enfocando a la vía pública sin cartelería pese a haber sido anteriormente sancionado

Se recibe traslado de Acta-Denuncia, en la que se recoge “que el denunciado es responsable de dos cámaras orientadas a la vía pública, sin contar con autorización administrativa previa para ello y sin señalizar dichas cámaras mediante los preceptivos carteles informativos de zona videovigilada”, hechos que ya fueron sancionados con anterioridad hasta en dos ocasiones.

Reseña la AEPD, que a pesar de haberse impuesto las correspondientes multas administrativas y haber ordenado amplias medidas correctoras para la retirada (reorientación de las cámaras), las mismas han devenido fútiles al continuar la presencia de las mismas, si bien sin nuevas actuaciones en el interior de la vivienda por parte de las Fuerzas y Cuerpos de Seguridad del Estado. Según Informe complementario, se confirma la presencia de las cámaras en el momento actual, sin que conste modificación alguna del mismo, estando orientado hacia vía pública y que a juicio de la fuerza actuante

“sirve para evitar la actuación policial para las prácticas delictivas que acontecen en la vivienda”.

De las pruebas aportadas se constata que las cámaras están colocadas en la zona exterior (fachada del inmueble) estando al menos una de ellas mal orientada hacia la zona de vía pública, no apreciándose la presencia de carteles informativo que indique zona video-vigilada. Asimismo, se tienen en cuenta que el denunciado ha sido ampliamente advertido por este organismo, mostrando una actitud reacia a la “corrección” de las irregularidades del sistema de video-vigilancia, por lo que la conducta se considera como negligencia muy grave, motivos que justifican la imposición de una sanción cifrada en la cuantía de 3.000€

Procedimiento:

PS-00594-2022

Artículos afectados:

Art. 5.1.c RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado)

Resolución:

3.000 € [2000 € (Art. 5.1.c RGPD); 1000 € (Art. 13 RGPD)]

Anotaciones:

Indica la AEPD que, teniendo en cuenta el carácter limitado en medios humanos y materiales del organismo, ante situaciones como las descritas se debe proceder en su caso a adoptar otro tipo de actuaciones, como pudiera ser a modo orientativo el Delito de Desobediencia, en el marco de la actual Ley de Seguridad Ciudadana (vgr. LO 4/2015, 30 de marzo) o en última instancia la vía judicial, aportando las sanciones impuestas por este organismo como medio probatorio.

- Derecho de acceso – Entidades bancarias -  

1.000 € por no contestar adecuadamente el derecho de acceso

El reclamante solicitó a BANKINTER el acceso a sus datos personales mediante correo electrónico en, al menos, dos ocasiones. En la primera ocasión,  recibió contestación de BANKINTER indicando que no tenían información suya. Esto motivó la segunda solicitud, en la que el reclamante ponía en conocimiento del banco que sí que era cliente y aportaba la documentación pertinente para acreditar tal extremo. BANKINTER respondió la segunda ocasión a la parte reclamante indicándole que se había dado traslado de su solicitud al departamento correspondiente, desde el que se le daría cumplida respuesta en el plazo y forma establecidos. No obstante, BANKINTER dio respuesta alguna hasta que, con posterioridad a recibir requerimiento de información de esta Agencia, se le dio acceso a la información solicitada el 20 de abril de 2020. Esto es más de un año después de haberlo solicitado y sólo tras la intervención de esta Agencia. Es por ello, que se considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable a BANKINTER, por vulneración del artículo 15 del RGPD, al no atender debidamente el derecho de acceso solicitado por la parte reclamante.

Procedimiento:

PS-00206-2022

Artículos afectados:

Art. 15 RGPD (Derecho de acceso)

Resolución:

1.000 € (800 € por pago voluntario)

 

 

- Licitud del tratamiento – Internet -  

La AEPD estima un recurso y deja sin efecto una sanción de 10.000 € a un particular al no haber podido acreditar la identidad del reclamado por la IP

La reclamante denuncia que Dña. B.B.B ha publicado en un foro un anuncio con el que ha ido difamando su imagen, además ha puesto la dirección exacta de donde estoy residiendo de vacaciones. La reclamante ha aportado impresión de pantalla de un anuncio con, con el comentario "(…), anuncio de mujer (…). Está en ***DIRECCIÓN.1 (...)". El anuncio va acompañado de una fotografía. MUBA, propietaria del sitio web donde se publicaron los datos de la reclamante, ha informado de anuncios similares publicados en su plataforma con el mismo identificador de usuario con el que se publicó el anuncio indicado en la reclamación. En los anuncios publicados por este usuario, también figura publicado un número de teléfono de contacto.

Consultado el sitio web de “RIPE Network Coordination Centre”, entidad encargada de la coordinación de rangos IP para la zona de Europa, la asignación a las operadoras de las IP proporcionadas por MUBA corresponde a ORANGE para la IP del anuncio reclamado. ORANGE, entidad que tiene asignada la dirección IP desde la que se publicó el anuncio reclamado, ha informado que la titularidad de la misma en el momento de publicarse el anuncio, corresponden a la reclamada B.B.B. En relación con los hechos, se considera que existen evidencias de que el tratamiento de datos de la reclamante, al difundirse a través de un foro, anuncio con el que se pretende desprestigiar y denigrar su imagen e incluyendo dirección y fotografía de la misma, se ha efectuado sin causa legitimadora lo que podría suponer la vulneración del artículo 6.1 del RGPD

Sin embargo, se recurre en reposición alegando que la dirección de correo de la persona que publica el anuncio le es ajena no habiéndose realizado diligencias destinadas a su identificación. En este sentido, admite la AEPD que en ciertos casos en los que se determina y define la autoría únicamente a través de la dirección IP, puede ofrecer dudas acerca de la evidencia de la misma, no siendo identificando de manera fehaciente su responsable, sino al titular de la línea, que  puede o no coincidir con el autor. Los dispositivos no necesitan tener acceso a la red de manera constante, no requieren una identidad fija en la red se les suele dar una IP dinámica. Si bien el operador ha informado que la titularidad de esta IP en el momento de publicarse el anuncio correspondía a la reclamada; también MUBA, no solo hacía referencia a los datos del anuncio solicitado sino también a otros idénticos o similares con el mismo e-mail, entendiendo que dicha cuenta debía ser verificada; sin que tampoco la dirección de correo insertada en el anuncio puede ser determinante puesto que con la información que se dispone este dato no garantiza ni identifica al autor ya que sería necesario intervenir el router de la IP en cuestión y obtener la actividad de su tráfico, algo que no se puede hacer sin autorización judicial.

Procedimiento:

Reposición PS-00421-2022

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

10.000 €

 

 

- Incumplimiento de medidas – Procedimiento sancionador -  

Sancionan a un particular con 600 € por no cumplir con los requerimientos de la AEPD

En el procedimiento PS-00515-2021, la AEPD sancionó a un particular, ordenando la retirada de la cámara del lugar actual, o a la reorientación de esta hacia su zona particular o que no suponga una captación desproporcionada. Dicha resolución devino firme y ejecutiva por el transcurso de los plazos previstos para la interposición de los recursos. La reclamada no remitió respuesta a la AEPD que acreditara el cumplimiento de las medidas impuestas, lo que ha motivado la apertura de un nuevo procedimiento por no haber adoptado las mismas.

La reclamada presenta alegaciones al procedimiento, aportando sentencia de delitos leves de coacciones, siendo la misma favorable a la reclamada por no concurrir los elementos exigidos legalmente para apreciar la existencia del delito leve.

La no concurrencia de los elementos del tipo del delito leve de coacciones no afecta a la concurrencia de los elementos de la infracción administrativa

sancionada por la AEPD, de la que deriva la imposición de medidas. En cuanto a los hechos probados de la mencionada sentencia, no se indica que la cámara se adapte a la normativa en cuestión, sino que durante el proceso no se ha probado lo contrario. Además, se señala que la cámara enfoca a la vivienda de la parte reclamante. Se pretende con estas argumentaciones la conformidad de la instalación de videovigilancia en sus términos actuales, discutiendo los fundamentos por los que se declaró la infracción y se le impuso la sanción en el procedimiento anterior. Al tratarse de una resolución ejecutiva, no se permite que el responsable plantee ahora motivos de oposición vinculados con la validez de la misma, argumentos que debieron haberse planteado frente a dicha resolución en los plazos previstos para ello. En cambio, no se interpuso recurso de reposición ni se acudió a la vía judicial una vez que se le notificó correctamente la resolución sancionadora, adquiriendo firmeza y procediendo por tanto su ejecución en los términos en ella dispuestos.

Procedimiento:

PS-00576-2022

Artículos afectados:

Art. 58.2 RGPD (Poderes correctivos)

Resolución:

600 €

Anotaciones:

El procedimiento de referencia es puede consultarse aquí  PS-00516-2021

- Encargo del tratamiento – Comunicaciones comerciales -  

15.000 € por incumplir un encargo del tratamiento y subcontratar servicios sin autorización del Responsable

La parte reclamante pone de manifiesto que recibió una llamada telefónica de una empresa comercializadora de Naturgy, ofreciendo un descuento en los suministros de luz y gas, la cual disponía de sus datos personales relativos a nombre, apellidos, fecha de nacimiento, DNI, domicilio y cuenta bancaria, además de los importes que venía abonando por aquellos suministros. Indica que durante esa llamada no confirmó ningún cambio de contrato ni subrogación en el mismo a favor de Naturgy. Según la parte reclamante, en el mismo día de la reclamación tramitó el desistimiento de dicho contrato y formuló ante Naturgy la pertinente reclamación por uso indebido de sus datos personales y estafa comercial.

La entidad Naturgy suscribió un contrato con la entidad GESTERPOOL, en virtud del cual está última entidad se obligaba a la prestación de servicios de asesoría y apoyo comercial y técnico para la captación de clientes, incluida la realización de acciones de venta telefónica, interviniendo la misma en estas acciones bajo la condición de encargada del tratamiento. En todos estos documentos se estipula que GESTERPOOL no podrá subcontratar los derechos y obligaciones derivadas del contrato sin la autorización expresa, previa y escrita de Naturgy. En el Contrato de Encargo de Tratamiento se indica que GESTERPOOL deberá comunicar a Naturgy, con una antelación mínima de un mes, los datos del tercero con el que pretenda subcontratar y la descripción del servicio en concreto que será objeto de la subcontratación, a fin de que pueda oponerse.

Naturgy declaró ante la AEPD que procedió ha revocar todos los accesos de GESTERPOOL a la herramienta de contratación y ha puesto fin a la relación contractual con ésta, al no haber seguido sus instrucciones e incumplido las obligaciones impuestas para garantizar la calidad en la contratación. Asimismo, se remitió por la AEPD a la entidad GESTERPOOL varios requerimientos de información, todos ellos entregados, sin que esta entidad haya aportado respuesta alguna, obstaculizando con ello la potestad de investigación de la AEPD, sin haber probado que disponía de la correspondiente autorización para subcontratar los servicios.

Procedimiento:

PS-00668-2022

Artículos afectados:

Art. 28 RGPD (Encargado del tratamiento); Art. 58.1 RGPD (Poderes de investigación)

Resolución:

15.000 € en total [10.000 € (Art. 28 RGPD); 5.000 € (Art. 58.1 RGPD)]

 

 

- Confidencialidad – Página Web -  

30.000 € por un mal diseño de una aplicación que permitió descargar datos de trabajadores indiscriminadamente

El reclamante denuncia ante la AEPD una vulnerabilidad en la página web de la compañía BARNA PORTERS SEGURETAT, S.L., existente desde hace un año. Según se explica, al pinchar con el ratón en un icono con forma de lupa roja que aparece en la esquina superior izquierda de la pantalla correspondiente a la sección "Accés Serviap", se descarga automáticamente en el equipo, un fichero Excel de autorizaciones de Covid-19.

La reclamada manifiesta que la herramienta SERVIAP es una herramienta privada, desarrollada a medida por ENDURO WEB TOURS, a la que sólo tienen acceso usuarios autorizados (mediante usuario y contraseña), por lo que no es accesible a personas sin vínculo con la empresa.

El incidente ha sido provocado por un error de programación durante el desarrollo de unas pruebas de la nueva versión de la intranet corporativa. El icono “con forma de lupa roja” que consta en la parte superior izquierda de la página de acceso a SERVIAP, donde fue detectada la vulnerabilidad, no se trata de ninguna herramienta de búsqueda, sino que dicho icono corresponde al logo de la aplicación, por lo que no es operativo ni contiene acceso para los usuarios. La vulnerabilidad ha sido causada por un error de programación de uno de los técnicos informáticos (programador junior) que insertó accidentalmente un enlace que permitía la descarga del fichero.

En el presente caso, consta una brecha de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una brecha de confidencialidad provocada por un error de programación que permitió la descarga de un fichero Excel que contenía datos personales de los trabajadores de la empresa. En el momento de producirse la brecha, la parte reclamada no disponía de las medidas de seguridad razonables en función de los posibles riesgos estimados, puesto que la propia reclamada reconoce que el enlace de acceso al archivo se pegó por error en el logo de la página de acceso a la intranet corporativa por uno de los técnicos informáticos (programador junior) habiendo solicitado desde entonces el traslado de la dirección y supervisión de la programación, mantenimiento y pruebas de la intranet Serviap a un programador senior con más años de experiencia.

Procedimiento:

PS-00028-2023

Artículos afectados:

Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:

30.000 € en total [20.000 € (Art. 5.1.f RGPD); 10.000 € (Art. 32 RGPD)]; (18.000 € por pago voluntario y reconocimiento de responsabilidad)

 

 

- Confidencialidad – Aseguradoras -  

Hasta 70.000 € a una Aseguradora por facilitar a un tercero los datos del tomador de seguro de un vehículo que estaba a la venta

El motivo en el que basa la reclamación es que con fecha 22/09/2021, sin su consentimiento, la ASEGURADORA facilitó a un tercero sus datos de identidad (nombre, apellidos, NIF, domicilio y número de teléfono); información relativa a la póliza de seguro de la que ella era tomadora y asegurada; información de los siniestros declarados e información de la prima del seguro (importe, fecha de vencimiento y fecha de pago). El tercero al que se comunicaron los datos era la persona con quien la reclamante había suscrito un contrato de arras para la venta del vehículo asegurado y que figura identificado en algunos documentos como “B.B.B. comprador”.

La oficina en la que tuvieron lugar los hechos objeto de la reclamación pertenece al agente de seguros exclusivo de la ASEGURADORA, CUSEGUR. Efectivamente, como la ASEGURADORA ha alegado, la empleada de la oficina del agente no es empleada suya, sino de su encargado de tratamiento, el agente CUSEGUR. El agente, en este caso, actuó a través de su empleada en el desarrollo de la actividad de distribución en la que la ASEGURADORA había fijado los medios y los fines de los tratamientos que se realizaban, siendo Responsable de las infracciones cometidas.

La ASEGURADORA, a través de su encargado de tratamiento, el agente exclusivo COSEGUR, facilitó al tercero un documento en el que se recogían datos personales de la reclamante referentes a su identificación personal, contacto telefónico, domicilio y nacionalidad, y referentes a la póliza de seguro sobre el vehículo que ha dado origen a la controversia que nos ocupa y a los siniestros que había declarado a la ASEGURADORA durante la vigencia del contrato suscrito con ella. La ASEGURADORA ha declarado a propósito de esta cuestión que la comercial de su agente de seguros actuó sobre la base del interés legítimo del tercero que, a su juicio, se puso de manifiesto por su condición de futuro comprador y tenedor en ese momento del vehículo objeto de la controversia, sin embargo, no se justifica ni acredita la existencia de tal interés legítimo, además, el tercero no resultó ser el comprador del vehículo pues según información suministrada por la DGT el vehículo referido en este expediente fue transferido con fecha 29/10/2021 a una persona cuyos datos no coinciden con los del tercero.

Procedimiento:

PS-00025-2023

Artículos afectados:

Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:

70.000 € en total [50.000 € (Art. 5.1.f RGPD); 20.000 € (Art. 32 RGPD)]; (42.000 € por pago voluntario y reconocimiento de responsabilidad)

 

 

- Derecho de supresión – Inmobiliarias -  

20.000 € por no atender adecuadamente una solicitud de ejercicio de derecho de supresión

El reclamante manifiesta haber recibido en su domicilio una llamada telefónica de la inmobiliaria TEMPOCASA. Al preguntar cómo habían obtenido los datos, les responden que proceden de INGLOBALY, entidad con la que ha contactado para solicitar que eliminen los datos personales del reclamante. Aporta una impresión de pantalla de la base de datos de INGLOBALY. En la imagen se aprecian los datos personales de las personas convivientes en el domicilio sobre el que se ha realizado la búsqueda. El reclamante se ha dirigido al responsable para solicitar la supresión de los datos, y se le ha redirigido a usar los servicios de un tercero, viadenuncia.net, para hacerlo, solicitándole la copia del DNI y como se ha negado a facilitarla no han tramitado la supresión.

El reclamante efectuó una comunicación anónima en el buzón de infracciones y denuncias de QUALITY PROVIDER, en el sistema Viadenuncia, una solicitud de supresión de sus propios datos personales que figuraban en los ficheros de Inglobaly.com. Debido a que Inglobaly.com es un dominio que pertenece a QUALITY PROVIDER S.A., la comunicación se introdujo a través del buzón de denuncias de QUALITY PROVIDER S.A.

Según indican los representantes de INGLOBALY, la denuncia era anónima, no existía un correo electrónico a través del cual contactar ni tampoco aparecía el nombre y apellidos del denunciante, por lo que no era posible identificar al solicitante ni tampoco qué datos se interesaba que fueran suprimidos. El gestor e instructor del buzón de QUALITY PROVIDER, respondió a dicha denuncia poniendo de manifiesto que sin la identificación de la persona solicitante resultaba excesivamente complejo poner en marcha la gestión de supresión de los datos personales solicitada. Reitera que existió una imposibilidad fáctica de llevar a cabo la supresión solicitada, al no haber sido proporcionados los datos cuya supresión se pretendía, ni tampoco autorización alguna para que la solicitante efectuará la solicitud de supresión de datos a nombre de su padre. Ante ello, esta parte intentó, a través de los medios que se hallaban a su alcance, obtener la necesaria identificación del solicitante, quien se negó rotundamente a identificarse fehacientemente para que esta parte pudiera llevar a cabo la solicitud efectuada relativa a la supresión de sus datos.

Sobre la evaluación de la proporcionalidad en relación con la identificación del solicitante, entiende la AEPD, la reclamada debió solicitar a la representante del reclamante que acreditase su representación y no el DNI del representado, padre de la representante. La reclamada no ha acreditado la proporcionalidad de su petición que puede considerarse excesiva y que supone una obstaculización del ejercicio del derecho de supresión. Esto es así, porque no se pueden exigir para el ejercicio de derechos, mayores formalidades que las que se siguieron para obtener tales datos. Por lo tanto, se habría vulnerado el artículo el artículo 17 del RGPD

Procedimiento:

PS-00524-2022

Artículos afectados:

Art. 6 RGPD (Licitud del tratamiento); Art. 17 RGPD (Derecho de supresión)

Resolución:

20.000 € en total (10.000 € por cada infracción)

 

 

- Información al interesado – Política de privacidad -  

Prosiguen las sanciones por no disponer de una política de privacidad: hasta 2.000 €

En el presente caso, se presenta reclamación por el interesado en base a una solicitud del derecho de acceso a sus datos personales, siendo entregado un burofax, sin recibir ninguna respuesta. Indica que la página web de la reclamada http://www.peritacionesmarcelino.com ofrece un formulario de contacto, y no indica ninguna información sobre el tratamiento de los datos ni el responsable del fichero.

Respecto a la recogida de datos personales, la AEPD constata que en el sitio web existe un formulario de contacto que permite a cualquier usuario realizar las consultas que estime oportunas, debiendo cumplimentar una serie de apartados que recogen los siguientes datos: nombre y correo electrónico.

Resulta evidente que la web en cuestión carece de la debida política de privacidad, siendo preceptivo en este caso incorporarla, ya que la parte reclamada, a través del formulario de contacto, puede recoger datos de carácter personal (nombre y correo electrónico) y, por consiguiente, hacer un tratamiento de los mismos. Conforme al artículo 13 del RGPD, la parte reclamada, en su condición de responsable del tratamiento, debe facilitar diversa información de la que ha prescindido en su totalidad. En concreto, está obligada a informar sobre sus datos de contacto, siendo insuficientes los que aparecen en el sitio web ya que solo aparece el móvil y correo electrónico. Tampoco informa de la base jurídica del tratamiento, de los destinatarios de los datos personales, del plazo durante el cual conservará los mismos o, no siendo posible fijarlo, sobre los criterios empleados para determinarlo. Ni de que los usuarios pueden ejercer los derechos de acceso, rectificación, supresión, limitación de su tratamiento, oposición al tratamiento y portabilidad de los datos; o presentar una reclamación ante la autoridad de control.

Procedimiento:

PS-00578-2022

Artículos afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

2.000 € (1.200 € por pago voluntario y reconocimiento de responsabilidad)

 

 

- Información al interesado – Cofradías -  

Una Junta de Cofradías es sancionada con 1.000 € por una yincana con una cláusula incompleta de protección de datos

Se denuncia por el reclamante que la Juventud Cofrade de Elche, sección dependiente de la JUNTA DE COFRADÍAS, organizó en los años 2021 y 2022 una “Gymkhana Cofrade” mediante escaneos de códigos QR que redirigían a trivials en la aplicación Kahoot. Para poder participar se requería cumplimentar un formulario de inscripción a través de Google mediante el que se recababan datos personales del interesado: el nombre, dos apellidos, la fecha de nacimiento y la dirección electrónica. La parte reclamante indica que “los datos personales recopilados en los formularios de inscripción sirvieron para elaborar mi usuario de juego en Kahoot, compuesto por las iniciales de mi nombre y mis apellidos y los dos últimos dígitos de mi año de

nacimiento. Del mismo modo, se empleó mi correo electrónico para diversas comunicaciones llevadas a cabo durante el transcurso de las Gymkhanas Cofrades.” Dado que la Cofradía no procedió a la entrega de los premios prometidos, el reclamante envió varios correos electrónicos a la Sección organizadora de la yincana y a la secretaría de la JUNTA DE COFRADÍAS, exigiendo que se procediera a la entrega de los mismos, sin obtener respuesta alguna, lo que motivó la interposición de la reclamación.

Si bien no corresponde a la AEPD pronunciarse sobre la entrega o no de los premios, se analiza a raíz de la reclamación a la Junta de Cofradías por una presunta infracción del artículo 13 del RGPD, precepto que le obliga a proporcionar al interesado en el momento de la recogida de sus datos personales la información en él se detalla. Dicho formulario incluye la cláusula informativa sobre el tratamiento de datos personales, pero dicho en el mismo no se informa de varias cuestiones, tales como el plazo de conservación de los datos personales o de los criterios para determinar este plazo; el derecho a presentar una reclamación ante una autoridad de control; la base jurídica del tratamiento (pues se indica que la base jurídica es el cumplimiento de la legislación fiscal, mercantil y contable, sin hacer mención al consentimiento prestado por la interesada como fundamento de la licitud del tratamiento realizado con la finalidad de poder participar en la yincana). Asimismo, estando basado el tratamiento en el consentimiento, tampoco se informa que el interesado tenía derecho a retirar el consentimiento en cualquier momento sin que ello afectara a la licitud del tratamiento basado en el consentimiento previo a su retirada.

En definitiva, la JUNTA DE COFRADÍAS no informó a la interesada, a través de la cláusula de protección de datos del formulario, de los extremos que se mencionan en las letras a), c) segundo inciso y d) del artículo 13, apartado 2, del RGPD

Procedimiento:

PS-00564-2022

Artículos afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

1.000 € (600 € por pago voluntario y reconocimiento de responsabilidad)

 

 

- Licitud del tratamiento – Ficheros de solvencia patrimonial -  

70.000 € a Vodafone por consultar el fichero de solvencia patrimonial de un tercero que no es cliente

El motivo en el que basa la reclamación es la consulta al fichero de solvencia patrimonial ASNEF que VODAFONE ONO efectuó el 15/09/2020 utilizando como criterio de búsqueda su NIF y sin estar legitimada para ese tratamiento. La parte reclamante niega haber sido cliente de VODAFONE ONO, presentando anexa a su reclamación numerosa documentación relacionada con los hechos expuestos en ella (un documento que lleva el anagrama de EQUIFAX y la fecha “11/12/2020”, en el que consta el resultado de las búsquedas realizadas en ese fichero de solvencia patrimonial utilizando como identificador el NIF de la reclamante).

En este supuesto, no existen indicios de que el tratamiento efectuado por VODAFONE ONO pudiera fundarse en alguna de las bases jurídicas del artículo 6.1 del RGPD. Sobre la premisa de la información aportada por la reclamante concluye la AEPD que el tratamiento objeto de la reclamación no podría apoyarse en la circunstancia del apartado a) del artículo 6.1 del RGPD, el consentimiento de la titular de los datos para esa finalidad específica, ni en la circunstancia descrita en el apartado f), que el tratamiento fuera necesario para la satisfacción de los intereses legítimos de la parte reclamada siempre que aquellos prevalecieran sobre los derechos e intereses de la reclamante. Si bien a tenor del artículo 20.1.e) de la LOPDGDD sí pudiera apreciarse una presunción iuris tantum de prevalencia del interés legítimo de VODAFONE ONO, esta solo resulta aplicable solo cuando concurren los requisitos que la configuran y que detalla esa disposición de la LOPDGDD, esto es, que exista un contrato entre la reclamante y VODAFONE ONO que llevase implícito el abono de una cuantía pecuniaria o que la reclamante hubiera solicitado a la reclamada la celebración de un contrato que implicara financiación, pago aplazado o facturación periódica, lo cual no ha sido acreditado en ningún momento por VODAFONE ONO.

Procedimiento:

PS-00697-2022

Artículos afectados:

Art. 6 RGPD (Licitud del tratamiento); Art. 20 LOPDGDD (Sistemas de información crediticia)

Resolución:

70.000 € (56.000 € por pago voluntario)

 

 

- Legitimación del tratamiento – Encargo de tratamiento -  

10.000 € por realizar llamadas comerciales sin haber formalizado el subencargo de tratamiento

La parte reclamante, con fecha 26 de agosto de 2021, formuló reclamación ante esta Agencia, por haber recibió una llamada de Mas Luz Energía haciéndose pasar por su operadora Naturgy. Dándose la circunstancia, que tenían sus datos personales pues únicamente le solicitaron la confirmación de estos. Posteriormente, recibió una llamada de Naturgy informándole de su baja en la entidad y le pasan al cobro facturas de fechas 30/07/2021 y 06/08/2021 del Suministrador ibérico de Energía - Mas Luz Energía.

Tras las actuaciones de investigación, se comprueba que Suministrador ibérico de Energía contrató los servicios de telemarketing con Alpa 57 Producciones SL, contrato formalizado el 3 de febrero de 2021. Requerida información a Alpa 57 sobre la contratación telefónica, se indica que no se puso en contacto con la reclamante, sino que la contratación fuer realizada por AIMART MARKETING SL, con la que subcontrató el servicio de “telemarketing”, siendo firmado el 19 de septiembre de 2021, y en su cláusula undécima se señala “el contrato entrará en vigor en el momento de su firma”.

En el presente caso, considera la AEPD acreditado que Alpa 57, vulneró el artículo 6.1 del RGPD. toda vez que realizó el tratamiento de los datos personales de la parte reclamante (NIF, domicilio, código universal de punto de suministro, correo electrónico, número de móvil, datos bancarios), sin legitimación para ello. Los datos personales fueron incorporados a los sistemas de información de la compañía, sin que haya acreditado que dispusiera de base legal para la recogida y el tratamiento posterior de sus datos personales. Alpa 57 tiene la obligación de acreditar como obtuvo los datos  de la reclamante, lo cual no ha probado, manifestando en su descargo que los datos de la parte reclamante obraban en la base de datos de la mercantil AIMART MARKETING S.L; aportando solamente el contrato de prestación de servicios de telemarketing formalizado entre AIMART MARKETING SL y la Alpa 57. La firma del citado contrato se efectuó por ambas partes el día 19 de septiembre de 2021, fecha posterior a la contratación telefónica efectuada por la reclamante que fue el 22 de julio de 2021 y a la facturas emitidas por Mas Luz Energía, siendo las fechas de emisión de las mismas las fehas correspondiente al periodo de facturación del 06/08/2021 al 11/08/2021; y del 30/07/2021 al 09/08/2021. En definitiva, el contrato celebrado es posterior a la contratación de los servicios de luz y gas por parte de la reclamante.

Procedimiento:

PS-00437-2022

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

10.000 €

 

 

- Confidencialidad – Asesorías -  

3.000 € por entregar documento electrónico de la Agencia Tributaria de otro cliente

La parte reclamante contrató los servicios fiscales de la parte reclamada, a través de ABACOSUR ASESORIA, para solucionar una reclamación ante la Agencia Tributaria. Transcurrido el tiempo y ante la respuesta de la Agencia Tributaria, la parte reclamante solicitó a la parte reclamada los justificantes de las gestiones y los documentos presentados ante dicho organismo. Según afirma el reclamante, la reclamada le facilitó lo que califica como un justificante falso en el que constan los datos de otro cliente y no los suyos. Junto a la reclamación aporta el justificante de presentación que la parte reclamada facilitó a la parte reclamante.

El recibo de presentación aportado por la parte reclamante corresponde a un documento electrónico emitido por la Agencia Tributaria, en referencia a otro expediente y a otro administrado, de manera que los datos personales de un tercero, obrantes en la base de datos de la parte reclamada, fueron indebidamente expuestos a la parte reclamante. Todos los documentos electrónicos firmados por la Agencia Tributaria poseen un código seguro de verificación que permite su recuperación online. Si accede al enlace y se cumplimenta la casilla correspondiente, se puede consultar el documento emitido por la Agencia Tributaria en el que se incluyó dicho código. Se ha podido verificar que en dicho documento aparecen datos personales que no corresponde a la parte reclamante, permitiendo el acceso a los datos personales y financieros de otro cliente.

Procedimiento:

PS-00475-2022

Artículos afectados:

Art. 5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:

3.000 € en total [2.000 € (Art. 5.1.f RGPD); 1.000 € (Art. 32 RGPD)]

 

 

- Confidencialidad – Medidas de Seguridad -  

Multa de 140.000 € a UPS por entregar un paquete en un local cercano sin autorización del interesado

La parte reclamante manifiesta que era destinataria de un envío cuya entrega fue gestionada por UPS. El repartidor encargado de la entrega, entrega el envío sin su consentimiento en un local comercial, y no en su domicilio, exponiendo sus datos postales y su número de teléfono, que figuraba impreso en el paquete del que era destinatario, a terceros. Esto también figura en el albarán de entrega.

En el presente caso, considera la AEPD que se ha producido una brecha de seguridad de datos personales al haberse accedido indebidamente a los datos personales del reclamante, como consecuencia de la entrega de un paquete que contenía, en la etiqueta situada en una parte visible del mismo sus datos personales, en un establecimiento que no tenía autorización para ello, lo que ha supuesto una vulneración del principio de confidencialidad de los datos personales de la parte reclamante (nombre y apellidos, teléfono y dirección) han sido indebidamente expuestos a un tercero, en la medida en que los datos personales de la parte reclamante figuraban en la etiqueta del paquete a entregar a la parte reclamante, etiqueta que se encuentra en un lugar visible para cualquiera que tenga acceso a dicho paquete.

Indica la Agencia que UPS debía entregar un paquete en el domicilio de la parte reclamante. No obstante, al no poder efectuar la entrega acordada, se procede a la entrega en un establecimiento sin autorización para ello. La consecuencia de esta actuación ha supuesto que los datos personales de la parte reclamante fueran expuestos a personas ajenas. Hay que tener en cuenta que, a pesar de que la etiqueta con los datos personales de la parte reclamante había sido elaborada por el remitente, UPS realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, y precisamente por el hecho de contar con datos personales como nombre y apellidos, así como la dirección y el número de teléfono,  debería haber extremado las medidas para que el paquete no se entregara a otra persona que no fuera el destinatario del envío o alguien autorizado por él

Procedimiento:

PS-00637-2022

Artículos afectados:

Art. 5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:

140.000 € en total [100.000 € (Art. 5.1.f RGPD); 40.000 € (Art. 32 RGPD)]; 84.000 € por pago voluntario

 

 

- Confidencialidad – Correo electrónico -  

50.000 € a Securitas por remitir documentación de la contratación a un tercero debido a un error en el correo electrónico

La parte reclamante, cliente de SECURITAS DIRECT, manifiesta haber recibido una comunicación por parte de un tercero, al parecer otro cliente de la entidad, en la que asegura haber recibido de SECURITAS DIRECT, a través del correo electrónico, información personal concerniente al reclamante. Entre la información divulgada a este tercero, estaría la relativa a los datos de identificación personal del  reclamante, detalles contractuales, detalles de transacciones electrónicas, así como detalles de la instalación de los dispositivos de seguridad en su vivienda.

SECURITAS indica que este supuesto no se trataría de un incidente de seguridad, sino de un error humano, involuntario, puntual y aislado, que tiene como origen la introducción, en el momento de la contratación del sistema de alarma, de un correo electrónico de forma incorrecta, y que fue subsanado cuando se tuvo conocimiento.

En este supuesto, la AEPD considera probada la existencia de una brecha de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una brecha de confidencialidad, al haberse enviado por correo electrónico a otro cliente de SECURITAS DIRECT, documentación asociada a la contratación efectuada por la parte reclamante, en la que constan sus datos personales. Además, remitió la documentación sin cifrar o cualquier otro método que impidiera su acceso no autorizado, con datos personales de un cliente, relativa a la contratación de sus servicios, a otro cliente.

Procedimiento:

PS-00338-2022

Artículos afectados:

Art. 5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:

50.000 € en total [30.000 € (Art. 5.1.f RGPD); 20.000 € (Art. 32 RGPD)]; 84.000 € por pago voluntario

 

 

- Licitud del tratamiento – Telecomunicaciones -  

70.000 € por no verificar adecuadamente la identidad del titular de la línea

Denuncia el reclamante que en diciembre de 2021 recibió un mensaje de ORANGE en el que se le informaba que se activaba el servicio de desvío de llamadas, el cual no había solicitado. ORANGE autorizó sin su consentimiento un desvío de datos desde su móvil a una tercera línea que no es de su propiedad y desconoce. Además, habían accedido a sus cuentas bancarias, realizando diversos cargos y operaciones no autorizadas. Indica ORANGE que recibió una llamada de un particular, asegurando ser el titular de la línea, y facilitando al operador los datos  identificativos del mismo necesarios para confirmar su identidad como titular de la línea, superando las medidas de seguridad de la mercantil, que consisten, entre otras, en acreditar el conocimiento de datos muy concretos del titular que es difícil que ninguna otra persona pueda conocer.

Concretamente, ORANGE manifiesta que los datos que se preguntan para verificar la identidad varían entre datos personales económicos, identificativos y de contacto del cliente, como, por ejemplo: dígitos del DNI, dígitos de las líneas telefónicas, importe de las facturas cobradas, número de contrato, dígitos de la cuenta bancaria asociada. Sin embargo, los datos que realmente se preguntaron fueron exclusivamente nombre y apellidos, número DNI, fecha de nacimiento, dirección y código postal. En base a lo anteriormente expuesto, en el caso analizado, queda en entredicho la diligencia empleada por parte de la reclamada para identificar a la persona que solicitó el desvío de las llamadas.

En todo caso, no se siguió el procedimiento implantado por la parte reclamada, ya que, de haberlo hecho, se debió haber producido la denegación de la activación del desvío de llamadas. A la vista de lo anterior, la parte reclamada no logra acreditar que se haya seguido ese procedimiento y por consiguiente hubo un tratamiento ilícito de los datos personales de la parte reclamante, contraviniendo con ello el artículo 6 del RGPD.

Procedimiento:

PS-00052-2023

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

70.000 € (42.000 € por pago voluntario y reconocimiento de responsabilidad)

 

 

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857