Noticias \ RSM20230720 - Resoluciones Relevantes


Noticias

RESOLUCIONES RELEVANTES 10/06/2023 - 14/07/2023

Derecho de supresión, Licitud del tratamiento, Incumplimiento resoluciones, Minimización de datos, Videovigilancia laboral, Inmobiliarias, Telecomunicaciones…

“La parte reclamante ha manifestado que la parte reclamada ha puesto a su disposición la documentación que acredita sus alegaciones y que, en base a ello, solicita el archivo del procedimiento, con renuncia a cualquier indemnización que le pueda corresponder (...) El objeto de las presentes actuaciones no va dirigido a reconocer un derecho de la parte reclamante a ser indemnizada, sino a determinar la posible existencia de una conducta infractora por la parte reclamada y las consecuencias que de ello derivan."

(ABL)

- Derecho de supresión –  Incumplimiento AEPD -  

1.000 euros por no atender un ejercicio de derecho de supresión

Con fecha 12 de abril de 2021, se dictó resolución en el procedimiento de ejercicio de derechos número TD/00045/2021, seguido contra TRC TRUCKS 2020, estimando la reclamación, ordenando a la parte reclamada TRC TRUCKS a remitir a la parte reclamante certificación por la que se atienda el derecho de Supresión ejercido o se deniegue motivadamente indicando las causas por las que no procede atender la petición, debiendo comunicar las actuaciones realizadas a la AEPD.. Dicha resolución del fueron notificados a TRC TRUCKS con arreglo a lo dispuesto en la LPACAP. Dicha resolución devino firme y ejecutiva por el transcurso de los plazos previstos para la interposición de los recursos en ella indicados.

Con fechas 16 de marzo y 6 de octubre de 2022, el reclamante informó a la AEPD que la parte reclamada no ha dado cumplimiento a la resolución, por lo que se requiere a TRC TRUCKS para que probara el cumplimiento de la resolución, sin obtener respuesta al respecto. Por ello, se considera que la reclamada ha vulnerado el artículo 58.2 del RGPD, correspondiendo a tal conducta multa administrativa por un importe de 1.000,00 euros.

Procedimiento:

PS-00035-2023

Artículos afectados:

Art. 58.2 RGPD (Incumplimiento de resoluciones)

Resolución:

1.000 euros

 

 

- Licitud del tratamiento – Inmobiliarias  -  

4.000 euros a una inmobiliaria por contratar en nombre del arrendatario servicios no autorizados

La reclamación se basa en que la inmobiliaria MESLLOC, que medió en el contrato de arrendamiento de una vivienda celebrado por el reclamante y su pareja, proporcionó a terceras empresas los datos personales de ambos -nombre, dos apellidos y NIF- sin su autorización y sin que estuviera legitimada para tal comunicación. La comunicación se efectuó durante la liquidación de la fianza depositada. Los datos del reclamante y su pareja fueron tratados por terceras empresas para emitir a nombre de ambos sendas facturas por una reparación y un servicio de limpieza en la vivienda, en calidad de clientes, sendas facturas por los conceptos de “suministro e instalación de un bombillo de seguridad en la puerta de entrada de la vivienda” y “limpieza integral”.

MESLLOC ha invocado que el tratamiento realizado era lícito y estaba fundado en las circunstancias de los apartados a) y b) del artículo 6.1 del RGPD (consentimiento y existencia de una relación contractual). Sin embargo, ninguno de los motivos de licitud invocados ni los recogidos en el art. 6 son aplicables. Como administradora de la vivienda arrendada, era lícito que MESLLOC tratara los datos de ambos arrendatarios con la finalidad de exigirles, durante la liquidación de la fianza, la indemnización económica de la que eran acreedoras las propietarias del inmueble y que derivaba de las obligaciones que, en virtud del contrato celebrado, nacieron a cargo de los coarrendatarios. Ese y no otro era el tratamiento necesario para el desenvolvimiento o ejecución del mentado contrato de arrendamiento. Entre la inmobiliaria y las propietarias del inmueble se  habían celebrado un “contrato de administración”, en virtud del cual la primera asumía, entre otras, las obligaciones de redactar y firmar el contrato de arrendamiento de la vivienda, depositar la fianza y la elaboración, gestión y cobro de los recibos generados. El contrato de arrendamiento les facultaba a exigir a los coarrendatarios que abonaran el coste de la reparación por el desgaste derivado del uso ordinario de la vivienda, por lo que el tratamiento se ceñía a exigir a los arrendatarios el importe de la indemnización debida, para lo que, en este caso, bastaba descontar de la fianza depositada su importe. Cosa distinta es que la reclamada comunicara los datos de los coarrendatarios a empresas proveedoras de servicios en calidad de clientes de tales empresas, lo cual no era necesario contratar en nombre de los arrendatarios

Procedimiento:

PS-00109-2022

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

4.000 euros

 

 

- Incumplimiento resoluciones – Procedimiento sancionador -  

Sancionado con 1.000 euros por no atender los requerimientos de la AEPD

Con fecha 7 de julio de 2022, la AEPD dictó resolución en el procedimiento de ejercicio de derechos del expediente número EXP202206666, seguido contra PUNTO ROJO LIBROS, S.L. En dicho expediente, consta que la parte reclamante ejerció su derecho de acceso a los datos personales que le conciernen, solicitando información sobre el origen de sus datos, sin que dicha solicitud resultara debidamente atendida, dictando resolución requiriendo a PUNTO ROJO LIBROS para que atendiera el ejercicio de derecho de acceso.

PUNTO ROJO LIBROS no remitió respuesta alguna que acreditara el cumplimiento de la resolución antes de que se dictase el acuerdo de inicio del presente procedimiento sancionador. La parte reclamada ha presentado alegaciones manifestando que la dirección de contacto de la parte reclamante se obtuvo de la base de datos de la editorial Gunis, de la que la parte reclamante es cliente.

Añade que, esta editorial, de la que la parte reclamada es también propietaria, es del mismo grupo editorial aun manteniendo por cuestiones operativas distintos códigos de identificación fiscal, y que todas las cuestiones legales, que figuran tanto en las políticas de cookies, como en los avisos legales y las políticas de privacidad de sendas webs cumplen con la ley vigente. Para ello, indica que ha contado con los servicios de una empresa externa con el fin de que mantenga actualizadas todas las políticas de privacidad, y que estas políticas de compartición de datos figuran tanto en su página web como en los contratos de edición que firman, en general, con todos sus autores.

Procedimiento:

PS-00006-2023

Artículos afectados:

Art. 58.2 RGPD (Incumplimiento de resoluciones)

Resolución:

1.000 euros

 

 

- Minimización de datos – Videovigilancia -  

Continúan las sanciones por captación excesiva y cartelería inadecuada

La parte reclamante manifiesta que es arrendatario de una vivienda, siendo vecino de la parte reclamada y que este ha instalado en la entrada de su vivienda una cámara de videovigilancia que enfoca un espacio común existente entre ambas viviendas, sin que se haya señalizado la zona mediante carteles informativos de zona videovigilada. Junto a la reclamación aporta imágenes de la ubicación de la cámara y lo captado por esta, así como una conversación con el propietario de la finca donde se encuentran ambas viviendas.

Tras el acuerdo de inicio, el reclamado presentó alegaciones indicando que tienen el permiso del propietario para instalar las cámaras, y que en ningún caso afectan a la intimidad de los vecinos. Que la zona donde mira la cámara de la puerta principal es de su propio disfrute, y no de los vecinos, siendo la única que visualiza espacios comunes. No obstante, de las imágenes facilitadas por la parte reclamante ponen de manifiesto que el campo de visión de las cámaras incide en zonas de uso común de las viviendas de la parte reclamante y la parte reclamada.

Asimismo, afirma que tiene los carteles de aviso, el cual cumple con la normativa y aparece el nombre de la empresa en la que trabaja, que es instalador de CCTV y sabe lo que hace. A este respecto, la AEPD señala que si bien hay un cartel avisando de que se trata de una zona videovigilada, no es cierto que cumpla con los requisitos exigidos por el articulo 22 de la LOPDGDD, al no constar en el mismo ni la identidad del responsable ni la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del RGPD.

Procedimiento:

PS-00664-2022

Artículos afectados:

Art. 5.1 c RGPD (Minimización de datos); (Art. 13 RGPD Información al interesado)

Resolución:

600 euros en total (300 euros cada infracción)

 

 

- Licitud del tratamiento  –  Videovigilancia laboral -  

La instalación de cámaras de videovigilancia en zona de descanso de los trabajadores: hasta 50.000 euros

La parte reclamante manifiesta que la empresa TRANSAHER ha instalado cámaras de videovigilancia en zonas de descanso de los trabajadores, como es el comedor de los trabajadores. Entiende la parte reclamante que se trata de una “cámara instalada ilegalmente que controla a los trabajadores”.

Aporta imágenes de la ubicación de una cámara de videovigilancia en un comedor de amplias dimensiones, en las que pueden verse numerosas mesas para cuatro comensales, una zona de mobiliario de cocina que cuenta con ocho microondas y otra zona con tres máquinas de vending (bebidas frías, bebidas calientes y snacks). TRANSAHER presentó alegaciones, indicando que , por el objeto de su negocio (transporte y logística), necesita contar con una seguridad elevada. Comparte un parque logístico con mucha afluencia de personas, tanto trabajadores como autónomos que prestan allí sus servicios, como personal de ETT, clientes y proveedores. Dadas las circunstancias, todo el centro de trabajo, se encuentran videovigiladas por cámaras. Añade que han sufrido robos de productos de las neveras, actos de vandalismo frente a las máquinas de vending y en 2013 un trabajador introdujo un refresco en el microondas provocando que el aparato se incendiara. Todo ello supone un riesgo para el patrimonio material y para las personas que TRANSAHER tiene el deber de prevenir y evitar, de conformidad con la normativa de prevención de riesgos laborales.

En este caso, no resulta controvertida la captación de imágenes, que ha sido reconocido por TRANSAHER, así como tampoco se cuestiona que la zona esté destinada a comedor por sus empleados. No obstante, si se ha señalado que el comedor en cuestión no es una zona de con acceso exclusivo de descanso de los empleados, sino una zona con mucha afluencia de personas. Pero el hecho de que el comedor sea utilizado por personas distintas a los trabajadores propios de la empresa no excluye ni minora la cobertura legal aludida, en la medida en que tales circunstancias no excluyen la calificación de esta sala como zona de descanso de trabajadores.

La captación de imágenes que realiza la cámara instalada en el comedor mencionado es desproporcionada para el fin pretendido. El comedor cuenta con numerosas mesas (a la derecha), una zona de mobiliario de cocina y otra zona con varias máquinas de vending (a la izquierda). El campo de visión de dicha cámara capta toda la estancia, si bien la zona de ubicación de las mesas se encuentra protegida por una máscara que cubre el límite exacto del espacio que ocupan. No obstante, entre las mesas y las máquinas de vending existe un espacio amplio que es captado íntegramente por la cámara en cuestión sin restricción de ningún tipo. Este espacio pertenece íntegramente al interior de la sala comedor, el cual es atravesado inevitablemente por todas las personas que acceden al comedor para hacer uso de la estancia. La captación de este espacio no cumple el juicio de proporcionalidad, considerando la finalidad perseguida por la parte reclamada con la instalación de la cámara en el comedor, de modo que esta medida ha de calificarse como restrictiva de los derechos de los afectados.

En consecuencia, la captación realizada por TRANSAHER no se limita a controlar exclusivamente las personas que hacen uso de las máquinas de vending, sino que alcanza a todas las personas que acceden al comedor, hagan uso o no de dichas maquinas. El juicio de necesidad implica que no exista otra medida más moderada para la consecución de propósito con igual eficacia. Si el propósito de la instalación de la cámara era la protección de los bienes patrimoniales de la empresa y máquinas de vending, el campo de visión captado por dicha cámara debió limitarse el mínimo imprescindible para garantizar esta protección o para obtener los resultados pretendidos respecto de la sustracción de artículos propiedad de la parte reclamada o la comisión de actos ilícitos contra los bienes.

Procedimiento:

PS-00445-2022

Artículos afectados:

Art. 6 RGPD (Legitimación del tratamiento)

Resolución:

50.000 euros

Anotaciones:

La parte reclamante ha manifestado que la parte reclamada ha puesto a su disposición la documentación que acredita sus alegaciones y que, en base a ello, solicita el archivo del procedimiento, con renuncia a cualquier indemnización que le pueda corresponder. Esta pretensión debe ser rechazada, considerando que la parte reclamante no es parte interesada en el procedimiento, lo que le impide intervenir en el mismo. Además, el objeto de las presentes actuaciones no va dirigido a reconocer un derecho de la parte reclamante a ser indemnizada, sino a determinar la posible existencia de una conducta infractora por la parte reclamada y las consecuencias que de ello derivan. Asimismo, que la parte reclamante desista de su reclamación resulta irrelevante y no implica el archivo o finalización del procedimiento sancionador incoado, toda vez que el mismo se inicia y se tramita en todas sus fases de oficio.

- Legitimación del tratamiento – Telecomunicaciones -  

Más sanciones a Vodafone por SIM Swapping

La parte reclamante, usuaria de una línea de telefonía móvil contratada con Vodafone, ha sido víctima de acciones maliciosas por parte de terceros desconocidos, consistentes en solicitar sin su consentimiento un duplicado de su tarjeta SIM, y, tras serle concedido el mismo, acceder a su información bancaria y realizar una transferencia bancaria fraudulenta. En concreto, la parte reclamante manifiesta que, en fecha 25 de febrero de 2022, comenzó a recibir llamadas desde el extranjero en su terminal móvil, a las que no contestó y seguidamente, recibió varios SMS de su banco informando de movimientos en su cuenta bancaria y en la aplicación de su banca online, pudiendo comprobar que se había bloqueado tanto su cuenta como la citada aplicación Así las cosas, tras efectuar gestiones con Vodafone evidenció que le habían facilitado a un desconocido varón, los datos de su tarjeta SIM, así como la desviación de dichos servicios a otro teléfono. Al parecer, dicho tercero tan solo se identificó con su nombre de pila, a continuación, dio los datos de la reclamante indicando que a esta se le había dañado la tarjeta SIM y solicitó el desvío a otro terminal, sin que la entidad reclamada realizase ningún tipo de comprobación adicional.

Procedimiento:

PS-00153-2023

Artículos afectados:

Art. 6.1 RGPD-EU (Licitud del tratamiento)

Resolución:

70.000 euros (56.000 euros por pago voluntario)

 

 

- Minimización de datos – Telecomunicaciones -  

Sancionan con 150.000 euros a dos periódicos digitales por publicar los nombres de víctimas violencia de género

Se denunció por parte de la Delegación del Gobierno contra la Violencia de Género la publicación en distintos medios de comunicación de una noticia ilustrada con un vídeo en el que aparecen imágenes (en los segundos 21 a 24 del video) de una pantalla de ordenador en la que se visualiza una hoja de Excel con datos personales de 56 mujeres registradas en el sistema VioGén como víctimas de violencia de género y distintas clasificaciones en función de sus circunstancias concretas.

En el caso concreto, las entidades sancionadas (El Diario Vasco y Diario HOY), la parte reclamada publicó una noticia que versa sobre mujeres de más de 65 años que se encuentran en riesgo por violencia de género, la cual se ilustraba con un vídeo en el que se veía la pantalla de un ordenador en la que se visualizaba una hoja Excel con los nombres y apellidos de 56 víctimas de violencia de género así como distintas clasificaciones en función de sus circunstancias concretas (pendientes O.P., activa sin O.P., activas no localizables, nuevas cesadas). La hoja Excel emitida en el vídeo con los datos de las personas víctimas de violencia de género se obtuvo en la grabación de una entrevista realizada por MEDIASET en el cuartel de la Guardia Civil de Las Rozas. En dicha entrevista se grabó durante unos segundos la pantalla de un ordenador en la que aparecía la hoja con los mencionados datos personales de las víctimas de violencia de género.

No se niega el interés público informativo en la noticia, dado el interés general en los casos de violencia de género, ni se pone en cuestión la libertad de información de los medios de comunicación, sino la ponderación con el derecho a la protección de datos en base a la proporcionalidad y necesidad de publicar datos personales, en este caso, de 56 víctimas de violencia de género, pues tal situación podría haberse resuelto fácilmente con la utilización de procedimientos técnicos habituales para impedir dicha difusión, tales como el pixelado de la imagen donde aparece la pantalla del ordenador con los datos personales de las víctimas.

La difusión del nombre y apellidos de 56 víctimas de violencia de género las convierte en personas identificadas que puede ser reconocidas por terceros, lo que supone un riesgo muy alto y muy probable de que puedan sufrir daños en sus derechos y libertades. Así ha acontecido en otros supuestos de difusión de datos personales de víctimas de violencia de género. Y ello cuando no es un tratamiento proporcional ni necesario en relación con las finalidades de información perseguidas.

Procedimiento:

PS-00650-2022

Artículos afectados:

Art. 5.1.c) RGPD (Minimización de dato)

Resolución:

150.000 euros (90.000 euros por pago voluntario y reconocimiento de responsabilidad)

Anotaciones:

El otro procedimiento se puede consultar aquí PS-00662-2022

- Licitud del tratamiento  –  Telecomunicaciones -  

Múltiples resoluciones a Digi por SIM Swapping: 350.000 euros en 5 resoluciones

Se reciben múltiples reclamaciones en la AEPD en relación a múltiples supuestos de SIM Swapping:

- El reclamante manifiesta que el servicio de su línea móvil no funcionaba, informando DIGI con sus datos que se había solicitado un duplicado de la tarjeta SIM. Tras informar la reclamante durante esa llamada que ella no había contactado con DIGI, ni había solicitado la emisión de un duplicado de su tarjeta SIM, DIGI procedió a cancelar la emisión del duplicado SIM, y a restablecer el funcionamiento de la SIM original que estaba en poder de la reclamante. Dos días más tarde, volvió a quedarse sin línea móvil, por haberse solicitado un nuevo duplicado de la tarjeta SIM para su línea de móvil; comprobando con posterioridad cómo el suplantador había entrado en su cuenta bancaria, haciendo uso de la misma. DIGI señala que las medidas adoptadas resultaron adecuadas para conseguir rechazar varios intentos de realizar un duplicado por parte del usurpado, sin embargo consta en el segundo intento de obtención de duplicado existió un error humano en el servicio de atención y que a pesar de la nota de aviso se procedió a facilitar el código numérico necesario para tramitar el duplicado SIM.

- La parte reclamante manifiesta que la entidad reclamada facilitó a un tercero un duplicado de su tarjeta SIM sin solicitar el DNI para comprobar la identidad del solicitante. Dicho tercero se valió de la información contenida en el teléfono móvil para acceder a su cuenta bancaria y realizar diversas transferencias no autorizadas, con el consiguiente perjuicio económico. Ante la superación por parte del llamante de los datos personales del titular de la línea procedió a emitir un código de solicitud de duplicado de tarjeta SIM y ese mismo día la persona solicitante se presenta en un punto de distribución de DIGI. Allí proceden a expedir la tarjeta SIM a dicho tercero que no era el titular de la línea, el duplicado se entregó en el establecimiento de un distribuidor de DIGI

- La parte reclamante manifiesta que un tercero llamó a la entidad reclamada y suplantando su identidad, solicitó un duplicado de su tarjeta SIM, duplicado que le fue facilitado sin solicitarle la aportación física del DNI para comprobar su identidad y dicho tercero valiéndose de la información contenida en su móvil (App bancaria), accedió a su cuenta bancaria realizando una transferencia no autorizada, con el consiguiente perjuicio económico. Tras lo sucedido, ha presentado reclamación ante la entidad reclamada, sin éxito. Asimismo, manifiesta que, para recuperar la línea telefónica, ha tenido que solicitar una nueva tarjeta SIM y que, en la tienda física a la que acudió, no le requirieron el DNI físico a la hora de la entrega.

- La parte reclamante manifiesta que se ha producido un tratamiento de datos sin consentimiento, a raíz del cual un tercero ha obtenido, presuntamente de forma fraudulenta, un duplicado de su tarjeta SIM con la consecuencia que han tenido acceso a sus datos personales archivados en su teléfono móvil, autorizando operaciones económicas (prestamos, retiradas de efectivo en cajero, transferencias) en tres entidades bancarias distintas.

- La parte reclamante manifiesta que se realizó un duplicado de su tarjeta SIM, pese a no haberlo solicitado. Asimismo, señala que el tercero al que se la facilitó su tarjeta SIM, a raíz de la información contenida en su móvil, tuvo acceso a sus datos bancarios, extrayendo sumas de dinero de su cuenta y realizando diversas operaciones bancarias, con el consiguiente perjuicio económico, además de intentar acceder a sus redes sociales.

Procedimiento:

PS-00501-2022, etc

Artículos afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

350.000 euros en total (70.000 euros por cada infracción)

 

 

- Minimización de datos  –  Videovigilancia -  

300 euros a un Centro Educativo por tener cámaras enfocando a la vía pública

La reclamación se dirige contra CONGREGACIÓN DEL SANTÍSIMO REDENTOR CURIA PROVINCIAL, por la instalación de un sistema de videovigilancia ubicado en COLEGIO, existiendo indicios de un posible incumplimiento de lo dispuesto en el Artículo 5.1.c) del RGPD.

La parte reclamante manifiesta que el Centro Educativo reclamado cuenta con un sistema de videovigilancia con cámaras que son susceptibles de captar la vía pública, sin que conste autorización administrativa previa para ello. Aporta imágenes de la ubicación de cámaras en la fachada del Centro.

Por el Centro se presenta escrito de respuesta, facilitando información completa de su sistema de vídeo vigilancia, compuesto por 23 cámaras de las cuales todas son interiores menos una que se orienta hacia el exterior y que capta vía pública. Aportan imagen del campo de visión de esta cámara, constatándose que incluye en su campo de visión los edificios de enfrente y los coches allí aparcados, de tal forma que la captación de vía pública no es proporcional.

Procedimiento:

PS-00103-2023

Artículos afectados:

Art. 5.1.c RGPD (Minimización de datos)

Resolución:

500 euros (300 euros por pago voluntario y reconocimiento de responsabilidad)

 

 

- Información al interesado  –  Inmobiliarias -  

2.000 euros por no haber informado del tratamiento a un potencial inquilino

Denuncia el reclamante que durante julio de 2022 mantuvo una conversación vía Whatsapp con una persona que se identifica como B.B.B., que sería empleado de la inmobiliaria reclamada INVERTIA TENERIFE 2019. El reclamante se puso en contacto con la empresa interesándose por un piso. Dado que resultó de interés para el reclamante, le remitió la documentación económica y financiera al correo electrónico de INVERTIA. Transcurridas dos semanas, y sin haber tenido respuesta por ninguno de los medios, se volvió a poner en contacto con la inmobiliaria, donde indica que ya se le había alquilado a otra persona. Ante esto, el reclamante solicita que identifique al responsable del fichero para proceder a ejercer sus derechos relativos a la protección de datos, lo que no ha tenido respuesta a ello ni atendido a sus llamadas para poder facilitarle la información (…). No existe ninguna página web ni se entregó en ningún momento de la visita documento alguno donde se informara del responsable del fichero.

En el presente caso, resulta evidente que entre la parte reclamante y la parte reclamada existió una relación precontractual que la parte reclamante buscó, pues solo así puede explicarse que hubiera remitido a la entidad reclamada diversa documentación que le concierne, como el contrato de trabajo; documentación que resultaba necesaria a fin de arrendar uno de los inmuebles ofertados por la entidad reclamada. En consecuencia, la parte reclamada, en calidad de responsable del tratamiento, estaba obligada, en el momento que obtuvo los datos personales del reclamante, a informar al titular de los mismos sobre las cuestiones enumeradas en el artículo 13 del RGPD; entre las que se encuentra la obligación de informar a los usuarios sobre la posibilidad de ejercer los derechos de acceso, de rectificación, de supresión, de limitación de su tratamiento, de oposición al tratamiento y de portabilidad de los datos, sin embargo, no se acredita por INVERTIA que se haya informado sobre el tratamiento en ningún momento al reclamante

Procedimiento:

PS-00572-2022

Artículos afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

2.000 euros

 

 

- Comunicación de datos – Mutuas y Servicio Público de Salud -  

La AEPD se pronuncia sobre el intercambio de información entre médicos del SAS y médicos de las Mutuas

La consulta plantea una serie de cuestiones relacionadas con la legitimación para el tratamiento de datos personales mediante el intercambio de información de la historia clínica de los trabajadores entre los médicos del servicio público de salud y los médicos de las Mutuas.

- Por un lado, se pretende que los médicos de las Mutuas tengan acceso telemático a la información clínica que tengan los SPS sobre los trabajadores protegidos por estas Entidades que se encuentren en situación de baja médica por Contingencia Común o Profesional afectados por un proceso de Incapacidad Temporal por Contingencia Común o Contingencia Profesional que hayan recibido asistencia sanitaria en las Organizaciones dependientes del SPS, con la finalidad de comprobar sus circunstancias de salud, para que el médico de las Mutuas pueda realizar adecuadamente cualquiera de las actividades que tiene legalmente encomendadas.

- Por otro lado, se indica que resulta conveniente que los médicos de los SPS tengan acceso telemático a las historias clínicas de los trabajadores protegidos por las Mutuas.

Por ello, se procede analizar las concretas normas legales que regulan los tratamientos de datos de salud a los que se refiere la consulta, partiendo de lo dispuesto en la actualidad en el art. 71.3 del texto refundido de la Ley General de la Seguridad Social.

La base jurídica elegida por el legislador es la del art. 6.1. e) RGPD (cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento), y como causa que levanta la prohibición del art. 9.1 RGPD, la del art. 9.2. h) RGPD (el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social), cumpliéndose lo dispuesto en el art. 9.2 LOPDGDD: "Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.

No obstante, dicha legitimación no permite un intercambio de la información que forma parte de la historia clínica como el que se pretende en la consulta, ya que, tal y como se ha analizado en el presente informe, los tratamientos de datos de salud deben realizarse en los términos y con observancia de las limitaciones y garantías específicas recogidas en las normas legales que los legitiman, que no han previsto dicho intercambio generalizado, facultando el acceso a las historias clínicas, con carácter general, a las entidades gestoras y a la inspección médica. Por otro lado, un tratamiento como el pretendido también podría ser contrario a los principios recogidos en el artículo 5 de dicho Reglamento. En este sentido, ya existen precedentes de sanciones impuestas por esta Agencia como consecuencia de la infracción de dichos principios en casos análogos al planteado, como el PS/00262/2021, en el cual se sancionó a un centro médico que facilitó a una mutua datos de salud previos a la realización de la prueba que había realizado a instancia de la mutua, por infracción del principio de confidencialidad del artículo 5.1.f) del RGPD. Cuestión distinta es cuando, atendiendo a las circunstancias del caso concreto, existe una vinculación y ese acceso se produce a través del Servicio de Inspección Médica

Procedimiento:

Informe Jurídico 2023-0041

Artículos afectados:

Art. 6 RGPD (Legitimación del tratamiento); Art. 9 RGPD (Tratamiento datos sensibles);

 

 

 

 

- Licitud del tratamiento – WhatsApp -  

10.000 euros a un vigilante de seguridad por capturar imágenes del sistema de videovigilancia y enviarla por WhatsApp a compañeros

El reclamado, se encuentra destinado por su empresa, TRABLISA MULTISERVICIOS, en el Centro Penitenciario Madrid IV de Navalcarnero, como vigilante de seguridad y que este capturó con su teléfono móvil imágenes del sistema de videovigilancia del Centro Penitenciario, en las que aparecía una visitante del Centro, para remitir estas imágenes mediante WhatsApp a otros compañeros. En relación a las imágenes y audios obtenidos por sistemas de videovigilancia en establecimientos penitenciarios, se establecen 2 regímenes jurídicos diferentes: cuando no afecten a las personas privadas de libertad y que no estén directamente relacionados con la ejecución penal, se aplicará lo dispuesto en el RGPD y LOPDGDD; para las grabaciones de las personas privadas de libertad, que se estará a lo previsto en la Ley Orgánica 7/2021 y a las recomendaciones realizadas por el Defensor del Pueblo para el específico ámbito penitenciario. En este caso, captar con un móvil las imágenes del sistema de videovigilancia del Centro, en las que aparecía una visitante del Centro, para difundirlas por WhatsApp a otros compañeros, vulneran lo establecido en el artículo 6 del RGPD. Además, se aprecian, como agravantes al hecho en cuestión

- La gravedad de los hechos, ya que el reclamado se aprovechó de su condición de guardia de seguridad y acceso a imágenes para captarlas y difundirlas.

- La intencionalidad en la actuación, ya que tales actuaciones no son propias de sus labores profesionales.

Procedimiento:

PS-00559-2022

Artículos afectados:

Art. 6 RGPD (Legitimación)

Resolución:

10.000 euros

 

 

- Requerimientos – Sector energéticas -  

60.000 euros por no facilitar a la AEPD la información requerida en tiempo y forma

El 25 de febrero de 2022, la parte reclamada (BIROU GAS SL) presenta copia del contrato suscrito con la parte reclamante y manifiesta que dicho contrato fue introducido por MULTIGAS ASESORES SL y que realizaron el alta ya que todos los datos eran correctos. Al apreciarse indicios racionales de una posible vulneración de las normas en el ámbito de las competencias de la Agencia Española de Protección de Datos, se admitió a trámite la reclamación con fecha 11 de abril de 2022.

La reclamada BIROU GAS manifestó que la contratación se realizó a través del tercero MULTIGAS ASESORES, por lo que la AEPD remitió dos requerimientos de información, el 1 y 2 de febrero, para que en el plazo de diez días hábiles presentase información y documentación sobre el contrato de encargo con ese tercero. Los requerimientos fueron recogidos por la parte reclamada el 2 de febrero. Sin embargo, no se remitió respuesta a la AEPD en los plazos previstos. Por ello, el 10 de abril se acordó iniciar procedimiento sancionador contra BIROU GAS por no contestar a los requerimientos de información. Solamente una vez fue notificada la apertura del procedimiento sancionador por no contestar a los requerimientos, se recibió de BIROU GAS la información inicialmente solicitada. No obstante, la respuesta a los requerimientos de información durante la instrucción del procedimiento no afecta a la existencia de los hechos probados constitutivos de infracción.

Procedimiento:

PS-00135-2023

Artículos afectados:

Art. 58.1 RGPD (Potestades de investigación)

Resolución:

60.000 euros (48.000 euros por pago voluntario)

 

 

 

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857