\ RSM20230914 - Resoluciones Relevantes
RESOLUCIONES RELEVANTES 14/07/2023 - 25/08/2023 |
Derecho de supresión, Licitud del tratamiento, Incumplimiento resoluciones, Minimización de datos, Videovigilancia laboral, Inmobiliarias, Telecomunicaciones…
“La parte reclamante ha manifestado que la parte reclamada ha puesto a su disposición la documentación que acredita sus alegaciones y que, en base a ello, solicita el archivo del procedimiento, con renuncia a cualquier indemnización que le pueda corresponder (...) El objeto de las presentes actuaciones no va dirigido a reconocer un derecho de la parte reclamante a ser indemnizada, sino a determinar la posible existencia de una conducta infractora por la parte reclamada y las consecuencias que de ello derivan."
(ABL)
- Licitud del tratamiento – Redes Sociales -
10.000 € a un local organizar un cumpleaños y publicar fotografías de menores sin consentimiento
La reclamación se dirige contra NANDIVALE, S.L. Los motivos en que basa la reclamación son los siguientes: la reclamante madre de una niña de 4 años que asistió a una fiesta de cumpleaños organizada en el local del reclamado; señala que, sin el consentimiento de los padres de los niños asistentes, se tomaron imágenes de la celebración en las que aparecían los menores, y se publicaron en el perfil de Instagram como un "story". La reclamante, al ser conocedora de la publicación de las imágenes en las que aparecía su hija, contactó con el autor de la publicación a través del servicio de mensajería proporcionado por el prestador del servicio, al objeto de solicitar que se eliminara la publicación o se tapara la cara de los menores; manifiesta que no recibió respuesta y que la publicación estuvo disponible las 24 horas para las que, por defecto, están configuradas las "stories" de Instagram.
El reclamado respondió manifestando que se trata de una entidad dedicada a eventos y actividades de ocio así como la organización de fiestas infantiles; que la reclamación presentada solicitaba la supresión del video y el mismo fue retirado a las 24 horas de su publicación, dado que la solicitud de la retirada se efectúo a través de una solicitud de amistad del perfil de Instagram y no del canal previsto para ello, por lo que, no fue hasta pasado dichas horas que tuvieron conocimiento de dicha solicitud; que ha sido consciente del error que supone esta situación; que se han intensificado las medidas para evitar que se produzcan estas situaciones con la exigencia del consentimiento y creado un protocolo para evitar incidencias; que se proceda al archivo del procedimiento sancionador o se proceda al apercibimiento; subsidiariamente sea considerada como infracción leve.
Procedimiento:
Artículos afectados:
Art. 6 RGPD (Legitimación del tratamiento)
Resolución:
10.000 €
- Licitud del tratamiento – Página web -
1.000 € por publicar en la web una reseña con foto sin consentimiento del interesado
Se denuncia por parte del interesado que la reclamada ha utilizado su imagen y nombre en una de sus reseñas en su web sin su consentimiento, estafando al resto de personas ya que nunca dio ninguna opinión ni contrató los servicios de la reclamada. Asimismo, indica que la foto la publicó en Instagram hace unos años, foto que eliminó con el tiempo, por lo que presume que lleva mucho tiempo en la web de la reclamada. Se aporta junto a la reclamación una captura de pantalla de la web, en la que aparece la fotografía de una mujer (la reclamante), con el siguiente texto:
“A tope con el entreno. Estoy muy satisfecha con el programa, Los ejercicios se comprenden muy fácilmente, y encima si tengo dudas hay vídeos de referencia. Ya no tengo excusa para entrenar en casa. A.A.A..”
En el presente supuesto, la reseña objeto de reclamación continúa publicada. En la fotografía se puede apreciar por completo a la persona y, unido al hecho de que aparece vinculada al nombre y primer apellido de la parte reclamante, hacen que se pueda identificar de manera clara a esta.
Procedimiento:
Artículos afectados:
Art. 6 RGPD (Legitimación)
Resolución:
1.000 € (600 € por pago voluntario y reconocimiento de responsabilidad)
- Confidencialidad – Correo electrónico -
20.000 € por enviar múltiples correos a terceros con datos de trabajadores
La parte reclamante denuncia que “B.B.B., administrador de la empresa JEG'S LIFE STYLE SL, en la que yo estuve trabajando en 2019 y 2020, ha divulgado información privada mía por e-mail a terceras personas.” La infracción del principio de confidencialidad del que se responsabiliza a JEG`S LIFE, se materializa en los siguientes tratamientos efectuados por esa entidad:
a) Unos días después de que hubiera terminado la relación laboral, el representante legal de JEG`S LIFE, su administrador solidario 1, envió un correo electrónico, en el que se incluía como documento anexo una copia del “Certificado de empresa para la solicitud de incapacidad laboral” perteneciente al reclamante, además de al propio reclamante (que era su destinatario natural) y al administrador solidario 2 (quien lo conocía pues lo había recibido legítimamente un día antes del gestor) a tres personas no legitimadas. JEG´S LIFE estaba obligada a emitir el certificado de empresa para que el extrabajador pudiera solicitar la incapacidad laboral, sin embargo, la reclamada facilitó el acceso al documento a terceras personas que no estaban legitimadas para el tratamiento de sus datos personales.
b) JEG´S LIFE, a través de su administrador solidario 1, envió un correo electrónico al titular de la cuenta ***EMAIL.2, con copia al reclamante y a dos personas más. Como “Asunto” consta en el correo: “Mintieron en los últimos juicios ambos”. Si bien el reclamante alega que en dicho correo había varios adjuntos con datos personales, no ha quedado acreditado en ningún momento. No obstante, dicho correo entraña una vulneración del principio de confidencialidad en tanto en cuanto la parte reclamada, al haber enviado el correo electrónico a un tercero, les comunicó el dato de la cuenta de correo electrónico del reclamante, además de la información concerniente a su persona que hizo constar en el texto del mensaje electrónico.
c) Por último, consta acreditado que el administrador solidario 1 de JEG´S LIFE, desde su cuenta de correo envío un mensaje dirigido al reclamante y a 16 destinatarios más. En el correo constaba como “Asunto” y como “Datos adjuntos” una carta de despido en cuya primera página aparecen los datos del remitente, JEG´S LIFE, y los del actual reclamante, su nombre, dos apellidos y su dirección postal. En la carta se comunica que ha decidido proceder a su despido disciplinario por “las irregularidades en su gestión que suponen una gravísima transgresión de la buena fe contractual”, irregularidades que detalla en ese escrito.
La documentación que obra en el expediente acredita que entre JEG´S LIFE y la parte reclamante existió una relación laboral que se extinguió por despido del trabajador. La relación laboral entre las partes habilitó a la parte reclamada para tratar datos personales del trabajador cuando el tratamiento fuese necesario, bien para el desenvolvimiento y ejecución del contrato de trabajo (art. 6.1.b RGPD), bien para que pudiera cumplir las obligaciones que le impusieran normas con rango de ley o un convenio colectivo (art. 6.1.c RGPD) o bien para satisfacer intereses legítimos del empleador o de un tercero (art. 6.1.f RGPD). Cualquiera de estos tratamientos debía respetar los principios recogidos en el art. 5.1 RGPD, incluyendo el principio de confidencialidad. En este supuesto JEG´S LIFE -a través de uno de sus administradores solidarios- comunicó a terceros datos que concernían al reclamante, a los que pudo tener acceso en virtud de la relación laboral que había existido entre ambas, vulnerando con ello la obligación de confidencialidad de los datos objeto de tratamiento que le impone el RGPD. Incluso cuando el tratamiento de los datos del reclamante se produjera después de finalizar la relación laboral, no es óbice para que el responsable continuase obligado a observar el principio de confidencialidad.
Procedimiento:
Artículos afectados:
Artí. 5.1.f) RGPD (Confidencialidad)
Resolución:
20.000 €
- DPO, Información al interesado y Cookies – Colegios Profesionales -
Múltiples sanciones al Colegio Profesional de Arquitectos de Granada: hasta 14.000 €
A través del Consejo de Transparencia y Protección de Datos de la Junta de Andalucía, se recibió en la AEPD escrito presentado por el reclamante, en la que indicaba, numerosas infracciones en materia de protección de datos:
- En relación a la designación del DPO, se indica la existencia de conflicto de intereses del nombramiento, miembro de la Junta de Gobierno. Indica la AEPD que la exigencia del nombramiento de DPD no debe interpretarse, sin más, como una mera formalidad, debiendo cumplirse con los requisitos establecidos en las normas jurídicas aplicables, debiendo realizarse un análisis de las funciones, capacitación y recursos que debe disponer el DPD. Respecto a las cuestiones relativas a la independencia y conflictos de intereses del delegado, deberá estarse a las normas jurídicas que la regula la posición del delegado en sus relaciones con el responsable y/o con el encargado del tratamiento, debiendo garantizarse su independencia dentro de la organización, no pudiendo recibir instrucción en lo que respecta al desempeño de dichas funciones, ni pudiendo ser destituido ni sancionado. Esto supone, en especial, que el DPD no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales (como normal general, incluye puestos de alta dirección). En consecuencia, en este caso se considera que incurren en conflicto de intereses.
- Respecto a los formularios de quejas y reclamaciones, se observa que en el documento “Hoja de Quejas y Reclamaciones de Colegiados”, accesible en la página web, solamente existía una breve referencia a la antigua LOPD, por lo que se produce una vulneración al no proporcionar a los usuarios cuando se obtienen de ellos sus datos personales, toda la información exigida por el art. 13 RGPD.
- Por último, la página web presenta un aviso sobre el uso de cookies, advirtiendo que la mera utilización del sitio web implica la aceptación para instalación de cookies. Se constató inicialmente que se utilizaba una cookie de terceros de carácter no exceptuado, sin el previo consentimiento del usuario de la web. Se da la circunstancia de que esta cookie analítica se instalaba a través de la inserción de un mapa interactivo del Instituto para la Salud Geoambiental de la Fundación “Vivo Sano” en la página. La utilización de cookies de terceros de terceros de carácter no exceptuado, durante el tiempo que estuvieron activas, suponen por parte del reclamado, la comisión de la infracción del artículo 22.2 de la LSSI.
En este caso, a pesar de ser una Corporación de Derecho Público, no se aplica el régimen especial del art. 77 porque las funciones públicas a ejercer por los Colegios Profesionales son, esencialmente la ordenación del ejercicio profesional, que incluye el ejercicio de la potestad sancionadora y el control del cumplimiento de las normas deontológicas. En ausencia de tales funciones públicas, no cabe hablar con propiedad de Colegios sino de asociaciones privadas consagradas a la consecución de fines orientados al beneficio exclusivo de sus miembros.
Procedimiento:
Artículos afectados:
Art. 38.6 RGPD (Conflictos de intereses DPD); Art. 13 RGPD (Información al interesado); Art. 22.1 LSSI (Consentimiento de cookies)
Resolución:
14.000 € en total [5.000 €(Art. 38.6 RGPD); 8.000 € (Art. 13 RGPD); 1.000 € (Art. 22.1 LSSI)]
- Información al interesado – Videovigilancia -
1.200 € a una inmobiliaria por no disponer de carteles de videovigilancia
La reclamante manifiesta que acudió a las instalaciones de MADRID TOURISTIC CAPITAL, S.L. y se percató de que en recepción se encuentra instalada una cámara de videovigilancia, sin que se encuentre señalizada mediante los preceptivos carteles informativos de zona videovigilada, señalando que la persona que le atendió en dichas instalaciones tampoco le facilitó información sobre el tratamiento de datos. Se aporta reportaje fotográfico con ubicación de la cámara. La parte reclamada no ha dado repuesta a las actuaciones de traslado y solicitud de información notificadas.
Procedimiento:
Artículos afectados:
Art. 13 RGPD (Información al interesado)
Resolución:
1.200 € (720 € por pago voluntario y reconocimiento de responsabilidad)
- Limitación del tratamiento – Arrendamientos -
5.000 € a un empleador por utilizar los datos del contrato de trabajo del empleado para gestionar su alquiler
La reclamante manifiesta que suscribió un contrato de arrendamiento de habitación con la parte reclamada, siendo realizado el pago en metálico del alquiler hasta agosto del año 2021 y a partir del siguiente mes se hace por transferencia ordenada por la reclamante a la reclamada. En enero de 2021, la reclamante formalizó contrato de trabajo con la entidad, de la cual es presidenta la parte reclamada, con quien formalizó el contrato de arrendamiento.
A finales de 2021, la reclamada, creó una domiciliación bancaria para el pago del alquiler de la reclamante, haciendo uso del número la cuenta bancaria que les constaba en el contrato de trabajo suscrito; y se crea la referencia de domiciliación, por el importe de del alquiler.
Si bien la reclamante aportó dos testificales para acreditar que disponía del consentimiento de la interesada, considera la AEPD que las declaraciones aportadas como prueba de la existencia de consentimiento no tienen la virtualidad necesaria para acreditar la existencia de un consentimiento válidamente dado, en los términos recogidos en el artículo 4.11 del RGPD (libre, inequívoco, específico e informado), sobre todo si se tiene en cuenta el desequilibrio de poder existente en las relaciones laborales existentes entre empleados y empleador.
Resulta acreditado que la parte reclamada utilizó el número de la cuenta bancaria facilitado por la reclamante cuando formalizó el contrato de trabajo con la entidad de la que es presidenta la parte reclamada, para domiciliar el cobro del contrato de arrendamiento de una habitación. Pues bien, la parte reclamada utilizó dicho dato con una finalidad distinta para la que fue dado dicho dato, que no es otro que el cobro del salario por parte de la reclamante. Estos hechos se acreditan al aportar la reclamante el documento que entregó a para el ingreso de las nóminas de su salario, que como trabajadora percibía; haciendo uso del número la cuenta bancaria cedido por la entidad, para crear una domiciliación bancaria sin que exista causa legitima para ello. No ha quedado acreditado la compatibilidad de los fines ni que cuente con el consentimiento de la reclamante para tratar los datos con esa nueva finalidad
Procedimiento:
Artículos afectados:
Art. 5.1.b) RGPD (Limitación del tratamiento)
Resolución:
5.000 €
- Medidas de seguridad – Destrucción documental -
2.000 € por tirar documentos a la basura sin destruirlos adecuadamente
La Policía Local de Villa de la Orotava aporta Diligencias en la que se pone de manifiesto que se halló documentación abandonada en contenedores ubicados en la vía pública, siendo estos accesibles por cualquier viandante, incluyendo documentos vinculados a la entidad denunciada con una pluralidad de datos personales.
En el informe de dichas diligencias se hace constar que los agentes, realizando funciones propias del cuerpo y circulando en patrulla por la Calle, observaron tres contenedores para recogida de residuos con tapa abierta y ocupados en su totalidad por documentos en formato papel. El interior de los contenedores se hace visible desde la vía y acera, siendo los documentos fácilmente legibles y accesibles a terceros. En los documentos en formato papel intervenidos constan datos e información sobre personas físicas, entre ellos: Certificados de instalación y suministro y de evacuación de aguas, planes de seguridad, contratos, facturas, parte de vacaciones del trabajador, fotocopia DNI, fotocopia cartilla Caja Canarias, certificados de instalación de gas, contratos de trabajo…entre otros. La mayoría de los documentos consta la empresa FONTANORTE, S.L. como proveedor o cliente y D. A.A.A., con consta en diferentes documentos como representante de la empresa.
Por ello, se ha constatado que la brecha tuvo como vector de entrada la destrucción por parte de FONTANORTE, de documentación con datos personales utilizando métodos inadecuados para ello.
Procedimiento:
Artículos afectados:
Art. 32 RGPD (Medidas de seguridad)
Resolución:
2.000 € (1.200 € por pago voluntario y reconocimiento de responsabilidad)
Anotaciones:
El otro procedimiento se puede consultar aquí PS-00662-2022
- Legitimación del tratamiento – Telecomunicaciones -
70.000 € a Telefónica por SIM Swapping
La parte reclamante manifiesta que el día 24 de agosto de 2022, un tercero contacta telefónicamente con la parte reclamada solicitando la portabilidad de su línea telefónica, pero no lo consigue, por lo que solicita en varias ocasiones un duplicado de la tarjeta SIM, activándose dicha tarjeta el 26 de agosto de 2022, fecha en la que se queda sin servicio en su teléfono móvil.
Así las cosas, dicho tercero, valiéndose de la información contenida en el teléfono móvil, accede a la banca online de la parte reclamante (con sus claves y contraseñas) realizando numerosos cargos y operaciones fraudulentas en su cuenta bancaria, además de contratar dos tarjetas de débito. Posteriormente, cancela sus cuentas y las tarjetas bancarias y le indica su entidad financiera que no procede la devolución de los importes fraudulentos al encontrarse las operaciones debidamente autorizadas.
Asimismo, Telefónica le confirma la intención inicial del solicitante de realizar una portabilidad y la solicitud y emisión posterior de un duplicado de su tarjeta SIM, así como la existencia de varias llamadas a un centro de atención de llamadas de la parte reclamada en Málaga. No obstante, le indican salvo por orden judicial, no pueden facilitarle la dirección en la que se entregó el duplicado de la tarjeta SIM.
Telefónica acredita que existen hasta tres solicitudes de cambio de ICC de la tarjeta SIM asociada a la línea de titularidad de la parte reclamante, producidos a lo largo del día 26 de agosto de 2022, que no se gestionan porque no reunían los requisitos necesarios. Telefónica acredita que, en el último de los intentos, se realizó el cambio de ICC de la tarjeta SIM sin que conste la grabación de la solicitud en sus sistemas. En el cuarto intento, el agente comercial no siguió correctamente la operativa. En todo caso, la operadora reconoce que no se siguió el procedimiento implantado por ella misma, ya que, de haberlo hecho, se debió haber producido la denegación del duplicado de la tarjeta SIM.
Procedimiento:
Artículos afectados:
Art. 6.1 RPGD (Licitud del tratamiento)
Resolución:
70.000 €
- Información al interesado – Sector de juego -
La falta de claridad en la conservación de datos acaba en una sanción de 10.000 € a BWIN
El reclamante se dirigió al responsable del portal web BWIN para solicitar la supresión de sus datos personales, pero solo consiguió que le dieran de baja de las comunicaciones comerciales. Tras insistir, volvieron a rechazar su petición diciendo que los datos se han de conservar por 10 años, y le instan a volver a realizar la solicitud pasado ese plazo.
En relación con la política de privacidad, ha de indicarse que la establecida en los años 2017 y 2019 es la que continuaba vigente en el momento en que el reclamado adjuntó a su contestación el 29 de septiembre de 2022. Concretamente, en la página 44 de las disposiciones generales de la política de privacidad, remitidas por la parte denunciada, en su cláusula 8 se establecen los criterios para la conservación de los datos personales.
La parte reclamada declara que los datos personales del reclamante se suprimirán automáticamente cuando lleguen a la fecha de fin del periodo de retención (“Retention Period End Date”).
Por lo tanto, se considera que estamos ante una infracción del artículo 13 del RGPD, indicado en el fundamento de derecho II, tipificada como leve en el art. 74.a) a efectos de prescripción, porque en ninguna de sus políticas de privacidad incluida la actual se informa de forma adecuada de los extremos del art. 13.2.a), es decir, del plazo de conservación de sus datos personales.
Esto es así porque los datos tienen que conservarse para cumplir con una obligación impuesta por la ley de blanqueo de capitales pero no se informa a los interesados ni de los plazos ni de los criterios. Se utiliza la siguiente fórmula genérica “En los casos en los que tratemos tu información personal para cumplir con nuestras obligaciones legales, lo haremos de conformidad con todo periodo de conservación que así especifique la ley aplicable.” Se considera por tanto insuficiente la información aportada sobre el plazo de conservación por la parte denunciada, ya que podrían informar al menos de la ley que impone el deber de conservación para que los interesados puedan conocer el plazo durante el cual se conservarán sus datos.
Procedimiento:
Artículos afectados:
Art. 13 RGPD (Información al interesado)
Resolución:
10.000 € (6.000 € por pago voluntario y reconocimiento de responsabilidad)
- Minimización de datos – Inmobiliaria -
Sancionan con 10.000 € a una inmobiliaria por publicar imágenes de una vivienda en la que aparecen menores
El motivo en el que basa la reclamación es la publicación de la imagen de sus hijas menores de edad en el portal inmobiliario https://www.rainbowpropertyservices.es/. La imagen es visible en las fotografías de su vivienda habitual que la parte reclamada captó y posteriormente publicó en el mencionado portal inmobiliario. El reclamante manifiesta que la INMOBILIARIA le solicitó, en representación del propietario, acceder a la que es su vivienda habitual desde la fecha del arrendamiento, en el año 2010, con objeto de comprobar el estado del inmueble. Que días después de la visita descubrió que habían sido publicadas “las fotos de nuestra vivienda habitual en el portal web de los denunciados y en otros portales inmobiliarios de la red inmovilla, sin nuestro consentimiento.” y que en “varias de las fotografías publicadas en internet sin nuestro consentimiento, aparecen las imágenes de nuestras hijas menores de edad, perfectamente identificables.”
La recogida y posterior difusión de la imagen de las hijas del reclamante constituye un tratamiento de datos personales innecesario. La Inmobiliaria, al proceder a fotografiar las dependencias de la vivienda del reclamante y familia, no adoptó ninguna medida para evitar que se captara la imagen de las niñas que era visible en las fotografías que estaban distribuidas por el domicilio familiar. Asimismo, después de haber obtenido las fotografías y antes de proceder a su publicación en el portal inmobiliario, tampoco adoptó ninguna medida para suprimir la imagen de las niñas captada indebidamente o, al menos, para impedir su identificación.
El principio de minimización de los datos obligaba a la parte reclamada a haber adoptado las medidas organizativas que evitaran que, al fotografiar las estancias de la vivienda, se captara la imagen de las menores. Las medidas organizativas que era posible adoptar para garantizar el cumplimiento de ese principio eran numerosísimas: desde haber enfocado la cámara en una dirección que impidiera captar la imagen de las niñas hasta haber solicitado a los progenitores que retirasen los retratos el tiempo indispensable para fotografiar la vivienda. Y, no habiendo respetado el principio de minimización al obtener las fotos de la vivienda, la parte reclamada venía obligada en todo caso a cumplir con el principio mencionado al hacer uso de las fotografías que incluían la imagen de las menores indebidamente captada, suprimiéndola o pixelándola antes de publicar las fotos en páginas web y antes de facilitarlas por otra vía a terceras personas, incluido el propietario del inmueble.
Procedimiento:
Artículos afectados:
Art. 5.1.c) RGPD (Minimización de datos)
Resolución:
10.000 € (6.000 € por pago voluntario y reconocimiento de responsabilidad)
- Legitimación e información al interesado – Sector energético -
90.000 € a MASLUZ por no poder demostrar la contratación del servicio por parte del interesado
La reclamante manifiesta que a finales de junio de 2021 recibió una llamada de teléfono de su empresa suministradora de energía ofreciéndole una mejor tarifa de electricidad. Resultando que se produjo un cambio de comercializadora sin su autorización y tampoco facilitó datos personales ni bancarios. Por ello, se requiere a la entidad MASLUZ para que aporte el consentimiento del interesado. Aporta transcripción en la que aparece la autorización de la contratación de los servicios de suministro por parte de la MASLUZ, sin embargo, dicha autorización no queda constatada al no haberse podido verificar en la propia grabación ya que esta no ha sido aportada tras su requerimiento. En la transcripción aparece acreditado el consentimiento por parte de la reclamante para que Alpa 57 cediera sus datos a MASLUZ, esto tampoco ha sido constatado por las mismas razones expuestas anteriormente.
En consecuencia, los datos personales de la reclamante fueron incorporados a los sistemas de información de la compañía, sin que haya acreditado que hubiese contratado legítimamente, dispusiera de su consentimiento para la recogida y el tratamiento posterior de sus datos personales, o existiese alguna otra causa que hiciese licito el tratamiento efectuado. MASLUZ, no ha aportado prueba de la contratación que manifiesta efectuó la reclamante, en concreto la acreditación de la contratación electrónica mediante SMS de confirmación, así como de la grabación de voz de confirmación de la contratación.
Procedimiento:
Artículos afectados:
Art.13 RGPD (Información al interesado); Art. 6.1 RGPD (Licitud del tratamiento)
Resolución:
90.000 € en total [70.000 € (Art. 6.1 RGPD); 20.000 € (Art. 13 RGPD)]
- Requerimientos – Telecomunicaciones -
Más sanciones por no atender los requerimientos de información de la AEPD
En el marco de las actuaciones de investigación, se remitieron a ADENET SYSTEMS, S.L., con NIF B47387253, dos requerimientos de información, relativos a la reclamación reseñada en el apartado primero, para que, en el plazo de diez días hábiles, presentase ante esta Agencia la información y documentación que en ellos se señalaba. El primero de ellos fue registrado de salida en fecha 28 de febrero de 2022 mientras que el segundo se registró en fecha 29 de marzo de 2022. ADENET SYSTEMS, S.L. no ha respondido a los requerimientos de información efectuados por la Agencia en los plazos otorgados para ello.
De conformidad con las evidencias de las que se dispone, se considera que ADENET SYSTEMS, S.L. no ha procurado a la AEPD la información que le requirió. Con la señalada conducta de ADENET SYSTEMS, S.L., la potestad de investigación que el artículo 58.1 del RGPD confiere a las autoridades de control se ha visto obstaculizada.
Procedimiento:
Artículos afectados:
Art. 58.1 RGPD (Potestades de investigación)
Resolución:
6.000 €
- Información al interesado – Página Web -
500 € por no disponer de aviso legal en una web aunque estuviera en desuso
El reclamante manifiesta que ha enviado sus datos al responsable del sitio web http://electrotecniabaltasar.com, utilizando el único formulario disponible (el de solicitud de presupuesto). Señala que la página carece de política de privacidad, no constando información relativa a los tratamientos de datos de carácter personal ni a los derechos de los interesados ni consta información sobre la identidad del titular del sitio web.
El reclamado respondió que la web carecía de los correspondientes textos legales porque se desarrolló con el objetivo de impulsar la posición web. Sin embargo, esta se encontraba en desuso y en proceso de construcción, rediseño y optimización. Si bien, este proceso se ha ido posponiendo debido a su falta de uso, ya que la actividad profesional se desarrolla de forma física. No obstante, dado que el reclamado ha reconocido espontáneamente su culpabilidad y ha regularizado la situación irregular de forma diligente, la sanción correspondiente es atenuada.
Procedimiento:
Artículos afectados:
Art. 13 RGPD (Información al interesado)
Resolución:
500 € (300 € por pago voluntario y reconocimiento de responsabilidad)
- Legitimación – Videovigilancia -
5.000 € a un particular por instalar cámaras en su vivienda enfocando a zonas comunes
Se denuncia por parte del reclamante la instalación de una cámara de videovigilancia de color blanco en lo alto de la fachada del chalet propiedad de la parte reclamada, orientada hacia las zonas exteriores de la parcela. Dicha vivienda se trata de un chalet unifamiliar en el cual viven 3 inquilinos arrendados al señor B.B.B.. Dicha casa consta de terraza y piscina de uso compartido. El referido B.B.B., con colaboración de C.C.C. ha instalado una cámara en la fachada del mencionado C.C.C.. La cámara está enfocando a la terraza y piscina de uso compartido. Estos espacios están a disposición de los inquilinos del chalet en el cual vivimos. Dicho chalet consta de 3 estancias o “casas” separadas. En una vivimos nosotros, en otra C.C.C. y D.D.D., y en la última E.E.E., siendo B.B.B. el propietario de todo el chalet.
La presencia de la cámara en cuestión supone la afectación a espacios que dejan de ser “privativos” del titular, para ser objeto de disfrute de un tercero cuyos derechos han de ser respetados, tanto el derecho a la intimidad como el derecho a la “protección de datos personales”. Por ello, aunque en el acuerdo de inicio del presente procedimiento sancionador se imputó a la parte reclamada una infracción del artículo 5.1.c) del RGPD; al considerar que la captación de imágenes de las zonas compartidas (terraza y piscina) daba lugar a un tratamiento excesivo y desproporcionado. Así, se fijó como valoración inicial una multa administrativa de 300 € y, como posible medida, la retirada del dispositivo del lugar actual o regularización de conformidad con la normativa vigente. No obstante, como consecuencia de la instrucción, se consideró que la calificación jurídica de los hechos conocidos debía ser distinta. La falta de base jurídica que legitime el tratamiento de datos personales de la parte reclamante (imagen) vulnera lo establecido en el artículo 6.1 del RGPD.
Procedimiento:
Artículos afectados:
Art. 6.1 RGPD (Legitimación)
Resolución:
5.000 €
- Lista Robinson – Telecomunicaciones -
15.000 € a Vodafone por realizar llamadas comerciales a números inscritos en la Lista Robinson
Se presenta reclamación contra Vodafone por recepción de llamadas comerciales en la línea móvil del denunciante, realizadas los días: 20 de junio de 2022 a las 18:04 horas; 22 de junio de 2022 a las 20:42 horas; y 1 de julio de 2022 a las 18:15 y 18:31 horas.
Vodafone remite respuesta al requerimiento de información de la Agencia, manifestando que ha verificado que los números denunciados por el reclamante no constan en su base de datos de números asociados a los colaboradores que realizan llamadas de captación en nombre de Vodafone.
Sin perjuicio de lo anterior, Vodafone afirma que no puede descartarse que estas llamadas hayan sido realizadas por terceros ajenos a VODAFONE o sus agentes, suplantando la identidad corporativa de esta entidad, con un ánimo o finalidad fraudulenta o maliciosa, a través del uso de técnicas de “spoofing” o suplantación de identidad corporativa.
Tras las actuaciones de investigación, se identifica la identidad de la entidad titular de la línea desde la que se realizaron las llamadas comerciales, correspondiendo a VESALEADS, agencia colaboradora de Vodafone, siendo por tanto cierto que, desde esta línea telefónica, se pudieron realizar las llamadas denunciadas por el reclamante, actuando este agente en nombre de VODAFONE. Se ha determinado que se produjo un fallo puntual en el proceso de inclusión del número del reclamante en el sistema de enrutamiento e inclusión en la Lista Robinson interna de Vodafone. Esto provocó que el proceso no se completara correctamente. Por lo tanto, la entidad denunciada reconoce haber realizado llamadas comerciales pese a la parte reclamante pese a encontrarse inscrito en Lista Robinson, lo cual supone una infracción del artículo 48.1.b) de la LGT.
Procedimiento:
Artículos afectados:
Art. 48.1.b) LGT (Llamadas comerciales)
Resolución:
15.000 € (12.000 € por pago voluntario)
- Licitud del tratamiento – Sector energético -
70.000 € a Holaluz por dar de alta suministros de energía eléctrica sin consentimiento del titular
La parte reclamante manifiesta que Holaluz ha dado de alta los suministros de energía eléctrica de cuatro inmuebles que la reclamante previamente tenía suscritos con la comercializadora Energía XXI haciendo uso de sus datos personales, sin su consentimiento. El proceso de alta se realizó a través del colaborador BLANER ENERGY, S.L. Para efectuar el mismo, se debe realizar el envío para su validación, a través de correo electrónico, de las condiciones contractuales a la dirección de correo electrónico vinculada al titular en el propio contrato. En la base de datos de Holaluz asociados a la parte reclamante figuran un correo electrónico que no pertenecía efectivamente a la titular.
BLANER ha confirmado que realiza la actividad de colaborador del reclamado a través de los canales de venta telefónica y presencial. Igualmente manifiesta que ejerce su actividad para el reclamado tanto directamente como a través de “subagentes”. Así, expresa que las contrataciones objeto de controversia fueron realizadas a través del subagente, pero no ha quedado probado que el interesado validara dichos contratos. Por tanto, los datos personales de la reclamante fueron incorporados a los sistemas de información de la compañía, sin que haya acreditado que hubiese contratado legítimamente, dispusiera de su consentimiento para la recogida y el tratamiento posterior de sus datos personales, o existiese alguna otra causa que hiciese licito el tratamiento efectuado.
Procedimiento:
Artículos afectados:
Art. 6.1 RGPD (Legitimación)
Resolución:
70.000 € (56.000 € por pago voluntario)
- Licitud del tratamiento – Periódicos -
20.000 € a un periódico digital por utilizar sin consentimiento la fotografía del interesado que había publicado en Instagram
La denunciante manifiesta que un periodista publicó en el blog que ostenta insertado en el Diario de Cádiz, una foto personal suya, de su ámbito privado y perteneciente a su cuenta privada de la red social Instagram. Manifiesta que dicha cuenta privada de Instagram siempre ha estado y está cerrada al público, por lo que todo el que quiera acceder a la misma y ver sus imágenes y fotografías tiene que mandarle una solicitud de amistad que la parte reclamante debe aceptar expresa y previamente, no encontrándose dicho periodista entre los aceptados para acceder a sus imágenes y fotografías.
Por su parte, el reclamado responde indicando que los hechos se reducen a que el periodista publicó una foto en la que aparecían las piernas de una mujer, publicada por la reclamante en su cuenta de Instagram, alabando sus “taconazos”. Foto que enviaron al periodista, dado que él carece de cuenta de Instagram, y que publicó criticando lo que él entendía una conducta frívola con relación al periodismo y al premio concedido. Considera que la imagen que se reproduce no se corresponde con una persona identificada o identificable y por tanto no es dato personal y que en el comentario que acompaña a la fotografía, no se menciona en ningún momento el nombre de la parte reclamante y que la presente reclamación se enmarca en una polémica de tintes personales, alejada de cualquier fundamento jurídico o base legal. Sin embargo, la difusión de imágenes realizadas a través del mencionado blog, junto con el nombre, apellido y edad de la persona a la que se le ha atribuido, perteneciente a la red social de la reclamante, constituye indudablemente un tratamiento de datos, para el cual no contaba con base de legitimación alguna que le amparase.
Procedimiento:
Artículos afectados:
Art. 6.1 RGPD (Legitimación)
Resolución:
20.000 €
Anotaciones:
Recoge la STS 363/2017, de 15 de febrero: “… que, en la cuenta abierta en una red social en Internet, el titular del perfil haya “subido” una fotografía suya que sea accesible al público en general, no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular porque tal actuación no puede considerarse una consecuencia natural del carácter accesible de los datos e imágenes de un perfil público en una red social en Internet. La finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que estos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de esa cuenta en un medio de comunicación. […] El consentimiento del titular de la imagen para que le público en general, o un determinado número de personas, pueda ver su fotografía en un blog o en una cuenta abierta en la web de una red social no conlleva la autorización para hacer uso de esa fotografía y publicarla o divulgarla de una forma distinta”.
- Fotografías y redes sociales – Centros educativos -
Sancionan al Colegio Virgen de Europa con 15.000 € por tomar fotografías de menores y publicarlas sin autorización del padre
El reclamante denuncia el tratamiento ilícito de imágenes de su hijo de 3 años por parte del centro educativo en el que está matriculado desde abril 2022 y no tienen autorización para dicho tratamiento. Añade que “en el proceso de inscripción por escrito manifestaron en el contrato que no autorizaban el tratamiento de imágenes”. Manifiesta que el Colegio ha publicado esas fotos en su perfil de FACEBOOK y en una lista de difusión de WhatsApp, estando en su clase. Asimismo, y finalizado el curso escolar, durante el campamento de verano organizado por Colegio y en sus instalaciones, el reclamante recibió nuevas imágenes de las actividades realizadas. Sin embargo, al percibir que faltaban imágenes de algunas actividades, por lo que comprobaron las imágenes recibidas con otras familias, descubriendo su hijo volvía a salir en imágenes que fueron enviadas al resto de familias del campamento, y que a él no se le remitieron.
Las fotos se enviaban con diversas referencias al estado de los menores o lo que estaban haciendo, siendo reconocibles por captar primeros planos o planos cercanos, y no se contaba con el consentimiento documentado del reclamante. En cuanto a la exposición de imágenes que responden al concepto de la “función educativa”, que señala el reclamado se debe indicar que las publicaciones realizadas en abierto en el FACEBOOK del Colegio, las enviadas a los padres o tutores a través de WhatsApp o mediante una carpeta en GOOGLE DRIVE con un enlace, durante el campamento de verano difícilmente parecen encajar en la calificación de función docente o educativa como en estos casos, bien porque van acompañadas de literales resumen de lo que hicieron los niños, por el contexto en el que se han realizado y en el que son expuestas.
Por ello, se imputa al Colegio una infracción del artículo 6.1 del RGPD, ya que, pese a no tener el consentimiento del reclamante, recogió imágenes y las publicó en diferentes fechas y medios como Facebook, DRIVE o lista de difusión de WhatsApp, por lo que presuntamente no dispone de base legitimadora para su tratamiento.
Procedimiento:
Artículos afectados:
Art. 6.1 RGPD (Legitimación)
Resolución:
15.000 € (9.000 € por pago voluntario y reconocimiento de responsabilidad)
- Cookies y Política de privacidad – Página web -
4.000 € por una mala implantación de protección de datos en la página web
Se presenta denuncia contra la entidad, LOCAL VERTICALS, S.L, indicando que en la web propiedad de la reclamada no existe ningún tipo de información sobre el tratamiento de los datos personales obtenidos en sus formularios. Tampoco existe ningún enlace que redirija al usuario a la su “Política de Privacidad”. El único enlace a una “Política de Privacidad”, es el que existe en el formulario de “Registrarse” pero se comprueba que dicha Política de Privacidad pertenece a otra web diferente, ***URL.3. Además, al entrar, se descargan una cantidad enorme de cookies, tras rechazar las cookies, no ocurre nada, sino que descargan más cookies según vas navegando por la citada web, cookies que no son técnicas o necesarias.
En el presente caso, no es posible poder rechazar todas las cookies de una vez en el banner de información que existe en la página principal. Para gestionar las cookies es necesario acceder al panel de control donde los grupos de cookies aparecen divididas en finalidades. Existe dos opciones para la gestión de las cookies: la primera es rechazar todas las cookies o aceptar todas las cookies. Si se desea rechazar todas las cookies se comprueba como la web sigue utilizando las mismas cookies detectadas al principio. Existe una segunda opción y es ir aceptando o rechazando cada grupo de cookies. No obstante si se desea aceptar ciertos grupos de cookies y rechazar los demás, no existe la opción de guardar y aplicar lo seleccionado. Además, no existe ninguna información sobre cookies en la segunda capa o enlace que posibilite al usuario redirigirse a la “Política de Cookies” de la web. La información sobre cookies aparece de forma dispersa en cada una de las opciones del panel de control.
Procedimiento:
Artículos afectados:
Art. 13 RGPD (Información al interesado); Art. 22.2 LSSI (Consentimiento de Cookies)
Resolución:
4.000 € en total [(2.000 € por infracción), 2.400 € por pago voluntario y reconocimiento de responsabilidad]
- Cartelería – Videovigilancia -
La AEPD reitera que los carteles de empresas de videovigilancia no sustituyen la información de videovigilancia
Se denuncia por parte del afectado la instalación cámaras de videovigilancia en el exterior de la vivienda del denunciado, así como en zonas comunes comunitarias del entorno donde se encuentra ubicada su vivienda, captando dichas zonas comunes, así como espacios privativos de vecinos colindantes, sin que medie autorización previa por la Comunidad de Propietarios.
El reclamado, confirmando la presencia de las cámaras, cuya instalación se ha realizado por la empresa-Securitas Direct—incidiendo en que las mismas están orientadas hacia sus accesos principales. Se aporta copia de lo que se denomina <Parte del Servicio>empresa-Securitas Direct—con la firma de ambas partes, en dónde se menciona la presencia de cámaras interiores y exteriores, así como informando de diversas modalidades contractuales en los productos ofertados por la compañía.
Examinadas las alegaciones de ambas partes la AEPD concluye que las cámaras instaladas hacia la zona de acceso de la puerta y ventana de la vivienda del reclamado son proporcionadas a la finalidad pretendida que no es otra que la protección de la vivienda del mismo por motivos de seguridad. No obstante, lo anterior, examinada la instalación del sistema de cámaras de videovigilancia por parte de la compañía-Securitas Direct, el distintivo instalado lo es de la empresa instaladora, no informando del responsable del tratamiento, ni del modo de ejercitar los derechos en el marco de los actuales artículo 12-22 RGPD.
Procedimiento:
Artículos afectados:
Art. 13 RGPD (Información al interesado)
Resolución:
300 €
- Consentimiento cookies – Telecomunicaciones -
5.000 € al periódico digital La Vanguardia por instalar cookies sin consentimiento de los usuarios
El reclamante denuncia que la web https://www.lavanguardia.com, con tan solo entrar en la web, sin navegar, intentan instalar cookies en su dispositivo, y tras rechazar las cookies, la web continúa intentando la instalación de cookies. En la comprobación realizada por la AEPD en la página web denunciada se pudo constatar que, al entrar en la página principal y sin realizar ninguna acción sobre la mimas ni aceptar las cookies, se utilizaban las siguientes cookies no necesarias (_ga; _gid; _ga_; _glc_au).
Asimismo, en el panel de control sobre cookies, si se opta por NO permitir ninguno de los grupos de cookies, o cliqueando en la opción <<rechazar> de cada uno de los grupos de cookies, se comprueba como la web sigue utilizando las mismas cookies detectadas al principio e incluso empieza a utilizar cookies de terceros (todas ellas de Google) sin consentimiento: 1P_JAR ; NID; AEC; SOCS; CONSENT. Tampoco existe ningún mecanismo o acceso al panel de control permanente que permita después de haber prestado el consentimiento retirarlo.
Las deficiencias detectadas en la página web en cuestión: la utilización de cookies de terceros que no son técnicas o necesarias sin el consentimiento previo del usuario; la imposibilidad de rechazar las cookies de terceros o poder gestionarlas de forma granular y la imposibilidad de retirar el consentimiento una vez prestado, suponen por parte del periódico digital la comisión de la infracción del artículo 22.2 de la LSSI.
Procedimiento:
Artículos afectados:
Art. 22.2 LSSI (Consentimiento de cookies)
Resolución:
5.000 € (4.000 € por pago voluntario)
- Derecho de supresión – WhatsApp -
10.000 € por no atender la solicitud de supresión y seguir mandando publicidad
Alega el reclamante que, ante la recepción de publicidad a través de WhatsApp por parte de la entidad BORSA MEDIC, este ejerció derecho de supresión, sin que su solicitud recibiera la contestación legalmente establecida. Esta reclamación fue resuelta mediante resolución estimatoria de la Agencia en el PD/00186/2022, ordenando a que se atendiera la solicitud en plazo de 10 días. No obstante, en enero de 2023, este recibe un nuevo mensaje de WhatsApp de carácter comercial. A pesar de los requerimientos de la AEPD, la entidad BORSA MEDIC no ha acreditado, con ocasión de los trámites formalizados, que haya dado respuesta a la solicitud de ejercicio de derechos que le fue presentada por la parte reclamante. Por ello, se considera que se ha cometido una doble infracción:
- Ante la falta de acreditación de la contestación a la solicitud de ejercicio de derecho, se considera que la parte reclamada ha incumplido la resolución de la AEPD que obligaba a la atención de la solicitud.
- De otro lado, en relación al envío de comunicaciones comerciales, pese a la solicitud de supresión de sus datos personales a la reclamada (a pesar de la resolución estimatoria de la Agencia) el reclamante recibe un nuevo mensaje de WhatsApp de carácter comercial en fecha 02/01/23; lo que supone la vulneración del art. 21 LSSI por remitir un mensaje publicitario tras oponerse a ello.
Procedimiento:
Artículos afectados:
Art. 58.2.c) RGPD (Poderes correctivos); Art. 21 LSSI (Comunicaciones comerciales)
Resolución:
10.000 € [6.000 € por pago voluntario y reconocimiento de responsabilidad (5.000 € por cada infracción)]
Anotaciones:
El procedimiento del que trae causa es PD/00186/2022
- Minimización de datos y Confidencialidad – Videovigilancia -
Sancionan un negocio por enfocar a la vía pública y remitir las imágenes por correo electrónico sin base legítima
El reclamante denuncia que la entidad BENOTAC, es responsable de un establecimiento que cuenta con un sistema de videovigilancia no señalizado mediante los preceptivos carteles informativos de zona videovigilada, señalando asimismo que sus cámaras son susceptibles de captar imágenes de la vía pública junto al establecimiento, sin que conste autorización administrativa para ello. Junto a lo anterior manifiesta que se ha remitido a terceros una grabación procedente del referido sistema de videovigilancia, en la que aparece la parte reclamante, siendo difundida sin su consentimiento.
Con respecto a la cuestión planteada por el reclamante A.A.A., la denuncia se produce a raíz de su visita a la tienda Benotac S.L en octubre para reclamar el pago de una factura por unos servicios prestados. Durante la visita A.A.A. actuó de forma desagradable y ese comportamiento fue grabado por la cámara que recoge imágenes de la tienda, en presencia de varios clientes y empleados. De igual manera, se redactó un nuevo comunicado para los trabajadores donde se les advierte de que están siendo grabados por motivos de seguridad.
Entre las imágenes aportadas por la parte reclamante se observa que al menos un dispositivo obtenía imágenes del espacio público adyacente al estar la misma orientada hacia el exterior del establecimiento, con el consiguiente “tratamiento excesivo” de datos de terceros sin causa justificada.
BENOTAC debió prever que el tipo de cámaras instaladas es excesivo en la captación del espacio físico de la tienda, al afectar a la zona de tránsito de una calle concurrida, debiendo haber procedido a la reinstalación de la misma o instalar otro tipo de dispositivo menos invasivo de la privacidad y datos de los transeúntes.
De igual manera las imágenes (datos personales) obtenidos fueron objeto de traslado al menos al propio reclamante, sin que se haya justificado el motivo de tal traslado, al tratarse de imágenes asociadas a un sistema vinculado para la protección del establecimiento, sus bienes y enseres. Las imágenes obtenidas con este tipo de dispositivos deben en su caso ser objeto de conservación para su puesta a disposición de las Fuerzas y Cuerpos de Seguridad o Juzgado competente, sin que se haya explicado el motivo de acceso, conservación y traslado al menos al propio reclamante, que las aporta a la Agencia como documento probatorio.
Procedimiento:
Artículos afectados:
Art. 5.1 c) RGPD (Minimización de datos); Art. 5.1 f) RGPD (Confidencialidad)
Resolución:
2.500 € en total [1.500 € por pago voluntario y reconocimiento de responsabilidad; 500 € (Art. 5.1.c RGPD-EU); 2.000 € (Art. 5.1.f RGPD-EU)]
- Consentimiento cookies – Página Web -
Más sanciones de cookies: 5.000 € al Grupo Massimo Dutti
Los hechos, según manifestaciones de la parte reclamante están relacionados con la utilización de cookies y la obtención del consentimiento de los usuarios por parte de responsable del sitio web GRUPO MASSIMO DUTTI. De las actuaciones de investigación por parte de la AEPD, se observa:
- Sobre la utilización de cookies no necesarias sin en el previo consentimiento de usuario se comprobó que, al entrar en la página principal y sin realizar ninguna acción sobre la mismas, ni aceptar las cookies, se utilizaban cookies, entre las que se encuentran dos cookies de rendimiento (“AKA_A2” y “RT”) que aunque aparecen con otro dominio son utilizadas por Akamai Technologies, Inc. (plataforma de computación para la entrega de contenidos globales de Internet de empresas clientes) para optimizar el tiempo de respuesta entre el visitante y el sitio web. Según la entidad Akamai Technologies, Inc. de una (plataforma que almacena el contenido del servidor de una empresa cliente (Massimo Dutti) en sus propios servidores) estas cookies son necesarias pues permiten contar las visitas y fuentes de circulación para poder mejorar el rendimiento del sitio web. Según afirman, toda la información que recogen estas cookies es agregada y, por lo tanto, es anónima.
También se han detectado cuatro cookies que no han podido ser clasificadas (ITXSESSIONID; MDSESSION; bm_mi; bm_sv) aunque el responsable de la página web las clasifica en el listado que aparece en el panel de control como cookies estrictamente necesarias.
- Sobre la retirada el consentimiento una vez prestado, se comprobó que no existía ningún mecanismo o acceso al panel de control permanente que permitiera después de haber prestado el consentimiento retirarle. Con posterioridad se instaló un mecanismo que permite el acceso al panel de control de gestión de las cookies. No obstante, si se desea rechazar la utilización de cookies cliqueando en la opción <<rechazar todas>> o desplazando el curso desde la posición “ON” a la posición “OFF” y cliqueando en <<confirmar mis preferencias>>, se observa que la web sigue utilizando las cookies de terceros instaladas cuando se aceptaron al comienzo.
A pesar de los esfuerzos realizados por el Responsable, constatado que ha modificado la política de cookies adaptándola a la normativa vigente, eso no hace que desaparezca el incumplimiento que ha quedado probado.
Procedimiento:
Artículos afectados:
Art. 22.2 LSSI (Consentimiento de cookies)
Resolución:
5.000 €