|
Noticias
|
|
Lista Robinson,
derecho de supresión, videovigilancia, huellas dactilares, política de
privacidad, no responder a la AEPD...
|
|
“Se recuerda por parte de la AEPD que las cámaras instaladas por
particulares deben estar orientadas hacia su espacio privativo evitando la
captación de zona privativa de terceros sin causa justificada. En ningún caso
se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de
la instalación y en particular, no pudiendo afectar a los espacios públicos
circundantes, edificios contiguos y vehículos distintos de los que accedan al
espacio vigilado”
(ABL)
|
|
RESOLUCIONES
|
|
- Comunicaciones comerciales – Lista
Robinson -
|
|
#01
|
4.000 euros por llamar a un
número de teléfono inscrito en la Lista Robinson
|
|
PROCEDIMIENTO
|
PS/00489/2021
|
Arts. afectados
|
Resolución
|
|
El reclamante señala la
recepción de llamadas comerciales en la línea móvil; el objeto de las
llamadas era instarle a realizar un cambio de compañía eléctrica; manifiesta
que la línea receptora figura inscrita en la Lista Robinson. Las llamadas se
realizaron desde el 05/11/2020 a las 17:31 horas, identificándose el
comercial como de "asesoría de electricidad" y el 06/11/2020 a las
17:09 horas, identificándose el comercial como AHORRELUZ, "asesoría de
electricidad". NEOTEL ha confirmado que el titular de los números en la
fecha en que se realizaron las llamadas es TIGERS, empresa dedicada a la
actividad de telemarketing.
|
48.1 b)
LGT (Derecho de oposición a las llamadas no deseadas con fines comerciales)
en relación con el 21 RGPD (derecho de oposición) y 23.4 LOPDGDD (obligación
de consulta de ficheros de exclusión publicitaria)
|
4.000
euros
|
|
Anotaciones: Se
gradúa la sanción teniendo en consideración la situación económica del
infractor, al tratarse de una pequeña empresa
|
|
|
|
- Videovigilancia -
Cartelería -
|
|
#02
|
Sanción
por persistir en incumplimiento y no colocar carteles de videovigilancia pese
a advertencias de AEPD
|
|
PROCEDIMIENTO
|
PS-00305-2021
|
Arts. afectados
|
Resolución
|
|
La reclamación se presentó
porque el reclamado ha instalado un sistema de videovigilancia en el
establecimiento de su propiedad que carece de carteles informativos al
respecto y de impresos informativos a disposición de clientes. Esos hechos ya
fueron objeto de reclamación ante la Agencia, tramitándose el expediente
E/02061/2018, comunicando a la parte reclamada los requisitos exigidos para
llevar a cabo tratamientos de datos personales a través de este tipo de
dispositivos, indicándole que, en el supuesto de no adoptar las medidas
necesarias para cumplir con esos requisitos, incurriría en una infracción de
lo dispuesto en la normativa de protección de datos, que podría dar lugar al
inicio de las actuaciones de investigación y sancionadoras correspondientes.
|
Art. 13
(Información al interesado)
|
- 1.000
euros
- Colocar
de distintivos
- Tener
a disposición de los interesados la información necesaria
|
|
|
|
- Comunicaciones
comerciales – Telecomunicaciones -
|
|
|
#03
|
5.000
euros por no atender la petición de supresión y seguir mandando publicidad
|
|
|
PROCEDIMIENTO
|
PS-00417-2021
|
Arts. afectados
|
Resolución
|
|
|
En el presente supuesto, el
reclamante pidió ejercer su derechos de supresión de datos y que no volviera
a enviar más correos electrónicos publicitarios, siguiendo las indicaciones
que ponía en el propio correo que recibió de la reclamada. No obstante, no ha
tenido respuesta alguna a su petición, y siguió recibiendo correos
electrónicos publicitarios después de ejercer sus derechos. Al escrito de reclamación
se acompaña la documentación que prueba los intentos para darse de baja de
los sistemas de la reclamada, pidiéndola que no volviera a mandar más correos
electrónicos publicitarios y los correos electrónicos que recibió después con
mensajes publicitarios.
|
Art. 17
RGPD (supresión de datos)
y
Art. 21
LSSI (Consentimiento para comunicaciones comerciales)
|
3.000
euros
y
2.000
euros
|
|
|
|
|
|
- Videovigilancia –
Comunidad de Propietarios -
|
|
|
#04
|
Sanción
a un particular por tener cámaras de seguridad enfocando a zonas comunes y a
terrazas colindantes
|
|
|
PROCEDIMIENTO
|
PS-00349-2021
|
Arts. afectados
|
Resolución
|
|
|
Los hechos traen causa de la
reclamación por medio de la cual se traslada como hecho principal la
presencia de varios dispositivos de videovigilancia por parte de un vecino de
la Comunidad mal orientados hacia zonas comunes y zonas de terraza de vecinos
contiguos sin causa justificada. No se ha acreditado la presencia de cartel
informativo en la puerta de acceso a la vivienda, informando a los vecinos
del inmueble que se trata de una zona videovigilada..
|
5.1.c
RGPD (minimización de datos)
|
1.500
euros
y
retirada
o reorientación de las cámaras de seguridad
|
|
|
Anotaciones: Se
recuerda por parte de la AEPD que las cámaras instaladas por particulares
deben estar orientadas hacia su espacio privativo evitando la captación de
zona privativa de terceros sin causa justificada. En ningún caso se admitirá
el uso de prácticas de vigilancia más allá del entorno objeto de la
instalación y en particular, no pudiendo afectar a los espacios públicos
circundantes, edificios contiguos y vehículos distintos de los que accedan al
espacio vigilado. Igualmente, en el caso de cámaras falsas las mismas deben
estar orientadas hacia zona privativa evitando la intimidación a los vecinos
colindantes que desconocen si las mismas tratan o no datos personales.
|
|
|
|
|
|
- Laboral – Huella
dactilar -
|
|
|
#05
|
Nueva
sanción por la utilización de huellas dactilares con fines laborales: 20.000
euros
|
|
|
PROCEDIMIENTO
|
PS-00010-2021
|
Arts. afectados
|
Resolución
|
|
|
En el año 2017, se implanta por
parte de DAVISER SERVICIOS un sistema de toma y registro de huella dactilar.
Dispone de un único dispositivo digital o fichador que sirve para la entrada
y la salida de la nave donde el personal accede para trabajar. La finalidad
es que accedan a las instalaciones “privadas de la empresa: servicio, el
vestuario etcétera, sólo el personal autorizado para impedir el acceso a
personal ajeno, como transportistas comerciales etcétera.” Por el contrario,
la AEPD entiende más que acreditada la inidoneidad y desproporcionalidad y no
pertinencia ni adecuación del sistema de toma de huellas para acceder a
vestuarios/aseos con la finalidad implantada de seguridad de acceso de
personas a dichos espacios, por su insuficiente motivación, y generalidad,
existiendo sin lugar a dudas métodos para que terceros ajenos a la empresa no
accedan a esos espacios menos intrusivos que la toma de la huella en todas y
cada ocasión que el empleado o empleada acuda por necesidades a dichos
espacios.
|
5.1.c RGPD
(minimización de datos)
|
20.000 euros
|
|
|
Anotaciones: Al
analizar la proporcionalidad de un sistema biométrico propuesto, es preciso
considerar previamente si el sistema es necesario para responder a la
necesidad identificada, es decir, si es esencial para satisfacer esa
necesidad, y no solo el más adecuado o rentable. Un segundo factor que debe
tenerse en cuenta es la probabilidad de que el sistema sea eficaz para
responder a la necesidad en cuestión a la luz de las características
específicas de la tecnología biométrica que se va a utilizar. Un tercer
aspecto para ponderar es si la pérdida de intimidad resultante es
proporcional a los beneficios esperados. Si el beneficio es relativamente
menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de
intimidad no es apropiada. El cuarto aspecto para evaluar la adecuación de un
sistema biométrico es considerar si un medio menos invasivo de la intimidad
alcanzaría el fin deseado
|
|
|
|
|
|
- Comunicaciones
comerciales – Telecomunicaciones -
|
|
|
#06
|
Sanción
por no tener actualizada la política de privacidad
|
|
|
PROCEDIMIENTO
|
PS-00384-2021
|
Arts. afectados
|
Resolución
|
|
|
Se presenta reclamación por el
incumplimiento de la normativa de protección de datos en un sitio web. La
Agencia Española de Protección de Datos ha constatado que la información
incluida sobre el tratamiento de los datos personales no se adecua a lo
dispuesto en el artículo 13 del RGPD, haciendo referencia a la derogada Ley
Orgánica 15/99, con ausencias al contenido mínimo exigido por el art. 13 RGPD.
|
Art. 13
RGPD (Información a los interesados)
|
2.000
euros
|
|
|
|
|
|
- Comunicaciones
comerciales – Telecomunicaciones -
|
|
|
#07
|
Sanción
por comunicaciones comerciales a un antiguo cliente que ejercitó derecho de
oposición y supresión
|
|
|
PROCEDIMIENTO
|
PS-00466-2020
|
Arts. afectados
|
Resolución
|
|
|
El reclamante, interpuso
reclamación ante la Agencia Española de Protección de Datos por recibir
comunicaciones promocionales en su teléfono móvil a través de mensajes de
texto SMS no solicitadas. El reclamante, que había sido cliente de Vodafone,
al finalizar su relación ejercitó el derecho de oposición y “cancelación”
ante Vodafone mediante burofax. No consta que los derechos hayan sido
atendidos por la reclamada. El reclamante adjunta imagen de los tres mensajes
SMS que comienzan con “VF Publi” y tienen un contenido promocional. Varios
meses más tarde el reclamante presentó otra reclamación denunciando los
mismos hechos por recibir comunicaciones promocionales en su teléfono móvil a
través de mensajes de texto SMS no solicitadas. El reclamante adjunta imagen
de dos mensajes SMS que comienzan con “VF Publi” y tienen un contenido
promocional (copia de las imágenes en el expediente).
|
21.1
LSSI (Consentimiento para comunicaciones comerciales)
|
50.000
euros
|
|
|
Anotaciones:
Anotaciones de la entrada
|
|
|
|
|
|
- Procedimiento
sancionador -
|
|
|
#08
|
Siguen
las infracciones por falta de contestación al requerimiento de información de
la AEPD
|
|
|
PROCEDIMIENTO
|
PS-00289-2021
|
Arts. afectados
|
Resolución
|
|
|
Se solicitó al reclamado En el
marco de las actuaciones practicadas por la Subdirección General de
Inspección de Datos con objeto de aclarar ciertos hechos de los cuales ha
tenido conocimiento esta Agencia Española de Protección de Datos. El
requerimiento de información, que se practicó conforme a las normas
establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas (en adelante, LPACAP),
fue notificado en fecha 9 de enero de 2021, como consta en el certificado de
Notific@ que obra en el expediente. En fecha 11 de junio de 2021, la
Directora de la Agencia Española de Protección de Datos acordó iniciar
procedimiento sancionador a la parte reclamada. la entidad presentó escrito
de alegaciones a la Propuesta de Resolución, en el que, en síntesis,
manifiesta que procedió a contestar al requerimiento de información, si bien
no dentro de los plazos otorgados en las notificaciones posteriores al 21 de
octubre de 2020, que la propuesta de resolución no expone de manera sucinta
los hechos y fundamentos jurídicos en los que se basa la desestimación, lo
que supone indefensión afectando a su derecho de defensa, que no ha habido
intencionalidad de no facilitar a la AEPD la información requerida y reitera
que la situación causada por no atender en tiempo y forma los requerimientos
de la AEPD, es fruto de una sucesión de errores y acontecimientos
desafortunados
|
58.1
RGPD (poderes de investigación de las autoridades de control)
|
3.000
euros
|
|
|
|
|
|
- Videovigilancia –
Comunidad vecinos -
|
|
|
#09
|
Sanción
por tener cartel informativo de videovigilancia en blanco
|
|
|
PROCEDIMIENTO
|
PS/00339/2021
|
Arts. afectados
|
Resolución
|
|
|
En el presente caso, se
denuncia por parte de uno de los vecinos de la comunidad la instalación de
cámaras de videovigilancia cuyo cartel no trae aviso del responsable del
tratamiento de datos de carácter personal, al estar incompleto el distintivo
en los aspectos esenciales del mismo: indicación del responsable, dirección a
la que dirigirse, etc. Las pruebas aportadas determinan que el cartel está
colocado, si bien no está debidamente conformado al estar los espacios
destinados a indicar la información en blanco, de manera que no es posible
determinar el responsable del tratamiento o dónde ejercitar los derechos
regulados en los artículos 15-22 RGPD, sin que subsanación alguna se haya
acreditado ante la Agencia.
|
Art. 13 RGPD (Información a los
interesados)
|
1.000
euros
|
|
|
Anotaciones: La
culpabilidad como reprochabilidad al sujeto activo de la lesión del bien
jurídico protegido, resulta evidente cuando el sujeto realiza voluntariamente
la conducta típica dirigida intencionalmente a la obtención del resultado
antijurídico, que es procurado y querido. En el presente caso, por “descuido”
u omisión el distintivo informativo está incompleto, de manera que no cumple
su función de informar debidamente del responsable del tratamiento o aportar
una dirección efectiva ante al que ejercitar los derechos reconocidos en el
actual RGPD, siendo considerada la conducta como una negligencia leve,
fácilmente subsanable. La conducta debe ser considerada como negligencia
leve, por cuanto la reclamada ya había sido informada de una situación de
“irregularidad” del cartel informativo al estar el mismo sin rellenar en
legal forma, debiendo haber corregido la situación denunciada de manera
inmediata, aportando prueba de ello a este organismo.
|
|
|
|
|
|
- Recogida de datos y
confidencialidad- Asociaciones -
|
|
|
#10
|
Toque
de atención a una Cofradía por múltiples infracciones de protección de datos
|
|
|
PROCEDIMIENTO
|
PS-00480-2021
|
Arts. afectados
|
Resolución
|
|
|
El procedimiento trae causa de
una reclamación por parte de un miembro de la cofradía que expresa “nunca se
ha recabado su consentimiento para el tratamiento de sus datos”, “ni se le ha
informado de los derechos que le asisten”. Asimismo, señala también que el
dato de su e-mail se ve expuesto en las comunicaciones realizadas por la
Cofradía a sus miembros, al remitir los correos sin copia oculta. En este
sentido, se pueden identificar hasta 3 infracciones:
- Se imputa a la reclamada una
infracción del artículo 13 del RGPD, que determina la información que debe
facilitarse al interesado en el momento de la recogida de sus datos. En este
caso de lo que se trata es del uso del e-mail y del engarce en la recogida de
datos, su uso y finalidad. Además, la información contenida en los e mails,
tampoco acierta a establecer la base legitimadora de estos envíos, mezclando
diversos, distintos y contradictorios motivos.
- En cuanto a la difusión dada
a los e mails objeto de reclamación, el artículo 5 del RGPD establece los
principios que han de regir el tratamiento de los datos personales y menciona
entre ellos el de “integridad y confidencialidad”.
- También la conducta del envío
de los correos a terceros incurre en infracción de artículo 32 del RGPD
“Seguridad del tratamiento”. la reclamada ha vulnerado el artículo 32 del
RGPD, al permitir el acceso a los datos personales, direcciones de correo
electrónicos, al ser remitido sin utilizar la opción de copia oculta
permitiendo que el resto de los destinatarios.
|
- Art.
32 RGPD (Medidas de seguridad)
- Art.
5.1.f) RGPD (Deber de confidencialidad)
- Art.
13 del RGPD (Información a los interesados)
|
Apercibimiento
|
|
|
Anotaciones: La
información del tratamiento y la base legitimadora para el uso y finalidad
del tratamiento del e mail ofrecidas es confusa en la redacción: “Le
informamos que los datos han sido obtenidos por consentimiento del interesado
por derivación de una obligación contractual, por una cesión legitima o desde
una fuente de acceso publica”
|
|
