Noticias \ RSM20220406 - Resoluciones Relevantes


Noticias

Telecomunicaciones, Comunicaciones comerciales, redes sociales, página web, comunidades de vecinos, legitimación, encargos de tratamiento...

“El artículo 28.1 RGPD exige que el responsable elija un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas siendo valorable la adhesión a un código de conducta (...)"
"(...) El responsable del tratamiento es quien tiene la obligación de garantizar la aplicación de la normativa de protección de datos y la protección de los derechos de los interesados, así como ser capaz de demostrarlo. El control del cumplimiento de la legalidad se extiende durante todo el tratamiento, desde el principio hasta el final.”
(ABL)

RESOLUCIONES

- Base de legitimación – Telecomunicaciones -  

#01

La contratación de servicios por un tercero no autorizado acaba con una sanción de 70.000 €

PROCEDIMIENTO

PS/00501/2021

 

 

 

 

 

 

 

 

 

 

 

La parte reclamante manifiesta que un tercero ha contratado con la entidad Vodafone dos números de teléfono de prepago a su nombre, a través de un distribuidor de la parte reclamada. En los sistemas de Vodafone no consta documentación que permita actualmente acreditar la contratación de las líneas en modo prepago, no obstante, aportan copia de un documento de “información para personas físicas y jurídicas que adquieran una tarjeta prepago” relativo a la línea ***TELÉFONO.2 en el que figura los datos del reclamante, DNI y dirección postal, pero no contiene ninguna firma.

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

70.000 € (56.000 por pago voluntario)

 

 

- Videovigilancia – Comunidad de Propietarios -  

#02

Sancionan por facilitar Acta con detalles de vecinos morosos a la empresa de seguridad

PROCEDIMIENTO

PS/00518/2021

 

 

 

 

 

 

 

 

 

 

 

En este caso, los hechos denunciados se concretan en la entrega a un tercero, la empresa de seguridad contratada por la COMUNIDAD DE PROPIETARIOS, de copia del Acta de la Junta General en la que se contienen datos de carácter personal de los vecinos de la Comunidad (nombre y direcciones de vecinos, relación de morosos y las cuentas con todos los ingresos y gastos de la Comunidad.), sin que exista ninguna base jurídica que justifique esta comunicación de datos personales. Si bien existe un contrato con la empresa destinataria de la información de vigilancia y seguridad, esta relación contractual no justifica el acceso a la información sobre vecinos que adeudan cantidades a la Comunidad, ni los detalles de la deuda, y tampoco las cuestiones personales que puedan abordarse en una Junta General como la celebrada. Con la entrega del Acta se pretendía darle a conocer los miembros de la Junta de Gobierno designados en la respectiva Junta General Ordinaria, por tanto, debió limitarse a facilitar esa información o a remitir el documento del Acta después de haber sido debidamente anonimizado. La remisión del Acta se realizó por DATA 1000 FINCAS, en su condición de Administrador de la Comunidad de Propietarios y, por tanto, encargado del tratamiento, de acuerdo con las instrucciones recibidas del responsable, que no es otro que la COMUNIDAD DE PROPIETARIOS, y por cuenta de ésta (constando en las actuaciones una “Certificación” suscrita por la Presidenta y Vicepresidente declarando que dieron instrucciones para que hiciera llegar a la empresa el acta de la Junta General).

Arts. afectados:

Art. 5.1 c) (Minimización de datos)

Resolución:

2.000 € (1.200 por pago voluntario y reconocimiento de culpa)

Anotaciones:

Estos mismos hechos ya fueron objeto de análisis en otro procedimiento PS/00092/2021, el cual se dirigía contra el Administrador de Fincas y que finalmente fue archivado por falta de legitimación pasiva al haberle imputado unos hechos de los que no era responsable. Recuerda la AEPD que la esencia de la función de “encargado el tratamiento” es que los datos personales sean tratados en nombre y por cuenta del responsable del tratamiento. En la práctica, es el responsable el que determina la finalidad y los medios, al menos los esenciales, mientras que el encargado del tratamiento tiene una función de prestar servicios a los responsables del tratamiento. En otras palabras, “actuando en nombre y por cuenta del responsable del tratamiento” significa que el encargado del tratamiento está al servicio del interés del responsable del tratamiento en llevar a cabo una tarea específica y que, por tanto, sigue las instrucciones establecidas por el responsable del tratamiento, al menos en lo que se refiere a la finalidad y a los medios esenciales del tratamiento encomendado. El responsable del tratamiento es quien tiene la obligación de garantizar la aplicación de la normativa de protección de datos y la protección de los derechos de los interesados, así como ser capaz de demostrarlo. El control del cumplimiento de la legalidad se extiende durante todo el tratamiento, desde el principio hasta el final. El responsable del tratamiento debe actuar, en cualquier caso, de forma diligente, consciente, comprometida y activa.

- Política Privacidad – Página Web -  

#03

Continúan las sanciones por falta de adaptación web en las políticas de privacidad

PROCEDIMIENTO

PS/00431/2021

 

 

 

 

 

 

 

 

 

 

 

La reclamación que da origen al procedimiento sancionador se motiva por un pedido realizado por parte del interesado en la tienda online www.estyloaddicted-shop.com, el cual no recibió pese a estar pagado y haberlo reclamado en reiteradas ocasiones a través del único medio que posibilidad el sitio web. A raíz de su insatisfacción, se presenta reclamación indicando que carecía de una Política de Privacidad adecuada al artículo 13 del RGPD, de manera que ningún apartado del sitio web, es decir, ni en aviso legal, ni en privacidad ni en condiciones de compra figura el titular del mismo, ni la dirección, ni el C.I.F. por lo que resulta imposible que el ciudadano-consumidor pueda contactar con el vendedor en caso de discrepancia. Durante las actuaciones de investigación, la AEPD comprueba que el sitio web reclamado ha cerrado, y que el dominio ha caducado y no ha sido renovado.

Arts. afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

2.000 €

 

 

- Licitud – Telecomunicaciones -  

#04

Sanción por continuar tratando datos después de haber finalizado la portabilidad

PROCEDIMIENTO

PS/00557/2021

 

 

 

 

 

 

 

 

 

 

 

La parte reclamante manifiesta que recibió una llamada de un gestor comercial de Vodafone, ofreciéndole una promoción de dicha compañía, en una campaña para recuperar antiguos clientes. Inicialmente, accede la reclamante a portar sus líneas de teléfono móvil. Acto seguido le llama otro gestor de Vodafone y le facilita un número de WhatsApp, para confirmar su adhesión a la oferta y la reclamante procede a enviar la copia de su DNI y el número de cuenta bancaria, quedando la instalación de Vodafone pendiente. No obstante, días más tarde, tras recibir un mensaje de su compañía telefónica, donde se le indicaba que procederían a darle de baja, la reclamante trató de ponerse en contacto con Vodafone a través de WhatsApp, estando el mismo desconectado o fuera de cobertura, por lo que llamó a diversos números de Vodafone, cancelando la contratación. Minutos después recibe una llamada en su móvil del comercial que inicialmente contactó con ella, increpándola por la cancelación de la oferta y amenazándola. Tras colgar, continuó llamándole a través de distintos números. Más tarde llamaron a su hija haciéndose pasar por la reclamante y le asustaron diciendo que la reclamante había tenido un accidente grave. Vodafone reconoce los hechos ya que continúo tratando los datos de la reclamante con posterioridad a la cancelación de la portabilidad, los agentes de Vodafone utilizaron mala praxis para que la parte reclamante continuara con la portabilidad, vulnerando el artículo 6.1 del RGPD, toda vez que al finalizar la portabilidad no debería haber continuado tratando los datos de la parte reclamante.

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

70.000 € (56.000 € por pago voluntario)

Anotaciones:

La falta de diligencia desplegada por la entidad en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos de carácter personal es, pues, evidente. Un cumplimiento diligente del principio de licitud en el tratamiento de datos de terceros requiere que la responsable del tratamiento esté en condiciones de probarlo (principio de responsabilidad proactiva).

- Legitimación – Contratación -  

#05

Sanción por realizar cargos a un cliente y no poder demostrar la contratación de los servicios

PROCEDIMIENTO

PS/00535/2021

 

 

 

 

 

 

 

 

 

 

 

La reclamante manifiesta que ha recibido durante dos meses cargos en su cuenta bancaría de la parte reclamada, sin haber formalizado contrato alguno con la misma. A su vez, expone que lo anterior fue debido a que efectuó una compra en el establecimiento "Mi Store Las Arenas" en donde recabaron sus datos personales y el número de su cuenta bancaria. Le ofrecieron contratar un seguro de móvil, una tarjeta regalo y una página de dominios o creación web que en el último momento decidió no contratar, indicándole que sus datos se borrarían.
La reclamada alega que, tras recibir reclamación interpuesta a través de la OCU, procedieron a gestionar el reembolso a favor de la reclamante. Realizado el reembolso, procedieron a suprimir la totalidad de los datos personales de la reclamante de sus bases de datos, alegando frente a la AEPD que como consecuencia de la supresión de los datos, no pueden obtener la copia de contrato firmado requerido. La Agencia determina que no queda acreditada la legitimación para el tratamiento de los datos de la reclamante, lo que supone una vulneración de la normativa.

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

5.000 €

Anotaciones:

Cabe recordar que la AEPD ya se ha pronunciado en numerosas ocasiones indicando que el derecho de supresión no conlleva un borrado inmediato de los datos, sino un bloqueo inicial y, transcurrido los plazos legales previstos, el borrado.

- Confidencialidad – Telecomunicaciones -  

#06

Torrente de sanciones a múltiples empresas de telecomunicaciones por SIM Swapping

PROCEDIMIENTO

PS/00046/2021

PS/00027/2021

PS/00022/2021

PS/00021/2021

PS/00001/2021

 

 

 

 

 

 

 

Los principales operadores del sector de las telecomunicaciones han sido objeto de sanción por parte de la AEPD por no proteger adecuadamente las tarjetas SIM de los clientes, facilitando a estafadores duplicados de estar tarjetas con relativa facilidad. El contenido de estas resoluciones es esencialmente sancionar los casos de SIM ‘swapping’, una estafa que supone duplicar la tarjeta del móvil para así tener las claves del banco de la víctima y hacer operaciones en su nombre. En las distintas resoluciones, la AEPD considera que se ha producido una quiebra del deber de confidencialidad de los datos personales de los usuarios, quiebra que se produce al considerar la tarjeta SIM como dato personal. Al facilitar un duplicado a un tercero, se entiende que se vulnera la confidencialidad de esos datos. La mayor parte de los casos ocurren a partir de 2019, a raíz de aplicarse la Directiva comunitaria PSD2 de medios de pago, que obligó a los bancos a realizar un doble factor de autentificación con el envío de SMS”.

Arts. afectados:

Art. 5.1 f) RGPD (Confidencialidad) Art. 5.2 RGPD (Responsabilidad proactiva)

Resolución:

70.000 €   200.000 €   700.000 €   900.000 €   3.940.000 €

 

 

- Licitud – Juzgado y Redes Sociales -  

#07

Sanción a particular por grabar y colgar en Twitter la vista oral de un procedimiento judicial

PROCEDIMIENTO

PS/00505/2021

 

 

 

 

 

 

 

 

 

 

 

Los hechos reclamados se materializan en la publicación sin legitimación ni consentimiento o autorización por el reclamado en su perfil de la red social TWITTER de material audiovisual captado durante el juicio oral celebrado en el Juzgado Penal núm. 2 de Manresa. En la difusión del video se reproduce partes del proceso judicial en el que figuran las imágenes del personal interviniente en el mismo en calidad de testigo u otra condición procesal se ha efectuado sin causa legitimadora de las recogidas en el artículo 6.1 del RGPD. El propio reclamado reconoce implícitamente la publicación al informar que si bien no conserva copia del video publicado no podría precisar el tiempo aproximado que pudo mantenerse publicado en su cuenta de Twitter.

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

2.000 €

 

 

- Consentimiento – Entidades Bancarias -  

#08

2.100.000 € por condicionar exención de comisiones al consentimiento para ceder datos y por usar casillas premarcadas

PROCEDIMIENTO

PS/00226/2020

 

 

 

 

 

 

 

 

 

 

 

Se denuncia por parte del afectado que la entidad Bankia (actualmente CAIXABANK) le exige que acepte todos los consentimientos de tratamientos de datos personales, los cuales aparecen ya premarcados o aceptados. En caso de no autorizar la cesión de sus datos a terceras empresas, le imponen una tasa de 5 euros al mes para seguir manteniendo su cuenta

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento), en relación con el art. 7.4 RGPD (condiciones para el consentimiento Y Art. 6.1 RGPD (consentimiento para el tratamiento de datos)

Resolución:

2.000.000 € y 100.000 €

 

 

- Licitud tratamiento de antecedentes penales – Laboral -  

#09

2.000.000 de Euros a AMAZON ROAD por exigir a los transportistas que aportaran certificado negativo de antecedentes penales

PROCEDIMIENTO

PS/00267/2020

 

 

 

 

 

 

 

 

 

 

 

En el presente procedimiento se analizan distintas cuestiones:
a) En primer lugar, la presunta ilicitud del tratamiento de datos efectuado por la entidad reclamada al solicitar un certificado de antecedentes penales a los transportistas autónomos que han solicitado suscribir un contrato de servicios con aquel. Con carácter previo, la AEPD analiza si la solicitud de un certificado “negativo” de antecedentes penales constituye un “tratamiento de datos personales relativos a condenas e infracciones penales”. El certificado de antecedentes penales es el documento público que acredita la carencia o existencia de antecedentes penales que constan inscritos en el Registro Central de Penados. En relación con la categoría de datos personales sobre la que versa esa información, es precisamente la relativa a las condenas penales firmes de las que haya podido ser objeto (y se encuentren en vigor) una persona en concreto, tanto sea para poner de manifiesto que existen esas resoluciones firmes que imponen penas o medidas y cuáles son éstas, como para acreditar que no existen. Es decir, la información que se está tratando es el dato relativo a las condenas penales -lo que incluye la ausencia de estas- vinculado con una persona física concreta. En consecuencia, la AEPD considera que un certificado de antecedentes penales que pone de manifiesto que una persona concreta carece de condenas penales recoge información relacionada con condenas e infracciones penales; y que admitir lo contrario supondría admitir que cualquier persona o entidad pudieran crear un registro de personas sin antecedentes penales, a pesar de que se trata de una materia reservada a las autoridades públicas. A este respecto, se pronuncia también de la posibilidad de solicitar una declaración responsable en la que los sujetos afirmaran que carecen de antecedentes penales, y no la solicitud del certificado en sí. Pues bien, sobre un supuesto de carácter análogo, la Sentencia de la Sala de lo Social de la Audiencia Nacional 14/2020, de 10 de febrero de 2020, señala que incluso la solicitud de una declaración responsable de que se carece de antecedentes penales ha de ser considerada como un tratamiento de datos relativos a condenas penales.
b) Respecto a las transferencias internacionales de datos, AMAZON ROAD requiere el consentimiento de los candidatos para que “Amazon”, y cualquier entidad vinculada, lleve a cabo transferencias de datos de carácter personal a cualquier entidad vinculada situada fuera del EEE para promover los intereses legítimos de “Amazon” y/o de cualquier entidad vinculada. Sin embargo, la AEPD considera que las transferencias internacionales objeto de las actuaciones no requieren que el interesados preste su consentimiento, ya que este consentimiento solo opera, según el artículo 49.1.a) del RGPD, como una excepción que habilitaría para llevar a cabo esta transferencia en ausencia de decisión específica de adecuación y de garantías adecuadas de conformidad con el artículo 46 del mismo Reglamento

Arts. afectados:

Art. 6 RGPD (Licitud del tratamiento) en relación con el art. 10 RGPD (datos relativos a condenas penales)

Resolución:

2.000.000 €

Anotaciones:

AMAZON ROADS alegaba la falta de un criterio unánime y consolidado sobre la utilización de los certificados negativos de antecedentes penales entre los Estados miembros, señalando que Países Bajos o Francia admitían una interpretación distinta del art. 10 RGPD. Sin embargo, la AEPD analiza los supuestos, llegando a la conclusión de que todos ellos coinciden: Países Bajos exige un interés legítimo necesario y justificado, debiendo optar pro el medio menos lesivo, salvo para los casos que la ley exija dicho certificado;  En Francia la verificación de antecedentes debe estar prevista en una norma para determinadas funciones “sensibles”, o bien la posibilidad de que el empleador solicite a un candidato o empleado un extracto de sus antecedentes penales durante una entrevista, sin que el empresario pueda obtener copia ni tratar los datos.

 - Medidas de seguridad – Telecomunicaciones -

#10

Sanción asignar un número de teléfono a un tercero distinto del interesado

PROCEDIMIENTO

PS/00538/2021

 

 

 

 

 

 

 

 

 

 

 

El reclamante fue cliente de Vodafone en el año 2015, portando sus servicios a Movistar en agosto de 2018. Según Vodafone, en este punto y debido a un fallo puntual en el sistema de la entidad, pese a portarse el número, éste quedó libre en los sistemas de Vodafone para poder ser asignado a otro cliente. Este error técnico de la compañía llevó a que se tramitase el alta de una línea prepago cuyo número coincidía con el del reclamante, de modo que, al portar el reclamante su línea a Vodafone, se cruzaron ambas líneas, conllevando que el reclamante no tuviese servicio telefónico. La AEPD considera que estos hechos son constitutivos de una infracción del artículo 32.1.b) del RGPD, al constatarse un inadecuado nivel de seguridad en los sistemas de la entidad Vodafone que provocó un tratamiento ilícito de datos personales transmitidos en la portabilidad, (el número de teléfono), ya que siguió estando operativo en sus sistemas, y al final fue adjudicado a otra persona ajena al reclamante. Asimismo que la entidad reclamada adjudicara a otro cliente ajeno al reclamante, el número de teléfono haciendo un uso no autorizado del mismo a causa, según afirma de entidad, de un fallo en sus sistemas, podría ser constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 5.1.f) del RGPD.

Arts. afectados:

Art. 5.1 f) RGPD (deber de confidencialidad) y art. 32.1.b) RGPD (seguridad del tratamiento)

Resolución:

20.000 euros y 30.000 euros TOTAL 50.000 euros (40.000 euros por pago voluntario)

 

 

 - Confidencialidad – Laboral -

#11

La firma de un mismo documento con nombre y DNI por varios trabajadores es sancionado con 3.000 euros

PROCEDIMIENTO

PS/00166/2021

 

 

 

 

 

 

 

 

 

 

 

La parte reclamante manifiesta que la entidad reclamada está revelando el número de DNI del personal que desempeña sus funciones en las oficinas del Centro de Formación de Los Cármenes (Agencia para el Empleo del Ayuntamiento de Madrid) a través de la nota informativa de utilización del vestuario del centro de trabajo, que han de firmar los empleados. Queda acreditado que la conducta del reclamante permite la visualización de los datos de carácter personal por parte terceros ajenos, de manera que no se ha podido garantizar la seguridad adecuada en el tratamiento de los datos personales de los empleados de la empresa, incurriendo por ello en la vulneración del artículo 5.1 f) del RGPD, que rige los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento. La distribución de una nota informativa entre los empleados, que debían rellenar con su nombre, apellidos, DNI y firma, permitiendo el acceso entre ellos, al identificador de los que habían firmado antes. Es decir, la empresa tenía habilitación para tratar internamente y conocer determinada información, pero no estaba legitimada para transferirla a terceros.

Arts. afectados:

Art. 5.1 f) RGPD (deber de confidencialidad) y art. 32 RGPD (medidas de seguridad)

Resolución:

2.000 euros y 1.000 euros

 

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857